Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di CrowdStrike Falcon

Questo documento fornisce indicazioni per i log di CrowdStrike Falcon come segue:

Descrive come raccogliere i log di CrowdStrike Falcon configurando un feed di Google Security Operations.
Spiega come i campi dei log di CrowdStrike Falcon vengono mappati ai campi del modello di dati unificato (UDM) di Google SecOps.
Elenca i tipi di log e di evento di CrowdStrike Falcon supportati.

Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.

Prima di iniziare

Assicurati di disporre dei diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Assicurati che il dispositivo sia in esecuzione su un sistema operativo supportato.
- Il sistema operativo deve essere in esecuzione su un server a 64 bit. Microsoft Windows Server 2008 R2 SP1 è supportato per le versioni 6.51 o successive del sensore CrowdStrike Falcon Host.
- I sistemi con versioni precedenti del sistema operativo (ad esempio Windows 7 SP1) richiedono la presenza sul dispositivo del supporto per la firma del codice SHA-2.
Ottieni il file dell'account di servizio Google SecOps e il tuo ID cliente dal team di assistenza di Google SecOps.

Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed di Google SecOps

Un deployment tipico è costituito da CrowdStrike Falcon e dal feed di Google SecOps configurato per inviare i log a Google SecOps. Il tuo deployment potrebbe essere diverso da quello tipico.

Il deployment contiene i seguenti componenti:

CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
Feed di CrowdStrike. Il feed di CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie le informazioni dall'origine dati e le inoltra a Google SecOps.
Google SecOps: la piattaforma che conserva e analizza i log di rilevamento di CrowdStrike. Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in UDM. Le informazioni contenute in questo documento si applicano ai parser di CrowdStrike Falcon con le seguenti etichette di importazione:
- CS_EDR
- CS_DETECTS
- CS_IOC Il parser IOC di CrowdStrike supporta i seguenti tipi di indicatori:
  - domain
  - email_address
  - file_name
  - file_path
  - hash_md5
  - hash_sha1
  - hash_sha256
  - ip_address
  - mutex_name
  - url

Configurare un feed Google SecOps per i log EDR di CrowdStrike

Per configurare il feed sono necessarie le seguenti procedure.

Configurare un feed di Falcon Data Replicator

Per configurare un feed di Falcon Data Replicator:

Accedi alla console CrowdStrike Falcon.
Vai ad App di assistenza > Falcon Data Replicator.
Fai clic su Aggiungi per creare un nuovo feed di Falcon Data Replicator. Verranno generati l'identificatore S3, l'URL di SQS e il token client.
Utilizza i valori Feed, Identificatore S3, URL SQS e Secret client generati per configurare il feed in Google SecOps.

Per ulteriori informazioni, vedi Come configurare il feed del replicatore di dati Falcon.

Configurare i feed di importazione

Puoi utilizzare Amazon SQS o un bucket Amazon S3 per configurare il feed di importazione in Google SecOps. È preferibile Amazon SQS, ma è supportato anche Amazon S3.

Configurare un feed di importazione con un bucket S3

Per configurare un feed di importazione utilizzando un bucket S3:

Accedi all'istanza Google SecOps.
Nel menu dell'applicazione , seleziona Impostazioni > Feed.
Fai clic su Aggiungi nuovo.
In Tipo di origine, seleziona Amazon S3.
In Tipo di log, seleziona CrowdStrike Falcon.

In base all'account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:

Campo	Descrizione
`region`	La regione S3 associata all'URI.
`S3 uri`	L'URI di origine del bucket S3.
`uri is a`	Il tipo di oggetto a cui fa riferimento l'URI.
`source deletion option`	Se eliminare file e directory dopo il trasferimento.
`access key id`	Una chiave di accesso all'account costituita da una stringa alfanumerica di 20 caratteri, ad esempio `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	Un identificatore OAuth pubblico e specifico per il client.
`oauth client secret`	Il client secret OAuth 2.0.
`oauth secret refresh uri`	L'URI di aggiornamento del client secret OAuth 2.0.
`asset namespace`	Lo spazio dei nomi a cui verrà associato il feed.

Configurare un feed di importazione con Amazon SQS

Per configurare un feed di importazione con Amazon SQS:

Nel menu dell'applicazione , seleziona Impostazioni > Feed.
Fai clic su Aggiungi nuovo.
In Tipo di origine, seleziona Amazon SQS.
In Tipo di log, seleziona CrowdStrike Falcon.

In base all'account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:

Campo	Descrizione
`region`	La regione S3 associata all'URI.
`QUEUE NAME`	Il nome della coda SQS da cui leggere.
`ACCOUNT NUMBER`	Il numero dell'account SQS.
`source deletion option`	Se eliminare file e directory dopo il trasferimento.
`QUEUE ACCESS KEY ID`	Una chiave di accesso all'account che sia una stringa alfanumerica di 20 caratteri, ad esempio `AKIAOSFOODNN7EXAMPLE`.
`QUEUE SECRET ACCESS KEY`	Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`asset namespace`	Lo spazio dei nomi a cui verrà associato il feed.
`submit`	Il comando per inviare il feed.

In caso di problemi, contatta il team di assistenza di Google SecOps.

Configurare un feed di Google SecOps per i log di CrowdStrike

Per configurare un feed di importazione in Google SecOps per importare i log di monitoraggio dei rilevamenti di CrowdStrike:

Accedi alla console CrowdStrike Falcon.
Vai ad Support Apps (Supporta le app) > API Clients and Keys (Client e chiavi API).
Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi legge gli eventi e le informazioni supplementari di CrowdStrike Falcon.
Fornisci l'autorizzazione READ a Detections e Alerts durante la creazione della coppia di chiavi.
Accedi all'istanza Google SecOps.
Nel menu dell'applicazione , seleziona Impostazioni > Feed.
Fai clic su Aggiungi nuovo.
In Tipo di origine, seleziona API di terze parti.
In Tipo di log, seleziona Monitoraggio del rilevamento di CrowdStrike.

In caso di problemi, contatta il team di assistenza di Google SecOps.

Importa i log degli indicatori di compromissione (IOC) di CrowdStrike in Google SecOps

Per configurare l'importazione dei log in Google SecOps per i log IOC di CrowdStrike, completa i seguenti passaggi:

Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Google SecOps Intel Bridge utilizza questa coppia di chiavi per leggere gli eventi e le informazioni supplementari di CrowdStrike Falcon. Per ulteriori informazioni, consulta CrowdStrike to Google SecOps Intel Bridge.
Fornisci l'autorizzazione READ a Indicators (Falcon Intelligence) durante la creazione della coppia di chiavi.
Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.

Esegui i seguenti comandi per inviare i log da CrowdStrike a Google SecOps, dove sa.json è il file dell'account di servizio Google SecOps:

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.