收集 CrowdStrike Falcon 日志

本文档提供了有关 CrowdStrike Falcon 日志的指导,如下所示:

  • 介绍如何通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
  • 介绍了 CrowdStrike Falcon 日志字段如何映射到 Google SecOps 统一数据模型 (UDM) 字段。
  • 列出受支持的 CrowdStrike Falcon 日志类型和事件类型。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

准备工作

  • 确保您在 CrowdStrike 实例上拥有安装 CrowdStrike Falcon Host 传感器的管理员权限。
  • 确保部署架构中的所有系统都采用世界协调时间 (UTC) 时区进行配置。
  • 确保设备搭载的是受支持的操作系统。
    • 操作系统必须在 64 位服务器上运行。CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 搭载旧版操作系统(例如 Windows 7 SP1)的系统需要在其设备上安装 SHA-2 代码签名支持。
  • Google SecOps 支持团队获取 Google SecOps 服务账号文件和您的客户 ID。

部署集成了 Google SecOps Feed 的 CrowdStrike Falcon

典型的部署包括 CrowdStrike Falcon 和配置为将日志发送到 Google SecOps 的 Google SecOps Feed。您的部署可能与典型部署有所不同。

该部署包含以下组件:

  • CrowdStrike Falcon Intelligence:您要从中收集日志的 CrowdStrike 产品。
  • CrowdStrike Feed。CrowdStrike Feed,用于从 CrowdStrike 提取日志并将日志写入 Google SecOps。
  • CrowdStrike Intel Bridge:CrowdStrike 产品,用于从数据源收集信息并将其转发给 Google SecOps。
  • Google SecOps:用于保留和分析 CrowdStrike 检测日志的平台。 注入标签标识将原始日志数据标准化为 UDM 的解析器。本文档中的信息适用于具有以下提取标签的 CrowdStrike Falcon 解析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike IOC 解析器支持以下指标类型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

为 CrowdStrike EDR 日志配置 Google SecOps Feed

您需要执行以下步骤来配置 Feed。

配置 Falcon Data Replicator Feed

如需设置 Falcon Data Replicator Feed,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次选择支持的应用 > Falcon Data Replicator
  3. 点击添加以创建新的 Falcon Data Replicator Feed。系统会生成 S3 标识符SQS 网址客户端 Secret
  4. 使用生成的 FeedS3 标识符SQS 网址客户端密钥值在 Google SecOps 中设置 Feed。

如需了解详情,请参阅如何设置 Falcon Data Replicator Feed

设置提取 Feed

您可以使用 Amazon SQS 或 Amazon S3 存储分区在 Google SecOps 中设置提取 Feed。首选 Amazon SQS,但也支持 Amazon S3。

使用 S3 存储分区设置提取 Feed

如需使用 S3 存储分区设置提取 Feed,请按以下步骤操作:

  1. 登录您的 Google SecOps 实例。
  2. 应用菜单中,依次选择设置 > 动态
  3. 点击新增
  4. 来源类型中,选择 Amazon S3
  5. 日志类型中,选择 CrowdStrike Falcon
  6. 根据您创建的服务账号和 Amazon S3 存储分区配置,为以下字段指定值:
    字段 说明
    region 与 URI 关联的 S3 区域。
    S3 uri S3 存储分区来源 URI。
    uri is a URI 指向的对象类型。
    source deletion option 是否要在转移后删除文件和目录。
    access key id 账号访问密钥,是一个由 20 个字符组成的字母数字字符串;例如 AKIAOSFOODNN7EXAMPLE
    secret access key 账号访问密钥,是一个由 40 个字母数字组成的字符串;例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 客户端专用且公开的 OAuth 标识符。
    oauth client secret OAuth 2.0 客户端密钥。
    oauth secret refresh uri OAuth 2.0 客户端密钥刷新 URI。
    asset namespace 要与 Feed 关联的命名空间。

使用 Amazon SQS 设置提取 Feed

如需使用 Amazon SQS 设置提取 Feed,请完成以下操作:

  1. 应用菜单中,依次选择设置 > 动态
  2. 点击新增
  3. 来源类型中,选择 Amazon SQS
  4. 日志类型中,选择 CrowdStrike Falcon
  5. 根据您创建的服务账号和 Amazon SQS 配置,为以下字段指定值:
    字段 说明
    region 与 URI 关联的 S3 区域。
    QUEUE NAME 要从中读取数据的 SQS 队列名称。
    ACCOUNT NUMBER SQS 账号。
    source deletion option 是否要在转移后删除文件和目录。
    QUEUE ACCESS KEY ID 账号访问密钥,是一个包含 20 个字符的字母数字字符串,例如 AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 账号访问密钥,是一个包含 40 个字符的字母数字字符串,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace 要与 Feed 关联的命名空间。
    submit 用于提交 Feed 的命令。

如果您遇到问题,请与 Google SecOps 支持团队联系。

为 CrowdStrike 日志配置 Google SecOps Feed

如需在 Google SecOps 中设置提取 Feed 以提取 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次前往支持应用 > API 客户端和密钥
  3. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对会从 CrowdStrike Falcon 读取事件和补充信息。
  4. 在创建密钥对时,向 DetectionsAlerts 授予 READ 权限。
  5. 登录您的 Google SecOps 实例。
  6. 应用菜单中,依次选择设置 > 动态
  7. 点击新增
  8. 来源类型中,选择第三方 API
  9. 日志类型中,选择 CrowdStrike Detection Monitoring

如果您遇到问题,请与 Google SecOps 支持团队联系。

将 CrowdStrike IOC 日志注入 Google SecOps

如需将 CrowdStrike IOC 日志配置为提取到 Google SecOps,请完成以下步骤:

  1. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。Google SecOps Intel Bridge 使用此密钥对读取 CrowdStrike Falcon 中的事件和补充信息。如需了解详情,请参阅 CrowdStrike 与 Google SecOps 情报桥接
  2. 在创建密钥对时,向 Indicators (Falcon Intelligence) 提供 READ 权限。
  3. 按照 CrowdStrike 到 Google SecOps 情报桥接中的步骤设置 Google SecOps 情报桥接。

  4. 运行以下命令,将日志从 CrowdStrike 发送到 Google SecOps,其中 sa.json 是 Google SecOps 服务账号文件:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。