Coletar registros de detecção do CrowdStrike

Compatível com:

Este documento descreve como exportar registros de detecção do CrowdStrike para as Operações de segurança do Google pelo feed das Operações de segurança do Google e como os campos de detecção do CrowdStrike são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) das Operações de segurança do Google.

Para mais informações, consulte Visão geral da transferência de dados para as operações de segurança do Google.

Uma implantação típica consiste no CrowdStrike e no feed do Google Security Operations configurado para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

  • CrowdStrike Falcon Intelligence: o produto do CrowdStrike em que você coleta registros.

  • Feed do CrowdStrike. O feed do CrowdStrike que extrai registros do CrowdStrike e grava registros no Google SecOps.

  • Operações de segurança do Google: retém e analisa os registros de detecção do CrowdStrike.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência CS_DETECTS.

Antes de começar

  • Verifique se você tem direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC

  • Verifique se o dispositivo está sendo executado em um sistema operacional compatível.

    • O SO precisa estar em execução em um servidor de 64 bits. O Microsoft Windows Server 2008 R2 SP1 é compatível com as versões 6.51 ou mais recentes do sensor de host do CrowdStrike Falcon.
    • Os sistemas com versões legadas do SO (por exemplo, Windows 7 SP1) exigem o suporte à assinatura de código SHA-2 instalado nos dispositivos.

  • Receba o arquivo da conta de serviço do Google Security Operations e seu ID de cliente da equipe de suporte do Google Security Operations.

Configurar o CrowdStrike para ingerir registros

Para configurar um feed de transferência, siga estas etapas:

  1. Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves lê eventos e informações complementares do CrowdStrike Falcon.
  2. Forneça a permissão READ para Detections ao criar o par de chaves.

Configurar um feed no Google Security Operations para processar registros de detecção do CrowdStrike

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Add New.
  3. Insira um nome exclusivo para o Nome do campo.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Monitoramento de detecção do CrowdStrike como o Tipo de registro.
  6. Clique em Próxima.
  7. Configure os seguintes parâmetros de entrada obrigatórios:
    • Endpoint do token OAuth: especifique o endpoint.
    • ID do cliente OAuth: especifique o ID do cliente que você recebeu anteriormente.
    • Chave secreta do cliente do OAuth: especifique a chave secreta do cliente que você recebeu anteriormente.
    • URL de base: especifique o URL de base.
  8. Clique em Próxima e em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.