收集 CrowdStrike IOC 日志

概览

此解析器会从 JSON 格式的邮件中提取 CrowdStrike Falcon Intelligence 数据。它会将各种 IOC 字段转换为 UDM 格式，处理不同的指标类型（网域、IP 地址、网址、哈希等）及其关联的元数据，包括关系、标签和威胁信息。解析器还会执行数据验证和错误处理。它会优先解析 JSON，在必要时回退到 Grok 匹配，并丢弃格式错误的消息。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您拥有访问 CrowdStrike Falcon Intelligence 平台的适当权限。

在 Google SecOps 中配置 Feed 以提取 CrowdStrike IOC 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在 Feed 名称字段中，输入 Feed 的名称（例如 CrowdStrike IOC 日志）。
4. 选择Webhook 作为来源类型。
5. 选择 Crowdstrike IOC 作为日志类型。
6. 点击下一步。
7. 可选：为以下输入参数指定值：
   • 分隔符：用于分隔日志行的分隔符，例如 \n。
   • 资源命名空间：资源命名空间。
   • 提取标签：应用于此 Feed 中的事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看 Feed 配置，然后点击提交。
10. 点击生成 Secret 密钥，生成用于对此 Feed 进行身份验证的 Secret 密钥。
11. 复制并存储密钥。您将无法再查看此密钥。如有必要，您可以重新生成新的 Secret 密钥，但此操作会使之前的 Secret 密钥过时。
12. 在详情标签页中，从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
13. 点击完成。

为该网站钩子 Feed 创建 API 密钥

1. 依次前往 Google Cloud 控制台 > 凭据。

   转到“凭据”页面

2. 点击创建凭据，然后选择 API 密钥。

3. 限制 API 密钥对 Google Security Operations API 的访问权限。

指定端点网址

1. 在客户端应用中，指定 webhook Feed 中提供的 HTTPS 端点网址。

2. 通过在自定义标头中指定 API 密钥和密钥（格式如下）来启用身份验证：

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   建议：将 API 密钥作为标头指定，而不是在网址中指定。

3. 如果您的 webhook 客户端不支持自定义标头，您可以使用以下格式的查询参数指定 API 密钥和密钥：

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

替换以下内容：

• ENDPOINT_URL：Feed 端点网址。
• API_KEY：用于对 Google SecOps 进行身份验证的 API 密钥。
• SECRET：您为对 Feed 进行身份验证而生成的密钥。

创建 CrowdStrike 网络钩子

1. 登录 CrowdStrike Falcon Intelligence 控制台。
2. 前往 CrowdStrike 商店。
3. 找到网络钩子。
4. 启用 Webhook 集成。
5. 点击配置。
6. 选择添加配置。
7. 确保仅向 webhook 发送 IOC。
8. 将端点网址粘贴到配置网络钩子界面中的网络钩子网址字段中。
9. 点击保存。
10. CrowdStrike 现在会将生成的事件发送到指定的 Google SecOps Feed。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。