Recopila registros de CrowdStrike Falcon

En este documento, se ofrece orientación sobre los registros de CrowdStrike Falcon de la siguiente manera:

  • Describe cómo recopilar registros de CrowdStrike Falcon configurando un feed de Google Security Operations.
  • Explica cómo los campos de registro de CrowdStrike Falcon se asignan a los campos del modelo de datos unificado (UDM) de Google SecOps.
  • Muestra los tipos de eventos y registros compatibles con CrowdStrike Falcon.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.

Antes de comenzar

  • Asegúrate de tener derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon.
  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
  • Asegúrate de que el dispositivo se ejecute en un sistema operativo compatible.
    • El SO debe ejecutarse en un servidor de 64 bits. Microsoft Windows Server 2008 R2 SP1 es compatible con las versiones 6.51 o posteriores del sensor de host de CrowdStrike Falcon.
    • Los sistemas que ejecutan versiones heredadas del SO (por ejemplo, Windows 7 SP1) requieren la compatibilidad con la firma de código SHA-2 instalada en sus dispositivos.
  • Obtén el archivo de la cuenta de servicio de Google SecOps y tu ID de cliente del equipo de asistencia al cliente de Google SecOps.

Implementa CrowdStrike Falcon con la integración del feed de Google SecOps

Una implementación típica consta de CrowdStrike Falcon y el feed de Google SecOps configurado para enviar registros a Google SecOps. Tu implementación puede diferir de la implementación típica.

La implementación contiene los siguientes componentes:

  • CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike del que recopilas registros.
  • Feed de CrowdStrike. El feed de CrowdStrike que recupera registros de CrowdStrike y escribe registros en Google SecOps.
  • CrowdStrike Intel Bridge: Es el producto de CrowdStrike que recopila la información de la fuente de datos y la reenvía a Google SecOps.
  • Google SecOps: Es la plataforma que retiene y analiza los registros de detección de CrowdStrike. Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al UDM. La información de este documento se aplica a los analizadores de CrowdStrike Falcon con las siguientes etiquetas de transferencia:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC El analizador de IOC de CrowdStrike admite los siguientes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed de Google SecOps para los registros de EDR de CrowdStrike

Para configurar el feed, debes seguir los siguientes procedimientos.

Configura un feed del replicador de datos de Falcon

Para configurar un feed de Falcon Data Replicator, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Apps de asistencia > Falcon Data Replicator.
  3. Haz clic en Agregar para crear un nuevo feed de Falcon Data Replicator. Se generarán el identificador de S3, la URL de SQS y el secreto de cliente.
  4. Usa los valores generados de Feed, Identificador de S3, URL de SQS y Secreto de cliente para configurar el feed en Google SecOps.

Para obtener más información, consulta Cómo configurar el feed del replicador de datos de Falcon.

Cómo configurar feeds de transferencia

Puedes usar Amazon SQS o un bucket de Amazon S3 para configurar el feed de transferencia en Google SecOps. Se prefiere Amazon SQS, pero también se admite Amazon S3.

Configura un feed de transferencia con un bucket de S3

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

  1. Accede a tu instancia de Google SecOps.
  2. En el menú de la aplicación , selecciona Configuración > Feeds.
  3. Haz clic en Agregar nueva.
  4. En Tipo de fuente, selecciona Amazon S3.
  5. En Tipo de registro, selecciona CrowdStrike Falcon.
  6. Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica los valores de los siguientes campos:
    Campo Descripción
    region Es la región de S3 asociada con el URI.
    S3 uri Es el URI de origen del bucket de S3.
    uri is a Es el tipo de objeto al que apunta el URI.
    source deletion option Si quieres borrar archivos y directorios después de la transferencia.
    access key id Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
    secret access key Una clave de acceso de la cuenta que es una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Un identificador de OAuth público y específico del cliente.
    oauth client secret El secreto del cliente de OAuth 2.0
    oauth secret refresh uri El URI de actualización del secreto de cliente de OAuth 2.0.
    asset namespace Es el espacio de nombres con el que se asociará el feed.

Configura un feed de transferencia con Amazon SQS

Para configurar un feed de transferencia con Amazon SQS, completa lo siguiente:

  1. En el menú de la aplicación , selecciona Configuración > Feeds.
  2. Haz clic en Agregar nueva.
  3. En Tipo de fuente, selecciona Amazon SQS.
  4. En Tipo de registro, selecciona CrowdStrike Falcon.
  5. Según la cuenta de servicio y la configuración de Amazon SQS que creaste, especifica los valores para los siguientes campos:
    Campo Descripción
    region Es la región de S3 asociada con el URI.
    QUEUE NAME El nombre de la cola de SQS de la que se leerá.
    ACCOUNT NUMBER El número de cuenta de SQS
    source deletion option Si quieres borrar archivos y directorios después de la transferencia.
    QUEUE ACCESS KEY ID Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Una clave de acceso de la cuenta que sea una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Es el espacio de nombres con el que se asociará el feed.
    submit Es el comando para enviar el feed.

Si tienes problemas, comunícate con el equipo de asistencia de SecOps de Google.

Configura un feed de Google SecOps para los registros de CrowdStrike

Para configurar un feed de transferencia en Google SecOps y transferir los registros de supervisión de detección de CrowdStrike, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Apps de asistencia > Clientes y claves de API .
  3. Crea un nuevo par de claves de cliente de API en CrowdStrike Falcon. Este par de claves lee eventos y datos complementarios de CrowdStrike Falcon.
  4. Proporciona permiso READ a Detections y Alerts mientras creas el par de claves.
  5. Accede a tu instancia de Google SecOps.
  6. En el menú de la aplicación , selecciona Configuración > Feeds.
  7. Haz clic en Agregar nueva.
  8. En Tipo de fuente, selecciona API de terceros.
  9. En Tipo de registro, selecciona CrowdStrike Detection Monitoring.

Si tienes problemas, comunícate con el equipo de asistencia de SecOps de Google.

Transfiere registros de IOC de CrowdStrike a Google SecOps

Para configurar la transferencia de registros a Google SecOps para los registros de IOC de CrowdStrike, completa los siguientes pasos:

  1. Crea un nuevo par de claves de cliente de API en CrowdStrike Falcon. Google SecOps Intel Bridge usa este par de claves para leer eventos y datos complementarios de CrowdStrike Falcon. Para obtener más información, consulta Puente de Intel de CrowdStrike a Google SecOps.
  2. Proporciona el permiso READ a Indicators (Falcon Intelligence) mientras creas el par de claves.
  3. Para configurar el puente de Intel de Google SecOps, sigue los pasos que se indican en CrowdStrike al puente de Intel de Google SecOps.

  4. Ejecuta los siguientes comandos para enviar los registros de CrowdStrike a Google SecOps, en los que sa.json es el archivo de la cuenta de servicio de Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.