CrowdStrike Falcon EDR のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを使用して CrowdStrike Falcon EDR ログを Google Security Operations にエクスポートする方法と、CrowdStrike Falcon EDR フィールドが Google Security Operations の統合データモデル(UDM)フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、Google Security Operations への取り込みが有効になっている CrowdStrike で構成されています。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。

  • Google Security Operations: CrowdStrike EDR ログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CS_EDR が付加されたパーサーに適用されます。

始める前に

  • CrowdStrike Falcon ホストセンサーをインストールするために、CrowdStrike インスタンスに対する管理者権限があることを確認します。

  • デバイスがサポートされているオペレーティング システムで実行されていることを確認します。

    • OS は 64 ビットサーバーで実行されている必要があります。Microsoft Windows Server 2008 R2 SP1 は、Crowdstrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョン(Windows 7 SP1 など)を実行しているシステムでは、デバイスに SHA-2 コード署名サポートがインストールされている必要があります。

  • Google Security Operations サポートチームから、Google Security Operations サービス アカウント ファイルとお客様 ID を取得します。

  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Falcon Data Replicator フィードを構成する

Falcon Data Replicator フィードを設定する手順は次のとおりです。

  1. [ADD] ボタンをクリックして、新しい Falcon Data Replicator フィードを作成します。これにより、S3 IDSQS URLクライアント シークレットが生成されます。
  2. 生成されたフィードS3 IDSQS URLクライアント シークレットの値を使用して、Google Security Operations でフィードを設定します。

Google Security Operations でフィードを構成して、CrowdStrike EDR ログを取り込む

SQS または S3 バケットを使用して、Google Security Operations で取り込みフィードを設定できます。SQS が推奨されますが、S3 もサポートされています。

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] を選択します。
  2. [新しく追加] をクリックします。
  3. [フィード名] に固有の名前を入力します。
  4. [Source type] で [Amazon S3] を選択します。
  5. [Log type] で [CrowdStrike Falcon] を選択します。
  6. [次へ] をクリックします。
  7. 作成したサービス アカウントと Amazon S3 バケットの構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    地域 URI に関連付けられている S3 リージョン。
    S3 uri S3 バケットのソース URI。
    uri is a URI が指し示すオブジェクトのタイプ。
    ソース削除オプション 転送後にファイルやディレクトリを削除するかどうか。
    access key id 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    secret access key 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    oauth client id 公開のクライアント固有の OAuth ID。
    oauth client secret OAuth 2.0 クライアント シークレット
    oauth secret refresh uri OAuth 2.0 クライアント シークレットの更新 URI。
    asset namespace フィードが関連付けられる名前空間。
  8. [次へ] をクリックしてから、[送信] をクリックします。

SQS を使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] を選択します。
  2. [新しく追加] をクリックします。
  3. [フィード名] に固有の名前を入力します。
  4. [Source type] で [Amazon SQS] を選択します。
  5. [Log type] で [CrowdStrike Falcon] を選択します。
  6. [次へ] をクリックします。
  7. 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    地域 URI に関連付けられている S3 リージョン。
    QUEUE NAME 読み取り元の SQS キュー名。
    ACCOUNT NUMBER SQS アカウント番号。
    ソース削除オプション 転送後にファイルやディレクトリを削除するかどうか。
    QUEUE ACCESS KEY ID 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    QUEUE SECRET ACCESS KEY 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    asset namespace フィードが関連付けられる名前空間。

  8. [次へ] をクリックしてから、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。