Raccogli i log degli indicatori di compromissione (IOC) di CrowdStrike

Supportato in:

Panoramica

Questo parser estrae i dati di CrowdStrike Falcon Intelligence dai messaggi in formato JSON. Trasforma vari campi IOC nel formato UDM, gestisce diversi tipi di indicatori (domini, IP, URL, hash e così via) e i relativi metadati associati, tra cui relazioni, etichette e informazioni sulle minacce. Il parser esegue anche la convalida dei dati e la gestione degli errori. Dà la priorità all'analisi JSON, ricorrendo alla corrispondenza grok se necessario, e ignora i messaggi con formato non corretto.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso alla piattaforma CrowdStrike Falcon Intelligence con le autorizzazioni appropriate.

Configura un feed in Google SecOps per importare i log degli indicatori di compromissione di CrowdStrike

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log IOC di CrowdStrike).
  4. Seleziona Webhook come Tipo di origine.
  5. Seleziona IOC di Crowdstrike come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  12. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso alla chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando i parametri di query nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Sostituisci quanto segue:

  • ENDPOINT_URL: l'URL dell'endpoint del feed.
  • API_KEY: la chiave API per l'autenticazione in Google SecOps.
  • SECRET: la chiave segreta che hai generato per autenticare il feed.

Creare un webhook CrowdStrike

  1. Accedi alla console CrowdStrike Falcon Intelligence.
  2. Vai al CrowdStrike Store.
  3. Trova Webhook.
  4. Attiva l'integrazione Webhook.
  5. Fai clic su Configura.
  6. Seleziona Aggiungi configurazione.
  7. Assicurati che all'webhook vengano inviati solo indicatori di compromissione.
  8. Incolla l'URL endpoint nel campo URL webhook nella schermata Configura webhook.
  9. Fai clic su Salva.
  10. Ora CrowdStrike invia gli eventi generati al feed Google SecOps specificato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.