CrowdStrike Falcon-Protokolle erfassen

In diesem Dokument finden Sie Informationen zu CrowdStrike Falcon-Protokollen:

  • Beschreibt, wie Sie CrowdStrike Falcon-Protokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten.
  • Hier erfahren Sie, wie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zugeordnet werden.
  • Liste der unterstützten CrowdStrike Falcon-Protokoll- und Ereignistypen.

Weitere Informationen finden Sie in der Übersicht zur Datenaufnahme in Google SecOps.

Hinweise

  • Sie benötigen Administratorrechte für die CrowdStrike-Instanz, um den CrowdStrike Falcon-Host-Sensor zu installieren.
  • Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.
  • Achten Sie darauf, dass auf dem Gerät ein unterstütztes Betriebssystem ausgeführt wird.
    • Das Betriebssystem muss auf einem 64-Bit-Server ausgeführt werden. Microsoft Windows Server 2008 R2 SP1 wird für CrowdStrike Falcon-Hostsensorversionen 6.51 oder höher unterstützt.
    • Auf Systemen mit älteren Betriebssystemversionen (z. B. Windows 7 SP1) muss die SHA-2-Codesignatur unterstützt werden.
  • Wenden Sie sich an das Google SecOps-Supportteam, um die Datei des Google SecOps-Dienstkontos und Ihre Kundennummer zu erhalten.

CrowdStrike Falcon mit Google SecOps-Feed-Integration bereitstellen

Eine typische Bereitstellung besteht aus CrowdStrike Falcon und dem Google SecOps-Feed, der so konfiguriert ist, dass Protokolle an Google SecOps gesendet werden. Ihre Bereitstellung kann von der typischen Bereitstellung abweichen.

Die Bereitstellung umfasst die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, von dem Sie Protokolle erfassen.
  • CrowdStrike-Feed Der CrowdStrike-Feed, der Protokolle von CrowdStrike abholt und in Google SecOps schreibt.
  • CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das die Informationen aus der Datenquelle erfasst und an Google SecOps weiterleitet.
  • Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungsprotokolle gespeichert und analysiert werden. Ein Datenaufnahmelabel identifiziert den Parser, der die Roh-Logdaten in UDM normalisiert. Die Informationen in diesem Dokument beziehen sich auf CrowdStrike Falcon-Parser mit den folgenden Datenaufnahmelabels:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Der CrowdStrike-IOC-Parser unterstützt die folgenden Indikatortypen:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Google SecOps-Feed für CrowdStrike-EDR-Logs konfigurieren

Führen Sie die folgenden Schritte aus, um den Feed zu konfigurieren.

Falcon Data Replicator-Feed konfigurieren

So richten Sie einen Falcon Data Replicator-Feed ein:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support-Apps > Falcon Data Replicator.
  3. Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen. Dadurch werden eine S3-ID, eine SQS-URL und ein Client-Secret generiert.
  4. Verwende den generierten Feed, die S3-ID, die SQS-URL und den Client-Secret-Wert, um den Feed in Google SecOps einzurichten.

Weitere Informationen finden Sie unter Falcon Data-Replikator-Feed einrichten.

Datenaufnahmefeeds einrichten

Sie können Amazon SQS oder einen Amazon S3-Bucket verwenden, um den Datenaufnahmefeed in Google SecOps einzurichten. Amazon SQS wird bevorzugt, aber auch Amazon S3 wird unterstützt.

Datenaufnahmefeed mit einem S3-Bucket einrichten

So richten Sie einen Datenaufnahmefeed mit einem S3-Bucket ein:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Wählen Sie im Dreipunkt-Menü  die Einstellungen > Feeds aus.
  3. Klicken Sie auf Neu hinzufügen.
  4. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  5. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  6. Geben Sie basierend auf dem Dienstkonto und der von Ihnen erstellten Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region Die S3-Region, die mit dem URI verknüpft ist.
    S3 uri Der URI der S3-Bucket-Quelle.
    uri is a Der Typ des Objekts, auf das der URI verweist.
    source deletion option Ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
    access key id Ein Kontozugriffsschlüssel, der aus 20 alphanumerischen Zeichen besteht, z. B. AKIAOSFOODNN7EXAMPLE.
    secret access key Ein Kontozugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist, z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Eine öffentliche, clientspezifische OAuth-Kennung.
    oauth client secret Der OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Der URI zum Aktualisieren des OAuth 2.0-Clientschlüssels.
    asset namespace Der Namespace, dem der Feed zugeordnet wird.

Datenaufnahmefeed mit Amazon SQS einrichten

So richten Sie einen Datenaufnahmefeed mit Amazon SQS ein:

  1. Wählen Sie im Dreipunkt-Menü  die Einstellungen > Feeds aus.
  2. Klicken Sie auf Neu hinzufügen.
  3. Wählen Sie unter Quelltyp die Option Amazon SQS aus.
  4. Wählen Sie unter Log-Typ die Option CrowdStrike Falcon aus.
  5. Geben Sie basierend auf dem Dienstkonto und der von Ihnen erstellten Amazon SQS-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region Die S3-Region, die mit dem URI verknüpft ist.
    QUEUE NAME Der Name der SQS-Warteschlange, aus der gelesen werden soll.
    ACCOUNT NUMBER Die SQS-Kontonummer.
    source deletion option Ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
    QUEUE ACCESS KEY ID Ein Kontozugriffsschlüssel, der aus 20 alphanumerischen Zeichen besteht, z. B. AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Ein Kontozugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist, z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Der Namespace, dem der Feed zugeordnet wird.
    submit Der Befehl zum Einreichen des Feeds.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

Google SecOps-Feed für CrowdStrike-Logs konfigurieren

So richten Sie einen Datenaufnahmefeed in Google SecOps ein, um CrowdStrike-Erkennungsüberwachungsprotokolle aufzunehmen:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Apps unterstützen > API-Clients und ‑Schlüssel .
  3. Erstellen Sie ein neues API-Client-Schlüsselpaar in CrowdStrike Falcon. Mit diesem Schlüsselpaar werden Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon gelesen.
  4. Gewähren Sie Detections und Alerts die Berechtigung READ, während Sie das Schlüsselpaar erstellen.
  5. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  6. Wählen Sie im Dreipunkt-Menü  Einstellungen > Feeds aus.
  7. Klicken Sie auf Neu hinzufügen.
  8. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  9. Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

CrowdStrike-IOC-Logs in Google SecOps aufnehmen

So konfigurieren Sie die Logaufnahme in Google SecOps für CrowdStrike-IOC-Logs:

  1. Erstellen Sie ein neues API-Client-Schlüsselpaar in CrowdStrike Falcon. Google SecOps Intel Bridge verwendet dieses Schlüsselpaar, um Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon zu lesen. Weitere Informationen finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
  2. Gewähren Sie READ die Berechtigung Indicators (Falcon Intelligence), während Sie das Schlüsselpaar erstellen.
  3. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike-zu-Google SecOps-Intel-Bridge.

  4. Führen Sie die folgenden Befehle aus, um die Protokolle von CrowdStrike an Google SecOps zu senden. Dabei ist sa.json die Datei des Google SecOps-Dienstkontos:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten