CrowdStrike-IOC-Protokolle erfassen

Übersicht

Dieser Parser extrahiert CrowdStrike Falcon Intelligence-Daten aus JSON-formatierten Nachrichten. Dabei werden verschiedene IOC-Felder in das UDM-Format umgewandelt. Dabei werden verschiedene Indikatortypen (Domains, IPs, URLs, Hashes usw.) und die zugehörigen Metadaten verarbeitet, einschließlich Beziehungen, Labels und Bedrohungsinformationen. Der Parser führt außerdem eine Datenvalidierung und Fehlerbehandlung durch. Dabei wird das JSON-Parsing priorisiert und bei Bedarf auf die Grok-Übereinstimmung zurückgegriffen. Falsch formatierte Nachrichten werden verworfen.

Hinweise

• Sie benötigen eine Google SecOps-Instanz.
• Sie benötigen Zugriff auf die CrowdStrike Falcon Intelligence-Plattform mit den entsprechenden Berechtigungen.

Feed in Google SecOps für die Aufnahme der CrowdStrike-IOC-Protokolle konfigurieren

1. Gehen Sie zu SIEM-Einstellungen > Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CrowdStrike-IOC-Logs.
4. Wählen Sie als Quelltyp Webhook aus.
5. Wählen Sie Crowdstrike-IOC als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
8. Klicken Sie auf Weiter.
9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
11. Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

   Zu den Anmeldedaten

2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.

2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

3. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Ersetzen Sie Folgendes:

• ENDPOINT_URL: die URL des Feedendpunkts.
• API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google SecOps authentifizieren.
• SECRET: den geheimen Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

CrowdStrike-Webhook erstellen

1. Melden Sie sich in der CrowdStrike Falcon Intelligence-Konsole an.
2. Rufen Sie den CrowdStrike Store auf.
3. Suchen Sie nach Webhook.
4. Aktivieren Sie die Webhook-Integration.
5. Klicken Sie auf Konfigurieren.
6. Wählen Sie Konfiguration hinzufügen aus.
7. Achten Sie darauf, dass nur IOCs an den Webhook gesendet werden.
8. Fügen Sie die Endpunkt-URL in das Feld Webhook-URL auf dem Bildschirm Webhook konfigurieren ein.
9. Klicken Sie auf Speichern.
10. CrowdStrike sendet jetzt generierte Ereignisse an den angegebenen Google SecOps-Feed.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten