Recopila registros de EDR de CrowdStrike Falcon

Compatible con:

En este documento, se describe cómo puedes exportar registros de EDR de CrowdStrike Falcon a Google Security Operations mediante el feed de Google Security Operations y cómo los campos de EDR de CrowdStrike Falcon se asignan a los campos del modelo de datos unificado (UDM) de Google Security Operations.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.

Una implementación típica consiste en CrowdStrike habilitado para la transferencia a Google Security Operations. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

  • CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike desde el que recopilas registros.

  • Google Security Operations: Retiene y analiza los registros de EDR de CrowdStrike.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia CS_EDR.

Antes de comenzar

  • Asegúrate de tener derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon.

  • Asegúrate de que el dispositivo se ejecute en un sistema operativo compatible.

    • El SO debe ejecutarse en un servidor de 64 bits. Microsoft Windows Server 2008 R2 SP1 es compatible con las versiones 6.51 o posteriores del sensor de host de Crowdstrike Falcon.
    • Los sistemas que ejecutan versiones heredadas del SO (por ejemplo, Windows 7 SP1) requieren la compatibilidad con la firma de código SHA-2 instalada en sus dispositivos.

  • Obtén el archivo de la cuenta de servicio de Google Security Operations y tu ID de cliente del equipo de asistencia al cliente de Google Security Operations.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configura un feed del replicador de datos de Falcon

Para configurar un feed de Falcon Data Replicator, sigue estos pasos:

  1. Haz clic en el botón AGREGAR para crear un nuevo feed de Falcon Data Replicator. Esto generará el identificador de S3, la URL de SQS y el secreto de cliente.
  2. Usa los valores generados de Feed, Identificador de S3, URL de SQS y Secreto de cliente para configurar el feed en Operaciones de seguridad de Google.

Configura un feed en Google Security Operations para transferir registros de EDR de CrowdStrike

Puedes usar SQS o un bucket de S3 para configurar el feed de transferencia en Google Security Operations. Se prefiere SQS, pero también se admite S3.

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

  1. Selecciona Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del feed.
  4. En Tipo de fuente, selecciona Amazon S3.
  5. En Tipo de registro, selecciona CrowdStrike Falcon.
  6. Haz clic en Siguiente.
  7. Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica los valores para los siguientes campos:
    Campo Descripción
    región Es la región de S3 asociada con el URI.
    URI de S3 Es el URI de origen del bucket de S3.
    uri es un Es el tipo de objeto al que apunta el URI.
    opción de eliminación de la fuente Si quieres borrar archivos o directorios después de la transferencia.
    ID de clave de acceso Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
    clave de acceso secreta Una clave de acceso de la cuenta que sea una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    ID de cliente de OAuth Un identificador de OAuth público y específico del cliente.
    secreto del cliente de OAuth Secreto de cliente de OAuth 2.0
    uri de actualización del secreto de OAuth URI de actualización del secreto de cliente de OAuth 2.0.
    espacio de nombres del activo Es el espacio de nombres con el que se asociará el feed.
  8. Haz clic en Siguiente y, luego, en Enviar.

Para configurar un feed de transferencia con SQS, sigue estos pasos:

  1. Selecciona Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del feed.
  4. En Tipo de fuente, selecciona Amazon SQS.
  5. En Tipo de registro, selecciona CrowdStrike Falcon.
  6. Haz clic en Siguiente.
  7. Según la cuenta de servicio y la configuración de Amazon SQS que creaste, especifica los valores para los siguientes campos:
    Campo Descripción
    región Es la región de S3 asociada con el URI.
    NOMBRE DE LA COLA El nombre de la cola de SQS de la que se leerá.
    NÚMERO DE CUENTA El número de cuenta de SQS
    opción de eliminación de la fuente Si quieres borrar archivos o directorios después de la transferencia.
    ID DE CLAVE DE ACCESO DE LA FILA Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
    CLAVE DE ACCESO SECRETA DE LA FILA Una clave de acceso de la cuenta que sea una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    espacio de nombres del activo Es el espacio de nombres con el que se asociará el feed.

  8. Haz clic en Siguiente y, luego, en Enviar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.