CrowdStrike Falcon EDR ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを使用して CrowdStrike Falcon EDR ログを Google Security Operations にエクスポートする方法と、CrowdStrike Falcon EDR フィールドが Google Security Operations の統合データモデル(UDM)フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、Google Security Operations への取り込みが有効になっている CrowdStrike で構成されています。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログを収集する CrowdStrike プロダクト。

  • Google Security Operations: CrowdStrike EDR ログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CS_EDR が付加されたパーサーに適用されます。

始める前に

  • CrowdStrike Falcon ホストセンサーをインストールするために、CrowdStrike インスタンスに対する管理者権限があることを確認します。

  • デバイスがサポートされているオペレーティング システムで実行されていることを確認します。

    • OS は 64 ビット サーバーで実行されている必要があります。Microsoft Windows Server 2008 R2 SP1 は、Crowdstrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョン(Windows 7 SP1 など)を実行しているシステムでは、デバイスに SHA-2 コード署名サポートがインストールされている必要があります。

  • Google Security Operations サポートチームから、Google Security Operations サービス アカウント ファイルとお客様 ID を取得します。

  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Falcon Data Replicator フィードを構成する

Falcon Data Replicator フィードを設定する手順は次のとおりです。

  1. [追加] ボタンをクリックして、新しい Falcon Data Replicator フィードを作成します。これにより、S3 IDSQS URLクライアント シークレットが生成されます。
  2. 生成されたフィードS3 IDSQS URLクライアント シークレットの値を使用して、Google Security Operations でフィードを設定します。

Google Security Operations でフィードを構成して、CrowdStrike EDR ログを取り込む

SQS または S3 バケットを使用して、Google Security Operations で取り込みフィードを設定できます。SQS が推奨されますが、S3 もサポートされています。

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] を選択します。
  2. [新しく追加] をクリックします。
  3. [フィード名] に固有の名前を入力します。
  4. [ソースタイプ] で [Amazon S3] を選択します。
  5. [ログの種類] で [CrowdStrike Falcon] を選択します。
  6. [次へ] をクリックします。
  7. 作成したサービス アカウントと Amazon S3 バケットの構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region URI に関連付けられている S3 リージョン。
    S3 URI S3 バケットのソース URI。
    uri は 参照するオブジェクト URI のタイプ。
    ソース削除オプション 転送後にファイルやディレクトリを削除するかどうか。
    アクセスキー ID 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    シークレット アクセスキー 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    oauth クライアント ID 公開のクライアント固有の OAuth ID。
    oauth クライアント シークレット OAuth 2.0 クライアント シークレット。
    oauth secret refresh uri OAuth 2.0 クライアント シークレットの更新 URI。
    アセットの名前空間 フィードが関連付けられる Namespace。
  8. [次へ] をクリックしてから、[送信] をクリックします。

SQS を使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] を選択します。
  2. [新しく追加] をクリックします。
  3. [フィード名] に固有の名前を入力します。
  4. [ソースタイプ] で [Amazon SQS] を選択します。
  5. [ログの種類] で [CrowdStrike Falcon] を選択します。
  6. [次へ] をクリックします。
  7. 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region URI に関連付けられている S3 リージョン。
    キュー名 読み取り元の SQS キュー名。
    口座番号 SQS アカウント番号。
    ソース削除オプション 転送後にファイルやディレクトリを削除するかどうか。
    QUEUE ACCESS KEY ID 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    キューのシークレット アクセスキー 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    アセットの名前空間 フィードが関連付けられる Namespace。

  8. [次へ] をクリックしてから、[送信] をクリックします。