CrowdStrike Falcon EDR 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 통해 CrowdStrike Falcon EDR 로그를 Google Security Operations로 내보내는 방법과 CrowdStrike Falcon EDR 필드가 Google Security Operations 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

일반적인 배포는 Google Security Operations에 대한 수집에 사용 설정된 CrowdStrike로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

  • CrowdStrike Falcon Intelligence: 로그를 수집하는 CrowdStrike 제품입니다.

  • Google Security Operations: CrowdStrike EDR 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CS_EDR 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

  • CrowdStrike Falcon 호스트 센서를 설치할 수 있는 CrowdStrike 인스턴스 관리자 권한이 있는지 확인합니다.

  • 기기가 지원되는 운영체제에서 실행 중인지 확인합니다.

    • OS가 64비트 서버에서 실행 중인 상태여야 합니다. Microsoft Windows Server 2008 R2 SP1은 Crowdstrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
    • 기존 OS 버전 (예: Windows 7 SP1)을 실행하는 시스템의 경우 기기에 SHA-2 코드 서명 지원이 설치되어 있어야 합니다.

  • Google Security Operations 지원팀에서 Google Security Operations 서비스 계정 파일과 고객 ID를 가져옵니다.

  • 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

Falcon Data Replicator 피드 구성

Falcon Data Replicator 피드를 설정하려면 다음 단계를 따르세요.

  1. 추가 버튼을 클릭하여 새 Falcon Data Replicator 피드를 만듭니다. 그러면 S3 식별자, SQS URL, 클라이언트 보안 비밀번호가 생성됩니다.
  2. 생성된 피드, S3 식별자, SQS URL, 클라이언트 비밀번호 값을 사용하여 Google Security Operations에서 피드를 설정합니다.

CrowdStrike EDR 로그를 수집하도록 Google Security Operations에서 피드 구성

SQS 또는 S3 버킷을 사용하여 Google Security Operations에서 수집 피드를 설정할 수 있습니다. SQS가 선호되지만 S3도 지원됩니다.

S3 버킷을 사용하여 처리 피드를 설정하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드를 선택합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름에 고유한 이름을 입력합니다.
  4. 소스 유형에서 Amazon S3를 선택합니다.
  5. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  6. 다음을 클릭합니다.
  7. 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    리전 URI와 연결된 S3 리전입니다.
    S3 uri S3 버킷 소스 URI입니다.
    uri는 URI가 가리키는 객체의 유형입니다.
    소스 삭제 옵션 전송 후 파일 또는 디렉터리를 삭제할지 여부입니다.
    액세스 키 ID 20자리 영숫자 문자열로 된 계정 액세스 키(예: AKIAOSFOODNN7EXAMPLE)
    보안 비밀 액세스 키 40자리 영숫자 문자열로 된 계정 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
    oauth 클라이언트 ID 공개 클라이언트별 OAuth 식별자입니다.
    oauth 클라이언트 비밀번호 OAuth 2.0 클라이언트 보안 비밀번호
    oauth secret refresh uri OAuth 2.0 클라이언트 보안 비밀번호 새로고침 URI입니다.
    애셋 네임스페이스 피드가 연결될 네임스페이스입니다.
  8. 다음을 클릭한 후 제출을 클릭합니다.

SQS를 사용하여 처리 피드를 설정하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드를 선택합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름에 고유한 이름을 입력합니다.
  4. 소스 유형에서 Amazon SQS를 선택합니다.
  5. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  6. 다음을 클릭합니다.
  7. 만든 서비스 계정 및 Amazon SQS 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    리전 URI와 연결된 S3 리전입니다.
    QUEUE NAME 읽어올 SQS 큐 이름입니다.
    계좌 번호 SQS 계정 번호입니다.
    소스 삭제 옵션 전송 후 파일 또는 디렉터리를 삭제할지 여부입니다.
    QUEUE ACCESS KEY ID 20자리 영숫자 문자열로 된 계정 액세스 키(예: AKIAOSFOODNN7EXAMPLE)
    QUEUE SECRET ACCESS KEY 40자리 영숫자 문자열로 된 계정 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
    애셋 네임스페이스 피드가 연결될 네임스페이스입니다.

  8. 다음을 클릭한 후 제출을 클릭합니다.