收集 CrowdStrike 检测日志

支持的平台:

本文档介绍了如何通过 Google Security Operations Feed 将 CrowdStrike 检测日志导出到 Google Security Operations,以及 CrowdStrike 检测字段如何映射到 Google Security Operations 统一数据模型 (UDM) 字段。

如需了解详情,请参阅将数据提取到 Google 安全运营中心概览

典型的部署包括 CrowdStrike 和配置为将日志发送到 Google Security Operations 的 Google Security Operations Feed。每个客户部署都可能不同,并且可能更复杂。

该部署包含以下组件:

  • CrowdStrike Falcon Intelligence:您从中收集日志的 CrowdStrike 产品。

  • CrowdStrike Feed。CrowdStrike Feed,用于从 CrowdStrike 提取日志并将日志写入 Google SecOps。

  • Google Security Operations:保留和分析 CrowdStrike 检测日志。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CS_DETECTS 注入标签的解析器。

准备工作

  • 确保您在 CrowdStrike 实例上拥有安装 CrowdStrike Falcon Host 传感器的管理员权限。

  • 确保部署架构中的所有系统都采用世界协调时间 (UTC) 时区

  • 确保设备搭载的是受支持的操作系统。

    • 操作系统必须在 64 位服务器上运行。CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 搭载旧版操作系统(例如 Windows 7 SP1)的系统需要在其设备上安装 SHA-2 代码签名支持。

  • 从 Google Security Operations 支持团队获取 Google Security Operations 服务账号文件和您的客户 ID。

配置 CrowdStrike 以提取日志

如需设置提取 Feed,请按以下步骤操作:

  1. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对会从 CrowdStrike Falcon 读取事件和补充信息。
  2. 在创建密钥对时,向 Detections 提供 READ 权限。

在 Google Security Operations 中配置 Feed 以提取 CrowdStrike 检测日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击 Add New(新增)。
  3. 字段名称中输入一个具有唯一性的名称。
  4. 选择第三方 API 作为来源类型
  5. 选择 CrowdStrike Detection Monitoring 作为日志类型
  6. 点击下一步
  7. 配置以下必需的输入参数:
    • OAuth 令牌端点:指定端点。
    • OAuth 客户端 ID:指定您之前获得的客户端 ID。
    • OAuth 客户端密钥:指定您之前获取的客户端密钥。
    • 基准网址:指定基准网址。
  8. 点击下一步,然后点击提交

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。