Collecter les journaux IOC CrowdStrike

Compatible avec:

Présentation

Cet analyseur extrait les données CrowdStrike Falcon Intelligence à partir de messages au format JSON. Il transforme différents champs d'indicateurs de compromission dans le format UDM, en gérant différents types d'indicateurs (domaines, adresses IP, URL, hachages, etc.) et les métadonnées associées, y compris les relations, les libellés et les informations sur les menaces. L'analyseur effectue également la validation des données et la gestion des erreurs. Il donne la priorité à l'analyse JSON, puis utilise la correspondance grok si nécessaire et supprime les messages mal formés.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer des autorisations appropriées pour accéder à la plate-forme CrowdStrike Falcon Intelligence.

Configurer un flux dans Google SecOps pour ingérer les journaux d'IOC CrowdStrike

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, CrowdStrike IOC Logs).
  4. Sélectionnez Webhook comme type de source.
  5. Sélectionnez Crowdstrike IOC comme Type de journal.
  6. Cliquez sur Suivant.
  7. Facultatif: spécifiez des valeurs pour les paramètres d'entrée suivants :
    • Délimiteur de fractionnement: délimiteur utilisé pour séparer les lignes de journal, par exemple \n.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
  10. Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
  11. Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais cette action rend la clé secrète précédente obsolète.
  12. Dans l'onglet Détails, copiez l'URL du point de terminaison du flux dans le champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
  13. Cliquez sur OK.

Créer une clé API pour le flux webhook

  1. Accédez à la console Google Cloud > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants, puis sélectionnez Clé API.

  3. Limitez l'accès de la clé API à l'API Google Security Operations.

Spécifier l'URL du point de terminaison

  1. Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.

  2. Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recommandation: Spécifiez la clé API en tant qu'en-tête plutôt que dans l'URL.

  3. Si votre client webhook n'est pas compatible avec les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Remplacez les éléments suivants :

  • ENDPOINT_URL: URL du point de terminaison du flux.
  • API_KEY: clé API permettant de s'authentifier auprès de Google SecOps.
  • SECRET: clé secrète que vous avez générée pour authentifier le flux.

Créer un webhook CrowdStrike

  1. Connectez-vous à la console CrowdStrike Falcon Intelligence.
  2. Accédez au CrowdStrike Store.
  3. Recherchez Webhook.
  4. Activez l'intégration du webhook.
  5. Cliquez sur Configurer.
  6. Sélectionnez Ajouter une configuration.
  7. Assurez-vous que seuls les IOC sont envoyés au webhook.
  8. Collez l'URL du point de terminaison dans le champ URL du webhook de l'écran Configurer le webhook.
  9. Cliquez sur Enregistrer.
  10. CrowdStrike envoie désormais les événements générés au flux Google SecOps spécifié.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.