Mengumpulkan log CrowdStrike Falcon

Dokumen ini memberikan panduan tentang cara menyerap log CrowdStrike Falcon ke dalam Google Security Operations sebagai berikut:

  • Kumpulkan log CrowdStrike Falcon dengan menyiapkan feed Google Security Operations.
  • Petakan kolom log CrowdStrike Falcon ke kolom Model Data Terpadu (UDM) Google SecOps.
  • Pahami jenis log dan jenis peristiwa CrowdStrike Falcon yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Hak administrator di instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon
  • Semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
  • Perangkat target berjalan di sistem operasi yang didukung
    • Harus berupa server 64-bit
    • Microsoft Windows Server 2008 R2 SP1 didukung untuk sensor Host CrowdStrike Falcon versi 6.51 atau yang lebih baru.
    • Versi OS lama harus mendukung penandatanganan kode SHA-2.
  • File akun layanan Google SecOps dan ID pelanggan Anda dari tim dukungan Google SecOps

Men-deploy CrowdStrike Falcon dengan integrasi feed Google SecOps

Deployment standar terdiri dari CrowdStrike Falcon yang mengirim log, dan feed Google SecOps yang mengambil log. Deployment Anda mungkin sedikit berbeda berdasarkan penyiapan Anda.

Deployment biasanya mencakup komponen berikut:

  • CrowdStrike Falcon Intelligence: Produk CrowdStrike tempat Anda mengumpulkan log.
  • Feed CrowdStrike. Feed CrowdStrike yang mengambil log dari CrowdStrike dan menulisnya ke Google SecOps.
  • CrowdStrike Intel Bridge: Produk CrowdStrike yang mengumpulkan indikator ancaman dari sumber data dan meneruskannya ke Google SecOps.
  • Google SecOps: Platform yang menyimpan, menormalisasi, dan menganalisis log deteksi CrowdStrike.
  • Parser label penyerapan yang menormalisasi data log mentah ke dalam format UDM. Informasi dalam dokumen ini berlaku untuk parser CrowdStrike Falcon dengan label transfer berikut:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Parser Indikator Gangguan (IoC) CrowdStrike mendukung jenis indikator berikut:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Mengonfigurasi feed Google SecOps untuk log CrowdStrike EDR

Prosedur berikut diperlukan untuk mengonfigurasi feed.

Cara mengonfigurasi CrowdStrike

Untuk menyiapkan feed Falcon Data Replicator, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Aplikasi Dukungan > Falcon Data Replicator.
  3. Klik Tambahkan untuk membuat feed Falcon Data Replicator baru dan membuat nilai berikut:
    • Feed
    • ID S3,
    • URL SQS
  4. Rahasia klien. Simpan nilai ini untuk menyiapkan feed di Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Cara menyiapkan feed replikator Falcon Data.

Menyiapkan feed

Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk jenis log yang berbeda dalam grup produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Menyiapkan feed transfer dengan Amazon SQS

Anda dapat menggunakan Amazon SQS (lebih disukai) atau Amazon S3 untuk menyiapkan feed transfer di Google SecOps.

Untuk menyiapkan feed penyerapan dengan Amazon SQS, selesaikan langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasikan satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Crowdstrike Falcon Logs.
  5. Di Source type, pilih Amazon SQS.
  6. Di Jenis log, pilih CrowdStrike Falcon.
  7. Berdasarkan akun layanan dan konfigurasi Amazon SQS yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Wilayah yang terkait dengan antrean SQS.
    QUEUE NAME Nama antrean SQS yang akan dibaca.
    ACCOUNT NUMBER Nomor akun yang memiliki antrean SQS.
    source deletion option Opsi untuk menghapus file dan direktori setelah mentransfer data.
    QUEUE ACCESS KEY ID ID kunci akses 20 karakter. Misalnya, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Kunci akses rahasia 40 karakter. Misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Namespace yang terkait dengan feed.
    submit Kirim dan simpan konfigurasi feed ke Google SecOps.

Jika Anda mengalami masalah, hubungi tim dukungan Google SecOps.

Menyiapkan feed penyerapan dengan bucket Amazon S3

Untuk menyiapkan feed transfer menggunakan bucket S3, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasikan satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Crowdstrike Falcon Logs.
  5. Di Source type, pilih Amazon SQS.
  6. Di Source type, pilih Amazon S3.
  7. Di Jenis log, pilih CrowdStrike Falcon.
  8. Berdasarkan akun layanan dan konfigurasi bucket Amazon S3 yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region URI region S3.
    S3 uri URI sumber bucket S3.
    uri is a Jenis objek yang dituju URI (misalnya, file atau folder).
    source deletion option Opsi untuk menghapus file dan direktori setelah mentransfer data.
    access key id Kunci akses (string alfanumerik 20 karakter). Misalnya, AKIAOSFOODNN7EXAMPLE.
    secret access key Kunci akses rahasia (string alfanumerik 40 karakter). Misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Client ID OAuth publik.
    oauth client secret Rahasia klien OAuth 2.0.
    oauth secret refresh uri URI refresh rahasia klien OAuth 2.0.
    asset namespace Namespace yang terkait dengan feed.

Menyiapkan feed dari Content Hub

Anda dapat mengonfigurasi feed penyerapan di Google SecOps menggunakan Amazon SQS (lebih disukai) atau Amazon S3.

Tentukan nilai untuk kolom berikut:

  • Region: Region tempat bucket S3 atau antrean SQS dihosting.
  • Nama Antrean: Nama antrean SQS tempat data log akan dibaca.
  • Nomor Akun: Nomor akun yang memiliki antrean SQS.
  • Queue Access Key ID: ID kunci akses akun 20 karakter. Contoh, AKIAOSFOODNN7EXAMPLE.
  • Queue Secret Access Key: Kunci akses rahasia 40 karakter. Contoh, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Opsi penghapusan sumber: Opsi untuk menghapus file dan direktori setelah mentransfer data.

Opsi lanjutan

  • Nama Feed: Nilai yang diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan – Label yang diterapkan ke semua peristiwa dari feed ini.

Mengonfigurasi feed Google SecOps untuk log CrowdStrike

Untuk meneruskan log pemantauan deteksi CrowdStrike, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Support Apps > API Clients and Keys .
  3. Buat pasangan kunci klien API baru di CrowdStrike Falcon. Pasangan kunci ini harus memiliki izin READ untuk Detections dan Alerts dari CrowdStrike Falcon.

Untuk menerima log pemantauan deteksi CrowdStrike, ikuti langkah-langkah berikut:

  1. Login ke instance Google SecOps Anda.
  2. Buka Setelan SIEM > Feed.
  3. Klik Tambahkan Feed Baru.
  4. Di halaman berikutnya, klik Konfigurasikan satu feed.
  5. Di kolom Feed name, masukkan nama untuk feed; misalnya, Crowdstrike Falcon Logs.
  6. Di Source type, pilih Amazon SQS.
  7. Di Source type, pilih Third Party API.
  8. Di Log type, pilih CrowdStrike Detection Monitoring.

Jika Anda mengalami masalah, hubungi tim dukungan Google SecOps.

Menyerap log IoC CrowdStrike ke Google SecOps

Untuk mengonfigurasi penyerapan log dari CrowdStrike ke Google SecOps untuk log IoC, selesaikan langkah-langkah berikut:

  1. Buat pasangan kunci klien API baru di Konsol CrowdStrike Falcon. Pasangan kunci ini memungkinkan Google SecOps Intel Bridge mengakses dan membaca peristiwa serta informasi tambahan dari CrowdStrike Falcon. Untuk petunjuk penyiapan, lihat Jembatan Intel CrowdStrike ke Google SecOps.
  2. Berikan izin READ ke Indicators (Falcon Intelligence) saat Anda membuat pasangan kunci.
  3. Siapkan Google SecOps Intel Bridge dengan mengikuti langkah-langkah di CrowdStrike ke Google SecOps Intel Bridge.

  4. Jalankan perintah Docker berikut untuk mengirim log dari CrowdStrike ke Google SecOps, dengan sa.json adalah file akun layanan Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Setelah penampung berhasil berjalan, log IoC akan mulai di-streaming ke Google SecOps.

Format log CrowdStrike yang didukung

Parser CrowdStrike mendukung log dalam format JSON.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.