Coletar registros de IOC do CrowdStrike

Compatível com:

Visão geral

Esse analisador extrai dados da CrowdStrike Falcon Intelligence de mensagens formatadas em JSON. Ele transforma vários campos de IOC no formato UDM, processando diferentes tipos de indicadores (domínios, IPs, URLs, hashes etc.) e os metadados associados, incluindo relações, rótulos e informações de ameaças. O analisador também realiza a validação de dados e o tratamento de erros. Ele prioriza a análise JSON, voltando à correspondência de grok, se necessário, e descarta mensagens com formato incorreto.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso à plataforma CrowdStrike Falcon Intelligence com as permissões adequadas.

Configurar um feed no Google SecOps para processar os registros de IOC do CrowdStrike

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, CrowdStrike IOC Logs).
  4. Selecione Webhook como o Tipo de origem.
  5. Selecione Crowdstrike IOC como o Tipo de registro.
  6. Clique em Próxima.
  7. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
  11. Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook

  1. Acesse o console do Google Cloud > Credenciais.

    Ir para Credenciais

  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Google Security Operations.

Especificar o URL do endpoint

  1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.

  2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.

  3. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Substitua:

  • ENDPOINT_URL: o URL do endpoint do feed.
  • API_KEY: a chave de API para autenticação no Google SecOps.
  • SECRET: a chave secreta gerada para autenticar o feed.

Criar um webhook da CrowdStrike

  1. Faça login no console do CrowdStrike Falcon Intelligence.
  2. Acesse a CrowdStrike Store.
  3. Encontre Webhook.
  4. Ative a integração do webhook.
  5. Clique em Configurar.
  6. Selecione Adicionar configuração.
  7. Garanta que somente IOCs sejam enviados para o webhook.
  8. Cole o URL do endpoint no campo URL do webhook na tela Configurar webhook.
  9. Clique em Salvar.
  10. O CrowdStrike agora envia eventos gerados para o feed especificado do Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.