Coletar registros do CrowdStrike Falcon

Este documento fornece orientações sobre como ingerir os registros do CrowdStrike Falcon no Google Security Operations da seguinte maneira:

• Coletar registros do CrowdStrike Falcon configurando um feed das Operações de segurança do Google.
• Mapeie os campos de registro do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google SecOps.
• Entenda os tipos de registro e de evento compatíveis com o CrowdStrike Falcon.

Para mais informações, consulte a Visão geral da ingestão de dados no Google SecOps.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

• Direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon.
• Todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
• O dispositivo de destino é executado em um sistema operacional com suporte
  • Precisa ser um servidor de 64 bits
  • O Microsoft Windows Server 2008 R2 SP1 tem suporte para a versão 6.51 ou mais recente do sensor do host do CrowdStrike Falcon.
  • As versões legadas do SO precisam oferecer suporte à assinatura de código SHA-2.
• Arquivo da conta de serviço do Google SecOps e seu ID de cliente da equipe de suporte do Google SecOps

Implantar o CrowdStrike Falcon com a integração do feed do Google SecOps

Uma implantação típica consiste no CrowdStrike Falcon, que envia os registros, e no feed do Google SecOps, que os busca. A implantação pode ser um pouco diferente dependendo da sua configuração.

A implantação normalmente inclui os seguintes componentes:

• CrowdStrike Falcon Intelligence: o produto do CrowdStrike em que você coleta registros.
• Feed da CrowdStrike. O feed do CrowdStrike que extrai logs do CrowdStrike e os grava no Google SecOps.
• CrowdStrike Intel Bridge: o produto do CrowdStrike que coleta indicadores de ameaças da fonte de dados e os encaminha ao Google SecOps.
• Google SecOps: a plataforma que retém, normaliza e analisa os registros de detecção do CrowdStrike.
• Um analisador de rótulos de ingestão que normaliza dados de registro brutos no formato UDM. As informações neste documento se aplicam aos analisadores do CrowdStrike Falcon com os seguintes rótulos de transferência:
  • CS_EDR
  • CS_DETECTS
  • CS_IOC O analisador de indicadores de comprometimento (IoC) do CrowdStrike oferece suporte aos seguintes tipos de indicador:
    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Configurar um feed do Google SecOps para registros de EDR do CrowdStrike

Os procedimentos a seguir são necessários para configurar o feed.

Como configurar o CrowdStrike

Para configurar um feed do Falcon Data Replicator, siga estas etapas:

1. Faça login no CrowdStrike Falcon Console.
2. Acesse Apps de suporte > Falcon Data Replicator.
3. Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
   • Feed
   • Identificador do S3
   • URL do SQS
4. Chave secreta do cliente. Mantenha esses valores para configurar um feed no Google SecOps.

Para mais informações, consulte Como configurar o feed do Falcon Data Replicator.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

• Configurações do SIEM > Feeds
• Hub de conteúdo > Pacotes de conteúdo

Configurar feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registro nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

Configurar um feed de transferência com o Amazon SQS

Você pode usar o Amazon SQS (de preferência) ou o Amazon S3 para configurar o feed de transferência no Google SecOps.

Para configurar um feed de transferência com o Amazon SQS, faça o seguinte:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed. Por exemplo, Crowdstrike Falcon Logs.
5. Em Tipo de origem, selecione Amazon SQS.
6. Em Tipo de registro, selecione CrowdStrike Falcon.
7. Com base na conta de serviço e na configuração do Amazon SQS que você criou, especifique os valores dos seguintes campos:

   Campo	Descrição
   region	Região associada à fila do SQS.
   QUEUE NAME	Nome da fila do SQS a ser lida.
   ACCOUNT NUMBER	Número da conta que é proprietária da fila do SQS.
   source deletion option	Opção para excluir arquivos e diretórios após a transferência dos dados.
   QUEUE ACCESS KEY ID	ID da chave de acesso com 20 caracteres. Por exemplo, AKIAOSFOODNN7EXAMPLE
   QUEUE SECRET ACCESS KEY	Chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   asset namespace	Namespace associado ao feed.
   submit	Envie e salve a configuração do feed no Google SecOps.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Configurar um feed de ingestão com o bucket do Amazon S3

Para configurar um feed de transferência usando um bucket do S3, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed. Por exemplo, Crowdstrike Falcon Logs.
5. Em Tipo de origem, selecione Amazon SQS.
6. Em Tipo de origem, selecione Amazon S3.
7. Em Tipo de registro, selecione CrowdStrike Falcon.
8. Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique os valores para os seguintes campos:

   Campo	Descrição
   region	URI da região do S3.
   S3 uri	URI de origem do bucket do S3.
   uri is a	Tipo de objeto para o qual o URI aponta (por exemplo, arquivo ou pasta).
   source deletion option	Opção para excluir arquivos e diretórios após a transferência dos dados.
   access key id	Chave de acesso (string alfanumérica de 20 caracteres). Por exemplo, AKIAOSFOODNN7EXAMPLE
   secret access key	Chave de acesso secreta (string alfanumérica de 40 caracteres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   oauth client id	ID do cliente OAuth público.
   oauth client secret	Chave secreta do cliente OAuth 2.0.
   oauth secret refresh uri	URI de atualização da chave secreta do cliente OAuth 2.0.
   asset namespace	Namespace associado ao feed.

Configurar feeds na Central de conteúdo

É possível configurar o feed de transferência no Google SecOps usando o Amazon SQS (preferível) ou o Amazon S3.

Especifique valores para os seguintes campos:

• Região: região em que o bucket do S3 ou a fila do SQS está hospedado.
• Nome da fila: nome da fila do SQS para ler os dados de registro.
• Número da conta: número da conta proprietária da fila do SQS.
• ID da chave de acesso da fila: ID de 20 caracteres da chave de acesso à conta. Por exemplo, AKIAOSFOODNN7EXAMPLE.
• Chave de acesso secreta da fila: chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
• Opção de exclusão da origem: opção para excluir arquivos e diretórios após a transferência dos dados.

Opções avançadas

• Nome do feed: um valor preenchido automaticamente que identifica o feed.
• Tipo de origem: método usado para coletar registros no Google SecOps.
• Namespace do recurso: o namespace associado ao feed.
• Rótulos de ingestão: rótulos aplicados a todos os eventos desse feed.

Configurar um feed do Google SecOps para registros do CrowdStrike

Para encaminhar os registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

1. Faça login no CrowdStrike Falcon Console.
2. Acesse Apps de suporte > Clientes e chaves de API .
3. Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves precisa ter permissões READ para Detections e Alerts do CrowdStrike Falcon.

Para receber registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

1. Faça login na sua instância do Google SecOps.
2. Acesse Configurações do SIEM > Feeds.
3. Clique em Adicionar novo feed.
4. Na próxima página, clique em Configurar um único feed.
5. No campo Nome do feed, insira um nome para o feed. Por exemplo, Crowdstrike Falcon Logs.
6. Em Tipo de origem, selecione Amazon SQS.
7. Em Tipo de origem, selecione API de terceiros.
8. Em Tipo de registro, selecione Monitoramento de detecção do CrowdStrike.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Ingerir registros de IoC do CrowdStrike no Google SecOps

Para configurar a transferência de registros do CrowdStrike para o Google SecOps para registros de IoC, siga estas etapas:

1. Crie um novo par de chaves de cliente da API no console do CrowdStrike Falcon. Esse par de chaves permite que a Google SecOps Intel Bridge acesse e leia eventos e informações complementares do CrowdStrike Falcon. Para instruções de configuração, consulte CrowdStrike to Google SecOps Intel Bridge.
2. Forneça a permissão READ para Indicators (Falcon Intelligence) ao criar o par de chaves.
3. Configure a Google SecOps Intel Bridge seguindo as etapas em CrowdStrike to Google SecOps Intel Bridge.

4. Execute os comandos do Docker a seguir para enviar os registros do CrowdStrike ao Google SecOps, em que sa.json é o arquivo da conta de serviço do Google SecOps:

   docker build . -t ccib:latest
   docker run -it --rm \
         -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
         -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
         -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
         -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
         -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
         -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
         ccib:latest
   

5. Depois que o contêiner for executado, os registros de IoC vão começar a ser transmitidos para o Google SecOps.

Formatos de registro do CrowdStrike aceitos

O analisador do CrowdStrike oferece suporte a registros no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.