CrowdStrike IOC ログを収集する

以下でサポートされています。

概要

このパーサーは、JSON 形式のメッセージから CrowdStrike Falcon Intelligence データを抽出します。さまざまな IOC フィールドを UDM 形式に変換し、さまざまなインジケータ タイプ(ドメイン、IP、URL、ハッシュなど)と、それらに関連付けられたメタデータ(関係、ラベル、脅威情報など)を処理します。パーサーは、データ検証とエラー処理も行います。JSON 解析を優先し、必要に応じて grok 照合にフォールバックし、形式が正しくないメッセージを破棄します。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • CrowdStrike Falcon Intelligence プラットフォームに適切な権限でアクセスできることを確認します。

CrowdStrike IOC ログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: CrowdStrike IOC ログ)。
  4. [ソースタイプ] として [Webhook] を選択します。
  5. [Log type] で [Crowdstrike IOC] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • 分割区切り文字: ログ行を区切るために使用される区切り文字(\n など)。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. シークレット キーをコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
  12. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、クライアント アプリケーションで指定する必要があります。
  13. [完了] をクリックします。

Webhook フィードの API キーを作成する

  1. Google Cloud コンソール > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] をクリックして [API キー] を選択します。

  3. API キーのアクセスを Google Security Operations API に制限します。

エンドポイント URL を指定する

  1. クライアント アプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。

  2. 次の形式でカスタム ヘッダーの一部として API キーとシークレット キーを指定して、認証を有効にします。

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    推奨事項: API キーは URL ではなくヘッダーとして指定してください。

  3. Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーとシークレット キーを指定できます。

    ENDPOINT_URL?key=API_KEY&secret=SECRET

次のように置き換えます。

  • ENDPOINT_URL: フィードのエンドポイント URL。
  • API_KEY: Google SecOps に対する認証に使用する API キー。
  • SECRET: フィードの認証用に生成したシークレット キー。

CrowdStrike Webhook を作成する

  1. CrowdStrike Falcon Intelligence コンソールにログインします。
  2. CrowdStrike ストアにアクセスします。
  3. [Webhook] を探します。
  4. Webhook 統合を有効にする
  5. [構成] をクリックします。
  6. [設定を追加] を選択します。
  7. IOC のみが Webhook に送信されるようにします。
  8. [Configure Webhook] 画面の [Webhook URL] フィールドに、エンドポイント URL を貼り付けます。
  9. [保存] をクリックします。
  10. CrowdStrike は、生成されたイベントを指定された Google SecOps フィードに送信します。