Esta página foi traduzida pela API Cloud Translation.

Coletar registros do CrowdStrike Falcon

Este documento oferece orientações para os registros do CrowdStrike Falcon da seguinte maneira:

Descreve como coletar registros do CrowdStrike Falcon configurando um feed do Google Security Operations.
Explica como os campos de registro do CrowdStrike Falcon são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google SecOps.
Lista os tipos de registro e de evento do CrowdStrike Falcon compatíveis.

Para mais informações, consulte a Visão geral da ingestão de dados no Google SecOps.

Antes de começar

Verifique se você tem direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique se o dispositivo está sendo executado em um sistema operacional compatível.
- O SO precisa estar em execução em um servidor de 64 bits. O Microsoft Windows Server 2008 R2 SP1 tem suporte para as versões 6.51 ou mais recentes do sensor de host do CrowdStrike Falcon.
- Os sistemas com versões legadas do SO (por exemplo, Windows 7 SP1) exigem o suporte à assinatura de código SHA-2 instalado nos dispositivos.
Receba o arquivo da conta de serviço do Google SecOps e seu ID do cliente da equipe de suporte do Google SecOps.

Implantar o CrowdStrike Falcon com a integração do feed do Google SecOps

Uma implantação típica consiste no CrowdStrike Falcon e no feed do Google SecOps configurado para enviar registros ao Google SecOps. Sua implantação pode ser diferente da implantação típica.

A implantação contém os seguintes componentes:

CrowdStrike Falcon Intelligence: o produto do CrowdStrike em que você coleta registros.
Feed da CrowdStrike. O feed do CrowdStrike que busca registros do CrowdStrike e grava registros no Google SecOps.
CrowdStrike Intel Bridge: o produto CrowdStrike que coleta as informações da fonte de dados e as encaminha para o Google SecOps.
Google SecOps: a plataforma que retém e analisa os registros de detecção do CrowdStrike. Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o UDM. As informações neste documento se aplicam aos analisadores do CrowdStrike Falcon com os seguintes rótulos de transferência:
- CS_EDR
- CS_DETECTS
- CS_IOC O analisador de IOC do CrowdStrike oferece suporte aos seguintes tipos de indicador:
  - domain
  - email_address
  - file_name
  - file_path
  - hash_md5
  - hash_sha1
  - hash_sha256
  - ip_address
  - mutex_name
  - url

Configurar um feed do Google SecOps para registros de EDR do CrowdStrike

Os procedimentos a seguir são necessários para configurar o feed.

Configurar um feed do Falcon Data Replicator

Para configurar um feed do Falcon Data Replicator, siga estas etapas:

Faça login no CrowdStrike Falcon Console.
Acesse Apps de suporte > Falcon Data Replicator.
Clique em Adicionar para criar um novo feed do Falcon Data Replicator. Isso vai gerar o identificador do S3, o URL do SQS e a chave secreta do cliente.
Use o feed, o identificador do S3, o URL do SQS e os valores da chave secreta do cliente gerados para configurar o feed no Google SecOps.

Para mais informações, consulte Como configurar o feed do Falcon Data Replicator.

Configurar feeds de ingestão

É possível usar o Amazon SQS ou um bucket do Amazon S3 para configurar o feed de transferência no Google SecOps. O Amazon SQS é a opção preferencial, mas o Amazon S3 também é aceito.

Configurar um feed de transferência com um bucket do S3

Para configurar um feed de transferência usando um bucket do S3, siga estas etapas:

Faça login na sua instância do Google SecOps.
No menu do aplicativo , selecione Settings > Feeds.
Clique em Adicionar novo.
Em Tipo de origem, selecione Amazon S3.
Em Tipo de registro, selecione CrowdStrike Falcon.

Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique os valores para os seguintes campos:

Campo	Descrição
`region`	A região do S3 associada ao URI.
`S3 uri`	O URI de origem do bucket do S3.
`uri is a`	O tipo de objeto para o qual o URI aponta.
`source deletion option`	Se os arquivos e diretórios serão excluídos após a transferência.
`access key id`	Uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres. Por exemplo, `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Uma chave de acesso à conta que é uma string alfanumérica de 40 caracteres. Por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	Um identificador OAuth público específico do cliente.
`oauth client secret`	A chave secreta do cliente OAuth 2.0.
`oauth secret refresh uri`	O URI de atualização da chave secreta do cliente OAuth 2.0.
`asset namespace`	O namespace ao qual o feed será associado.

Configurar um feed de transferência com o Amazon SQS

Para configurar um feed de transferência com o Amazon SQS, faça o seguinte:

No menu do aplicativo , selecione Configurações > Feeds.
Clique em Adicionar novo.
Em Tipo de origem, selecione Amazon SQS.
Em Tipo de registro, selecione CrowdStrike Falcon.

Com base na conta de serviço e na configuração do Amazon SQS que você criou, especifique os valores dos seguintes campos:

Campo	Descrição
`region`	A região do S3 associada ao URI.
`QUEUE NAME`	O nome da fila SQS a ser lido.
`ACCOUNT NUMBER`	O número da conta do SQS.
`source deletion option`	Se os arquivos e diretórios serão excluídos após a transferência.
`QUEUE ACCESS KEY ID`	Uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres, por exemplo, `AKIAOSFOODNN7EXAMPLE`.
`QUEUE SECRET ACCESS KEY`	Uma chave de acesso à conta que é uma string alfanumérica de 40 caracteres, por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`asset namespace`	O namespace ao qual o feed será associado.
`submit`	O comando para enviar o feed.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Configurar um feed do Google SecOps para registros do CrowdStrike

Para configurar um feed de transferência no Google SecOps e transferir registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

Faça login no CrowdStrike Falcon Console.
Acesse Apps de suporte > Clientes e chaves de API .
Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves lê eventos e informações complementares do CrowdStrike Falcon.
Conceda a permissão READ para Detections e Alerts ao criar o par de chaves.
Faça login na sua instância do Google SecOps.
No menu do aplicativo , selecione Configurações > Feeds.
Clique em Adicionar novo.
Em Tipo de origem, selecione API de terceiros.
Em Tipo de registro, selecione Monitoramento de detecção do CrowdStrike.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Ingerir registros de IOC do CrowdStrike no Google SecOps

Para configurar a transferência de registros para o Google SecOps para registros de IOC do CrowdStrike, siga estas etapas:

Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. A Google SecOps Intel Bridge usa esse par de chaves para ler eventos e informações complementares do CrowdStrike Falcon. Para mais informações, consulte CrowdStrike to Google SecOps Intel Bridge.
Forneça a permissão READ para Indicators (Falcon Intelligence) ao criar o par de chaves.
Configure a Google SecOps Intel Bridge seguindo as etapas em CrowdStrike para a Google SecOps Intel Bridge.

Execute os comandos a seguir para enviar os registros do CrowdStrike ao Google SecOps, em que sa.json é o arquivo da conta de serviço do Google SecOps:

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.