收集 CrowdStrike Falcon EDR 日志

支持的平台:

本文档介绍了如何通过 Google Security Operations Feed 将 CrowdStrike Falcon EDR 日志导出到 Google Security Operations,以及 CrowdStrike Falcon EDR 字段如何映射到 Google Security Operations Unified Data Model (UDM) 字段。

如需了解详情,请参阅将数据提取到 Google 安全运营中心概览

典型的部署包括已启用 CrowdStrike 以将数据提取到 Google Security Operations 的设备。每个客户部署都可能不同,并且可能更复杂。

该部署包含以下组件:

  • CrowdStrike Falcon Intelligence:您从中收集日志的 CrowdStrike 产品。

  • Google Security Operations:保留和分析 CrowdStrike EDR 日志。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CS_EDR 注入标签的解析器。

准备工作

  • 确保您在 CrowdStrike 实例上拥有安装 CrowdStrike Falcon Host 传感器的管理员权限。

  • 确保设备搭载的是受支持的操作系统。

    • 操作系统必须在 64 位服务器上运行。Crowdstrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 搭载旧版操作系统(例如 Windows 7 SP1)的系统需要在其设备上安装 SHA-2 代码签名支持。

  • 从 Google Security Operations 支持团队获取 Google Security Operations 服务账号文件和您的客户 ID。

  • 确保部署架构中的所有系统都采用世界协调时间 (UTC) 时区进行配置。

配置 Falcon Data Replicator Feed

如需设置 Falcon Data Replicator Feed,请按以下步骤操作:

  1. 点击 ADD(添加)按钮,创建新的 Falcon Data Replicator Feed。系统会为您生成 S3 标识符SQS 网址客户端密钥
  2. 使用生成的 FeedS3 标识符SQS 网址客户端密钥值在 Google 安全运营中设置 Feed。

在 Google Security Operations 中配置 Feed 以提取 CrowdStrike EDR 日志

您可以使用 SQSS3 存储分区在 Google Security Operations 中设置提取 Feed。首选 SQS,但也支持 S3

如需使用 S3 存储分区设置提取 Feed,请按以下步骤操作:

  1. 依次选择 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称输入一个具有唯一性的名称。
  4. 来源类型中,选择 Amazon S3
  5. 日志类型中,选择 CrowdStrike Falcon
  6. 点击下一步
  7. 根据您创建的服务账号和 Amazon S3 存储分区配置,为以下字段指定值:
    字段 说明
    区域 与 URI 关联的 S3 区域。
    S3 URI S3 存储分区来源 URI。
    uri 是 URI 指向的对象类型。
    来源删除选项 是否要在转移后删除文件和/或目录。
    访问密钥 ID 账号访问密钥,是一个包含 20 个字符的字母数字字符串,例如 AKIAOSFOODNN7EXAMPLE。
    私有访问密钥 账号访问密钥,是一个包含 40 个字符的字母数字字符串,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
    oauth 客户端 ID 客户端专用且公开的 OAuth 标识符。
    oauth 客户端密钥 OAuth 2.0 客户端密钥。
    oauth secret refresh uri OAuth 2.0 客户端密钥刷新 URI。
    资源命名空间 要与 Feed 关联的命名空间。
  8. 点击下一步,然后点击提交

如需使用 SQS 设置提取 Feed,请按以下步骤操作:

  1. 依次选择 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称输入一个具有唯一性的名称。
  4. 来源类型中,选择 Amazon SQS
  5. 日志类型中,选择 CrowdStrike Falcon
  6. 点击下一步
  7. 根据您创建的服务账号和 Amazon SQS 配置,为以下字段指定值:
    字段 说明
    区域 与 URI 关联的 S3 区域。
    队列名称 要从中读取数据的 SQS 队列名称。
    账号 SQS 账号。
    来源删除选项 是否要在转移后删除文件和/或目录。
    队列访问密钥 ID 账号访问密钥,是一个由 20 个字母数字组成的字符串,例如 AKIAOSFOODNN7EXAMPLE。
    队列私有访问密钥 账号访问密钥,是一个包含 40 个字符的字母数字字符串,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
    资源命名空间 要与 Feed 关联的命名空间。

  8. 点击下一步,然后点击提交

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。