CrowdStrike IOC 로그 수집
다음에서 지원:
Google SecOps
SIEM
개요
이 파서는 JSON 형식의 메시지에서 CrowdStrike Falcon Intelligence 데이터를 추출합니다. 다양한 IOC 필드를 UDM 형식으로 변환하여 다양한 지표 유형 (도메인, IP, URL, 해시 등)과 관계, 라벨, 위협 정보를 비롯한 관련 메타데이터를 처리합니다. 파서는 데이터 유효성 검사 및 오류 처리도 실행합니다. JSON 파싱을 우선시하고 필요한 경우 grok 일치로 대체하며 잘못된 형식의 메시지는 삭제합니다.
시작하기 전에
- Google SecOps 인스턴스가 있는지 확인합니다.
- 적절한 권한으로 CrowdStrike Falcon Intelligence 플랫폼에 액세스할 수 있는지 확인합니다.
CrowdStrike IOC 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다 (예: CrowdStrike IOC 로그).
- 소스 유형으로 Webhook을 선택합니다.
- 로그 유형으로 Crowdstrike IOC를 선택합니다.
- 다음을 클릭합니다.
- 선택사항: 다음 입력 파라미터의 값을 지정합니다.
- 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예:
\n). - 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예:
- 다음을 클릭합니다.
- 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
- 보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
- 비밀 키를 복사하여 저장합니다. 이 보안 비밀 키는 다시 볼 수 없습니다. 필요한 경우 새 보안 비밀 키를 재생성할 수 있지만 이 작업을 하면 이전 보안 비밀 키는 더 이상 사용할 수 없게 됩니다.
- 세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. 클라이언트 애플리케이션에서 이 엔드포인트 URL을 지정해야 합니다.
- 완료를 클릭합니다.
웹훅 피드에 대한 API 키 만들기
Google Cloud 콘솔 > 사용자 인증 정보로 이동합니다.
사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
Google Security Operations API에 대한 API 키 액세스를 제한합니다.
엔드포인트 URL 지정
- 클라이언트 애플리케이션에서 웹훅 피드에 제공된 HTTPS 엔드포인트 URL을 지정합니다.
다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다.
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET권장사항: API 키를 URL에 지정하는 대신 헤더로 지정하세요.
웹훅 클라이언트가 커스텀 헤더를 지원하지 않는 경우 다음 형식의 쿼리 매개변수를 사용하여 API 키와 보안 비밀 키를 지정할 수 있습니다.
ENDPOINT_URL?key=API_KEY&secret=SECRET
다음을 바꿉니다.
ENDPOINT_URL: 피드 엔드포인트 URL입니다.API_KEY: Google SecOps에 인증하기 위한 API 키입니다.SECRET: 피드를 인증하기 위해 생성한 보안 비밀 키입니다.
CrowdStrike 웹훅 만들기
- CrowdStrike Falcon Intelligence Console에 로그인합니다.
- CrowdStrike 스토어로 이동합니다.
- Webhook을 찾습니다.
- 웹훅 통합을 활성화합니다.
- 구성을 클릭합니다.
- 구성 추가를 선택합니다.
- IOC만 웹훅으로 전송되도록 합니다.
- Configure Webhook(웹훅 구성) 화면의 Webhook URL(웹훅 URL) 필드에 endpoint URL(엔드포인트 URL)을 붙여넣습니다.
- 저장을 클릭합니다.
- 이제 CrowdStrike에서 생성된 이벤트를 지정된 Google SecOps 피드로 전송합니다.