CrowdStrike Falcon のログを収集する

このドキュメントでは、CrowdStrike Falcon ログを Google Security Operations に取り込む方法について説明します。

  • Google Security Operations フィードを設定して、CrowdStrike Falcon のログを収集する。
  • CrowdStrike Falcon のログフィールドを Google SecOps 統合データモデル(UDM)フィールドにマッピングします。
  • サポートされている CrowdStrike Falcon のログタイプとイベントタイプを理解する。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

始める前に

次の前提条件を満たしていることを確認します。

  • CrowdStrike Falcon ホストセンサーをインストールするための CrowdStrike インスタンスに対する管理者権限
  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されています。
  • ターゲット デバイスがサポートされているオペレーティング システムで動作している
    • 64 ビット サーバーである必要があります
    • Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョンは SHA-2 コード署名をサポートしている必要があります。
  • Google SecOps サービス アカウント ファイルと、Google SecOps サポートチームから提供されたお客様 ID

Google SecOps フィード統合で CrowdStrike Falcon をデプロイする

一般的なデプロイは、ログを送信する CrowdStrike Falcon と、ログを取得する Google SecOps フィードで構成されます。デプロイは、設定によって若干異なる場合があります。

通常、デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。
  • CrowdStrike フィード: CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。
  • CrowdStrike Intel Bridge: データソースから脅威インジケーターを収集し、Google SecOps に転送する CrowdStrike プロダクト。
  • Google SecOps: CrowdStrike 検出ログを保持、正規化、分析するプラットフォーム。
  • 未加工のログデータを UDM 形式に正規化する取り込みラベル パーサー。このドキュメントの情報は、次の取り込みラベルを持つ CrowdStrike Falcon パーサーに適用されます。
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike のセキュリティ侵害インジケーター(IoC)パーサーは、次のインジケーター タイプをサポートしています。
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

CrowdStrike EDR ログ用に Google SecOps フィードを構成する

フィードを構成するには、次の手順が必要です。

CrowdStrike の構成方法

Falcon Data Replicator フィードを設定する手順は次のとおりです。

  1. CrowdStrike Falcon コンソールにログインします。
  2. [サポートアプリ] > [Falcon Data Replicator] に移動します。
  3. [追加] をクリックして新しい Falcon Data Replicator フィードを作成し、次の値を生成します。
    • フィード
    • S3 ID
    • SQS URL
  4. クライアント シークレット。これらの値を保持して、Google SecOps でフィードを設定します。

詳細については、Falcon Data レプリケータ フィードを設定する方法をご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [コンテンツ ハブ] > [コンテンツ パック]

[SIEM 設定] > [フィード] でフィードを設定します。

このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

Amazon SQS を使用して取り込みフィードを設定する

Google SecOps で取り込みフィードを設定するには、Amazon SQS(推奨)または Amazon S3 を使用できます。

Amazon SQS を使用して取り込みフィードを設定するには、次の操作を行います。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  5. [Source type] で [Amazon SQS] を選択します。
  6. [Log type] で [CrowdStrike Falcon] を選択します。
  7. 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region SQS キューに関連付けられているリージョン。
    QUEUE NAME 読み取り元の SQS キューの名前。
    ACCOUNT NUMBER SQS キューを所有するアカウント番号。
    source deletion option データの転送後にファイルとディレクトリを削除するオプション。
    QUEUE ACCESS KEY ID 20 文字のアクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace フィードに関連付けられた Namespace。
    submit フィード構成を Google SecOps に送信して保存します。

問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

Amazon S3 バケットを使用して取り込みフィードを設定する

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  5. [Source type] で [Amazon SQS] を選択します。
  6. [Source type] で [Amazon S3] を選択します。
  7. [Log type] で [CrowdStrike Falcon] を選択します。
  8. 作成したサービス アカウントと Amazon S3 バケット構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region S3 リージョン URI。
    S3 uri S3 バケットのソース URI。
    uri is a URI が指すオブジェクトのタイプ(ファイル、フォルダなど)。
    source deletion option データの転送後にファイルとディレクトリを削除するオプション。
    access key id アクセスキー(20 文字の英数字文字列)。例: AKIAOSFOODNN7EXAMPLE
    secret access key シークレット アクセスキー(40 文字の英数字文字列)。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公開 OAuth クライアント ID。
    oauth client secret OAuth 2.0 クライアント シークレット
    oauth secret refresh uri OAuth 2.0 クライアント シークレット更新 URI。
    asset namespace フィードに関連付けられた Namespace。

Content Hub からフィードを設定する

Google SecOps で取り込みフィードを構成するには、Amazon SQS(推奨)または Amazon S3 を使用します。

次のフィールドに値を指定します。

  • リージョン: S3 バケットまたは SQS キューがホストされているリージョン。
  • キュー名: ログデータを読み取る SQS キューの名前。
  • Account Number: SQS キューを所有するアカウント番号。
  • Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
  • Queue Secret Access Key: 40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられている名前空間
  • 取り込みラベル - このフィードのすべてのイベントに適用されるラベル。

CrowdStrike ログ用に Google SecOps フィードを構成する

CrowdStrike 検出モニタリング ログを転送する手順は次のとおりです。

  1. CrowdStrike Falcon Console にログインします。
  2. [アプリのサポート] > [API クライアントとキー] に移動します。
  3. CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。この鍵ペアには、CrowdStrike Falcon の DetectionsAlerts の両方に対する READ 権限が必要です。

CrowdStrike 検出モニタリング ログを受け取る手順は次のとおりです。

  1. Google SecOps インスタンスにログインします。
  2. [SIEM 設定] > [フィード] に移動します。
  3. [Add New Feed] をクリックします。
  4. 次のページで [単一フィードを設定] をクリックします。
  5. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  6. [Source type] で [Amazon SQS] を選択します。
  7. [ソースタイプ] で [サードパーティ API] を選択します。
  8. [Log type] で [CrowdStrike Detection Monitoring] を選択します。

問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

CrowdStrike IoC ログを Google SecOps に取り込む

CrowdStrike から Google SecOps への IoC ログの取り込みを構成する手順は次のとおりです。

  1. CrowdStrike Falcon Console で新しい API クライアント鍵ペアを作成します。この鍵ペアにより、Google SecOps Intel Bridge は CrowdStrike Falcon のイベントと補足情報にアクセスして読み取ることができます。設定手順については、CrowdStrike から Google SecOps Intel Bridge への接続をご覧ください。
  2. 鍵ペアを作成するときに、Indicators (Falcon Intelligence)READ 権限を付与します。
  3. CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。

  4. 次の Docker コマンドを実行して、CrowdStrike から Google SecOps にログを送信します。ここで、sa.json は Google SecOps サービス アカウント ファイルです。

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. コンテナが正常に実行されると、IoC ログが Google SecOps にストリーミングされ始めます。

サポートされている CrowdStrike ログ形式

CrowdStrike パーサーは、JSON 形式のログをサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。