Recopila registros de IOC de CrowdStrike

Compatible con:

Descripción general

Este analizador extrae datos de CrowdStrike Falcon Intelligence de mensajes con formato JSON. Transforma varios campos de IOC en el formato UDM y controla diferentes tipos de indicadores (dominios, IP, URLs, hashes, etc.) y sus metadatos asociados, incluidas las relaciones, las etiquetas y la información sobre amenazas. El analizador también realiza la validación de datos y el manejo de errores. Prioriza el análisis de JSON, recurre a la coincidencia de Grok si es necesario y descarta los mensajes con el formato incorrecto.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso a la plataforma de CrowdStrike Falcon Intelligence con los permisos adecuados.

Configura un feed en Google SecOps para transferir los registros de IOC de CrowdStrike

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de IOC de CrowdStrike).
  4. Selecciona Webhook como el Tipo de origen.
  5. Selecciona Crowdstrike IOC como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
  11. Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
  12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
  13. Haz clic en Listo.

Crea una clave de API para el feed de webhook

  1. Ve a consola de Google Cloud > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API de Google Security Operations.

Especifica la URL del extremo

  1. En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.

  2. Habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Reemplaza lo siguiente:

  • ENDPOINT_URL: Es la URL del extremo del feed.
  • API_KEY: Es la clave de API para autenticar en Google SecOps.
  • SECRET: Es la clave secreta que generaste para autenticar el feed.

Crea un webhook de CrowdStrike

  1. Accede a la consola de CrowdStrike Falcon Intelligence.
  2. Ve a CrowdStrike Store.
  3. Busca Webhook.
  4. Activa la integración de webhook.
  5. Haz clic en Configurar.
  6. Selecciona Agregar configuración.
  7. Asegúrate de que solo se envíen IOC al webhook.
  8. Pega la URL del extremo en el campo Webhook URL de la pantalla Configure Webhook.
  9. Haz clic en Guardar.
  10. CrowdStrike ahora envía los eventos generados al feed de Google SecOps especificado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.