CrowdStrike Falcon のログを収集する
このドキュメントでは、CrowdStrike Falcon ログを Google Security Operations に取り込む方法について説明します。
- Google Security Operations フィードを設定して、CrowdStrike Falcon のログを収集する。
- CrowdStrike Falcon のログフィールドを Google SecOps 統合データモデル(UDM)フィールドにマッピングします。
- サポートされている CrowdStrike Falcon のログタイプとイベントタイプを理解する。
詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。
始める前に
次の前提条件を満たしていることを確認します。
- CrowdStrike Falcon ホストセンサーをインストールするための CrowdStrike インスタンスに対する管理者権限
- デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されています。
- ターゲット デバイスがサポートされているオペレーティング システムで動作している
- 64 ビット サーバーである必要があります
- Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
- 以前の OS バージョンは SHA-2 コード署名をサポートしている必要があります。
- Google SecOps サービス アカウント ファイルと、Google SecOps サポートチームから提供されたお客様 ID
Google SecOps フィード統合で CrowdStrike Falcon をデプロイする
一般的なデプロイは、ログを送信する CrowdStrike Falcon と、ログを取得する Google SecOps フィードで構成されます。デプロイは、設定によって若干異なる場合があります。
通常、デプロイには次のコンポーネントが含まれます。
- CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。
- CrowdStrike フィード: CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。
- CrowdStrike Intel Bridge: データソースから脅威インジケーターを収集し、Google SecOps に転送する CrowdStrike プロダクト。
- Google SecOps: CrowdStrike 検出ログを保持、正規化、分析するプラットフォーム。
- 未加工のログデータを UDM 形式に正規化する取り込みラベル パーサー。このドキュメントの情報は、次の取り込みラベルを持つ CrowdStrike Falcon パーサーに適用されます。
CS_EDR
CS_DETECTS
CS_IOC
CrowdStrike のセキュリティ侵害インジケーター(IoC)パーサーは、次のインジケーター タイプをサポートしています。domain
email_address
file_name
file_path
hash_md5
hash_sha1
hash_sha256
ip_address
mutex_name
url
CrowdStrike EDR ログ用に Google SecOps フィードを構成する
フィードを構成するには、次の手順が必要です。
CrowdStrike の構成方法
Falcon Data Replicator フィードを設定する手順は次のとおりです。
- CrowdStrike Falcon コンソールにログインします。
- [サポートアプリ] > [Falcon Data Replicator] に移動します。
- [追加] をクリックして新しい Falcon Data Replicator フィードを作成し、次の値を生成します。
- フィード
- S3 ID、
- SQS URL
- クライアント シークレット。これらの値を保持して、Google SecOps でフィードを設定します。
詳細については、Falcon Data レプリケータ フィードを設定する方法をご覧ください。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [コンテンツ ハブ] > [コンテンツ パック]
[SIEM 設定] > [フィード] でフィードを設定します。
このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
Amazon SQS を使用して取り込みフィードを設定する
Google SecOps で取り込みフィードを設定するには、Amazon SQS(推奨)または Amazon S3 を使用できます。
Amazon SQS を使用して取り込みフィードを設定するには、次の操作を行います。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [Source type] で [Amazon SQS] を選択します。
- [Log type] で [CrowdStrike Falcon] を選択します。
- 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
フィールド 説明 region
SQS キューに関連付けられているリージョン。 QUEUE NAME
読み取り元の SQS キューの名前。 ACCOUNT NUMBER
SQS キューを所有するアカウント番号。 source deletion option
データの転送後にファイルとディレクトリを削除するオプション。 QUEUE ACCESS KEY ID
20 文字のアクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
QUEUE SECRET ACCESS KEY
40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
asset namespace
フィードに関連付けられた Namespace。 submit
フィード構成を Google SecOps に送信して保存します。
問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。
Amazon S3 バケットを使用して取り込みフィードを設定する
S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [Source type] で [Amazon SQS] を選択します。
- [Source type] で [Amazon S3] を選択します。
- [Log type] で [CrowdStrike Falcon] を選択します。
- 作成したサービス アカウントと Amazon S3 バケット構成に基づいて、次のフィールドに値を指定します。
フィールド 説明 region
S3 リージョン URI。 S3 uri
S3 バケットのソース URI。 uri is a
URI が指すオブジェクトのタイプ(ファイル、フォルダなど)。 source deletion option
データの転送後にファイルとディレクトリを削除するオプション。 access key id
アクセスキー(20 文字の英数字文字列)。例: AKIAOSFOODNN7EXAMPLE
secret access key
シークレット アクセスキー(40 文字の英数字文字列)。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
oauth client id
公開 OAuth クライアント ID。 oauth client secret
OAuth 2.0 クライアント シークレット oauth secret refresh uri
OAuth 2.0 クライアント シークレット更新 URI。 asset namespace
フィードに関連付けられた Namespace。
Content Hub からフィードを設定する
Google SecOps で取り込みフィードを構成するには、Amazon SQS(推奨)または Amazon S3 を使用します。
次のフィールドに値を指定します。
- リージョン: S3 バケットまたは SQS キューがホストされているリージョン。
- キュー名: ログデータを読み取る SQS キューの名前。
- Account Number: SQS キューを所有するアカウント番号。
- Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例:
AKIAOSFOODNN7EXAMPLE
- Queue Secret Access Key: 40 文字のシークレット アクセスキー。例:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
- ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられている名前空間。
- 取り込みラベル - このフィードのすべてのイベントに適用されるラベル。
CrowdStrike ログ用に Google SecOps フィードを構成する
CrowdStrike 検出モニタリング ログを転送する手順は次のとおりです。
- CrowdStrike Falcon Console にログインします。
- [アプリのサポート] > [API クライアントとキー] に移動します。
- CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。この鍵ペアには、CrowdStrike Falcon の
Detections
とAlerts
の両方に対するREAD
権限が必要です。
CrowdStrike 検出モニタリング ログを受け取る手順は次のとおりです。
- Google SecOps インスタンスにログインします。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [Source type] で [Amazon SQS] を選択します。
- [ソースタイプ] で [サードパーティ API] を選択します。
- [Log type] で [CrowdStrike Detection Monitoring] を選択します。
問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。
CrowdStrike IoC ログを Google SecOps に取り込む
CrowdStrike から Google SecOps への IoC ログの取り込みを構成する手順は次のとおりです。
- CrowdStrike Falcon Console で新しい API クライアント鍵ペアを作成します。この鍵ペアにより、Google SecOps Intel Bridge は CrowdStrike Falcon のイベントと補足情報にアクセスして読み取ることができます。設定手順については、CrowdStrike から Google SecOps Intel Bridge への接続をご覧ください。
- 鍵ペアを作成するときに、
Indicators (Falcon Intelligence)
にREAD
権限を付与します。 - CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。
次の Docker コマンドを実行して、CrowdStrike から Google SecOps にログを送信します。ここで、
sa.json
は Google SecOps サービス アカウント ファイルです。docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latest
コンテナが正常に実行されると、IoC ログが Google SecOps にストリーミングされ始めます。
サポートされている CrowdStrike ログ形式
CrowdStrike パーサーは、JSON 形式のログをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。