Recolha registos do CrowdStrike Falcon

Este documento fornece orientações sobre como carregar registos do CrowdStrike Falcon para o Google Security Operations da seguinte forma:

  • Recolha registos do CrowdStrike Falcon configurando um feed do Google Security Operations.
  • Mapeie os campos de registo do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM) do Google SecOps.
  • Compreenda os tipos de registos e os tipos de eventos do CrowdStrike Falcon suportados.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google SecOps.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Direitos de administrador na instância do CrowdStrike para instalar o sensor CrowdStrike Falcon Host
  • Todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
  • O dispositivo de destino é executado num sistema operativo compatível
    • Tem de ser um servidor de 64 bits
    • O Microsoft Windows Server 2008 R2 SP1 é suportado para a versão 6.51 ou posterior do sensor CrowdStrike Falcon Host.
    • As versões antigas do SO têm de suportar a assinatura de código SHA-2.
  • Ficheiro da conta de serviço do Google SecOps e o seu ID de cliente da equipa de apoio técnico do Google SecOps

Implemente o CrowdStrike Falcon com a integração de feeds do Google SecOps

Uma implementação típica consiste no CrowdStrike Falcon, que envia os registos, e no feed do Google SecOps, que obtém os registos. A implementação pode diferir ligeiramente consoante a sua configuração.

Normalmente, a implementação inclui os seguintes componentes:

  • CrowdStrike Falcon Intelligence: o produto CrowdStrike a partir do qual recolhe registos.
  • Feed da CrowdStrike. O feed do CrowdStrike que obtém registos do CrowdStrike e os escreve no Google SecOps.
  • CrowdStrike Intel Bridge: o produto CrowdStrike que recolhe indicadores de ameaças da origem de dados e os encaminha para o Google SecOps.
  • Google SecOps: a plataforma que retém, normaliza e analisa os registos de deteção do CrowdStrike.
  • Um analisador de etiquetas de carregamento que normaliza os dados de registo não processados para o formato do UDM. As informações neste documento aplicam-se aos analisadores do CrowdStrike Falcon com as seguintes etiquetas de carregamento:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC O analisador de indicadores de comprometimento (IoC) da CrowdStrike suporta os seguintes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url
    • CS_ALERTS O analisador de alertas da CrowdStrike suporta os seguintes tipos de produtos:
      • epp
      • idp
      • overwatch
      • xdr
      • mobile
      • cwpp
      • ngsiem

Configure um feed do Google SecOps para registos do CrowdStrike EDR

Os procedimentos seguintes são necessários para configurar o feed.

Como configurar o CrowdStrike

Para configurar um feed do Falcon Data Replicator, siga estes passos:

  1. Inicie sessão na CrowdStrike Falcon Console.
  2. Aceda a Apps de apoio técnico > Falcon Data Replicator.
  3. Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
    • Feed
    • Identificador S3,
    • URL do SQS
  4. Segredo do cliente. Mantenha estes valores para configurar um feed no Google SecOps.

Para mais informações, consulte o artigo Como configurar o feed do replicador de dados do Falcon.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo feed
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do CrowdStrike Falcon

  1. Clique no pacote CrowdStrike.

  2. No tipo de registo CrowdStrike Falcon, especifique valores para os seguintes campos:

    • Origem: Amazon SQS V2
    • Nome da fila: nome da fila SQS a partir da qual os dados de registo são lidos.
    • URI do S3: o URI de origem do contentor do S3.
    • Opção de eliminação da origem: opção para eliminar ficheiros e diretórios após a transferência dos dados.
    • Idade máxima do ficheiro: inclua ficheiros modificados no número de dias mais recente. A predefinição é 180 dias.
    • ID da chave de acesso à fila do SQS: ID da chave de acesso à conta de 20 carateres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
    • Chave de acesso secreta da fila SQS: chave de acesso secreta de 40 carateres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  3. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Configure um feed de carregamento com o contentor do Amazon S3

Para configurar um feed de carregamento através de um contentor do S3, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
  5. Em Tipo de origem, selecione Amazon S3.
  6. Em Tipo de registo, selecione CrowdStrike Falcon.
  7. Com base na conta de serviço e na configuração do contentor do Amazon S3 que criou, especifique os valores dos seguintes campos:
    Campo Descrição
    region URI da região do S3.
    S3 uri URI de origem do contentor do S3.
    uri is a Tipo de objeto para o qual o URI aponta (por exemplo, ficheiro ou pasta).
    source deletion option Opção para eliminar ficheiros e diretórios após a transferência dos dados.
    access key id Chave de acesso (string alfanumérica de 20 carateres). Por exemplo, AKIAOSFOODNN7EXAMPLE.
    secret access key Chave de acesso secreta (string alfanumérica de 40 carateres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID de cliente OAuth público.
    oauth client secret Segredo do cliente OAuth 2.0.
    oauth secret refresh uri URI de atualização do segredo do cliente OAuth 2.0.
    asset namespace O espaço de nomes associado ao feed.

Configure um feed do Google SecOps para registos do CrowdStrike

Para encaminhar os registos de monitorização de deteção do CrowdStrike, siga estes passos:

  1. Inicie sessão na CrowdStrike Falcon Console.
  2. Aceda a Apps de apoio técnico > Clientes e chaves da API .
  3. Crie um novo par de chaves de cliente da API no CrowdStrike Falcon. Este par de chaves tem de ter autorizações READ para Detections e Alerts do CrowdStrike Falcon.

Carregue registos através do Cloud Storage para registos do CrowdStrike EDR

Pode configurar o CrowdStrike para enviar registos de EDR para um contentor do Cloud Storage e, em seguida, carregar estes registos para o Google SecOps através de um feed. Este processo requer a coordenação com o apoio técnico da CrowdStrike.

Antes de começar

  • Certifique-se de que tem uma instância ativa do CrowdStrike Falcon.
  • Certifique-se de que tem um Google Cloud projeto onde pode criar contentores do Cloud Storage e gerir autorizações de IAM.
  • Certifique-se de que tem uma instância do Google SecOps ativa.
  • Certifique-se de que tem direitos de administrador no seu Google Cloud ambiente e na sua instância do Google SecOps.

Passos

  1. Contacte o apoio técnico da CrowdStrike: abra um pedido de apoio técnico junto da CrowdStrike para ativar e configurar a funcionalidade para enviar registos de EDR para o seu contentor do Cloud Storage. O apoio técnico do CrowdStrike fornece orientações sobre as configurações específicas necessárias.

  2. Crie e conceda autorizações ao contentor do Cloud Storage:

    1. Na Google Cloud consola, crie um novo contentor no Cloud Storage. Tome nota do nome do contentor (por exemplo, gs://my-crowdstrike-edr-logs/).
    2. Conceda autorizações de escrita à conta de serviço ou à entidade fornecida pela CrowdStrike. Siga as instruções do apoio técnico da CrowdStrike para permitir que os ficheiros de registo sejam escritos neste contentor para esta autorização.

  3. Configure o feed do Google SecOps:

    1. Na sua instância do Google SecOps, aceda a Definições do SIEM > Feeds.
    2. Clique em Adicionar novo.
    3. Introduza um Nome do feed descritivo (por exemplo, CS-EDR-GCS).
    4. Em Tipo de origem, selecione Google Cloud Storage V2.
    5. Em Tipo de registo, selecione CrowdStrike Falcon.
    6. Na secção Conta de serviço, clique em Obter conta de serviço. Copie o endereço de email exclusivo da conta de serviço apresentado.
    7. Na Google Cloud consola, navegue para o seu contentor do Cloud Storage. Conceda a função do IAM ao endereço de email da conta de serviço copiado das definições do feed do Google SecOps.Storage Object Viewer Esta autorização permite que o feed leia os ficheiros de registo.
    8. Volte à página de configuração do feed do Google SecOps.
    9. Introduza o URL do contentor de armazenamento com o nome do contentor que criou (por exemplo, gs://my-crowdstrike-edr-logs/). Este URL tem de terminar com uma barra invertida (/).
    10. Selecione uma opção de eliminação da origem:
      • Nunca eliminar ficheiros: recomendado.
      • Eliminar ficheiros transferidos e diretórios vazios: use com precaução.
    11. Opcional: especifique um espaço de nomes de recursos.
    12. Clique em Seguinte, reveja as definições e, de seguida, clique em Enviar.

  4. Verifique a carregamento de registos: depois de a CrowdStrike confirmar que os registos estão a ser enviados, aguarde algum tempo para que os dados sejam carregados no Google SecOps. Verifique se existem registos recebidos pesquisando com o tipo de registo CROWDSTRIKE_EDR no Google SecOps.

Se tiver problemas, reveja as autorizações de IAM no contentor do Cloud Storage e a configuração do feed no Google SecOps. Se os problemas persistirem, contacte a equipa de apoio técnico do Google SecOps.

Para receber registos de monitorização de deteção do CrowdStrike, siga estes passos

  1. Inicie sessão na sua instância do Google SecOps.
  2. Aceda a Definições do SIEM > Feeds.
  3. Clique em Adicionar novo feed.
  4. Na página seguinte, clique em Configurar um único feed.
  5. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
  6. Em Tipo de origem, selecione API de terceiros.
  7. Em Tipo de registo, selecione Monitorização de deteção do CrowdStrike.

Se tiver problemas, contacte a equipa de apoio técnico do Google SecOps.

Carregue registos de IoC do CrowdStrike para o Google SecOps

Para configurar a obtenção de registos do CrowdStrike para o Google SecOps para registos de IoC, conclua os seguintes passos:

  1. Crie um novo par de chaves de cliente da API na CrowdStrike Falcon Console. Este par de chaves permite que a Google SecOps Intel Bridge aceda e leia eventos e informações suplementares do CrowdStrike Falcon. Para ver instruções de configuração, consulte o artigo CrowdStrike para Google SecOps Intel Bridge.
  2. Conceda autorização READ a Indicators (Falcon Intelligence) quando criar o par de chaves.
  3. Configure o Google SecOps Intel Bridge seguindo os passos em CrowdStrike para Google SecOps Intel Bridge.

  4. Execute os seguintes comandos do Docker para enviar os registos do CrowdStrike para o Google SecOps, em que sa.json é o ficheiro da conta de serviço do Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Depois de o contentor ser executado com êxito, os registos de IoC começam a ser transmitidos para o Google SecOps.

Configure um feed do Google SecOps para registos de alertas do CrowdStrike

Para configurar um feed de carregamento para registos de alertas do CrowdStrike, siga estes passos:

Na consola do CrowdStrike Falcon:

  1. Inicie sessão na CrowdStrike Falcon Console.
  2. Na página Clientes e chaves da API (Apoio técnico e recursos > Recursos e ferramentas > Clientes e chaves da API), clique em Criar cliente da API.
  3. Introduza os detalhes para definir o cliente API:
    • Nome do cliente
    • Descrição
    • Âmbitos da API : selecione as caixas Ler e Escrever junto ao âmbito Alertas para ativar o acesso.
  4. Clique em Criar para guardar o cliente da API e gerar o ID de cliente e o segredo. Nota: o Client-ID, o segredo e o URL base vão ser usados nos passos seguintes.

Na instância do Google SecOps:

  1. Inicie sessão na sua instância do Google SecOps.
  2. No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds.
  3. Clique em Adicionar novo feed.
  4. Em Tipo de origem, selecione API de terceiros.
  5. Em Tipo de registo, selecione API CrowdStrike Alerts.
  6. Clique em Seguinte e preencha os seguintes campos com os valores recolhidos do cliente da API CrowdStrike:
    • Ponto final do símbolo OAuth
    • ID de cliente OAuth
    • Segredo do cliente OAuth
    • URL base
  7. Clique em Seguinte e, de seguida, em Enviar.

Se tiver problemas, contacte a equipa de apoio técnico do Google SecOps.

Delta de mapeamento da UDM para registos de alertas da CrowdStrike

Referência do delta de mapeamento do UDM: CS_ALERTS

A tabela seguinte lista a diferença entre o analisador predefinido de CS ALERTS e a versão premium de CS ALERTS.

Default UDM Mapping Log Field Premium Mapping Delta
about.resource.product_object_id cid Removed mapping to avoid duplication, as the cid log field is also mapped to metadata.product_deployment_id.
principal.asset.platform_software.platform platform If the device.platform_name log field value is empty and the platform log field value is not empty and if the platform log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if platform log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if platform log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if platform log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS.
security_result.detection_fields[agent_id] agent_id If the device.device_id log field value is empty and the host_id log field value is empty and the mdm_device_id log field value is empty then, CS:%{agent_id} log field is mapped to the principal.asset_id UDM field.
Else, the principal.asset.attribute.labels.key UDM field is set to agent_id and agent_id log field is mapped to the principal.asset.attribute.labels.value UDM field.
security_result.detection_fields[idp_policy_account_event_type] idp_policy_account_event_type security_result.rule_labels[idp_policy_account_event_type]
security_result.detection_fields[idp_policy_mfa_factor_type] idp_policy_mfa_factor_type security_result.rule_labels[idp_policy_mfa_factor_type]
security_result.detection_fields[idp_policy_mfa_provider_name] idp_policy_mfa_provider_name security_result.rule_labels[idp_policy_mfa_provider_name]
security_result.detection_fields[idp_policy_mfa_provider] idp_policy_mfa_provider security_result.rule_labels[idp_policy_mfa_provider]
security_result.detection_fields[idp_policy_rule_action] idp_policy_rule_action security_result.rule_labels[idp_policy_rule_action]
security_result.detection_fields[idp_policy_rule_trigger] idp_policy_rule_trigger security_result.rule_labels[idp_policy_rule_trigger]
security_result.detection_fields[idp_policy_rule_id] idp_policy_rule_id security_result.rule_id
security_result.detection_fields[idp_policy_rule_name] idp_policy_rule_name security_result.rule_name
target.process.file.mime_type alleged_filetype If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, alleged_filetype log field is mapped to the target.file.mime_type UDM field.
Else, alleged_filetype log field is mapped to the target.process.file.mime_type UDM field.
principal.resource.product_object_id device.cid principal.asset.attribute.labels[device_cid]
security_result.detection_fields[active_directory_dn_display] device.hostinfo.active_directory_dn_display Iterate through log field device.hostinfo.active_directory_dn_display, then
the security_result.detection_fields.key UDM field is set to device_hostinfo_active_directory_dn_display and device.hostinfo.active_directory_dn_display log field is mapped to the security_result.detection_fields.value UDM field.
principal.asset.platform_software.platform device.platform_name If the device.platform_name log field value is not empty and if the device.platform_name log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if device.platform_name log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if device.platform_name log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if device.platform_name log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. if the platform log field value is not empty and the device.platform_name log field value is equal to the platform log field value then, the principal.asset.attribute.labels.key UDM field is set to platform and platform log field is mapped to the principal.asset.attribute.labels.value UDM field.
principal.asset.platform_software.platform_version device.system_product_name principal.asset.hardware.model
target.process.file.names filename If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, filename log field is mapped to the target.file.names UDM field.
Else, filename log field is mapped to the target.process.file.names UDM field.
target.file.full_path filepath If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, filepath log field is mapped to the target.file.full_path UDM field.
Else, filepath log field is mapped to the target.process.file.full_path UDM field.
If the product log field value is equal to epp and the type log field value is equal to ofp and if the macros.ioc_description log field value is not empty then, macros.ioc_description log field is mapped to the target.file.full_path UDM field and the security_result.detection_fields.key UDM field is set to filepath and filepath log field is mapped to the security_result.detection_fields.value UDM field.
target.process_ancestors.command_line grandparent_details.cmdline target.process.parent_process.parent_process.command_line
target.process_ancestors.file.names grandparent_details.filename target.process.parent_process.parent_process.file.names
target.process_ancestors.file.full_path grandparent_details.filepath target.process.parent_process.parent_process.file.full_path
target.process_ancestors.file.md5 grandparent_details.md5 target.process.parent_process.parent_process.file.md5
target.process_ancestors.product_specific_process_id grandparent_details.process_graph_id If the grandparent_details.process_graph_id log field value is not empty then, PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id} log field is mapped to the target.process.parent_process.parent_process.product_specific_process_id UDM field.
target.process_ancestors.pid grandparent_details.process_id target.process.parent_process.parent_process.pid
target.process_ancestors.file.sha256 grandparent_details.sha256 target.process.parent_process.parent_process.file.sha256
security_result.detection_fields[ioc_description] ioc_context.ioc_description Iterate through log field ioc_context, then
the security_result.detection_fields.key UDM field is set to ioc_context_ioc_description and ioc_context.ioc_description log field is mapped to the security_result.detection_fields.value UDM field.
security_result.detection_fields[ioc_source] ioc_context.ioc_source Iterate through log field ioc_context, then
the security_result.detection_fields.key UDM field is set to ioc_context_ioc_source and ioc_context.ioc_source log field is mapped to the security_result.detection_fields.value UDM field.
target.process.file.md5 md5 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, md5 log field is mapped to the target.file.md5 UDM field.
Else, md5 log field is mapped to the target.process.file.md5 UDM field.
target.process.file.sha1 sha1 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, sha1 log field is mapped to the target.file.sha1 UDM field.
Else, sha1 log field is mapped to the target.process.file.sha1 UDM field.
target.file.sha256 sha256 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, sha256 log field is mapped to the target.file.sha256 UDM field.
Else, sha256 log field is mapped to the target.process.file.sha256 UDM field.
If the product log field value is equal to epp and the type log field value is equal to ofp and if the ioc_type log field value is equal to hash_sha256 and the macros.ioc_value log field value is not empty then, macros.ioc_value log field is mapped to the target.file.sha256 UDM field and the security_result.detection_fields.key UDM field is set to sha256 and sha256 log field is mapped to the security_result.detection_fields.value UDM field.
target.asset.platform_software.platform operating_system If the operating_system log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS.
Else, if operating_system log field value matches the regular expression pattern (?i)linux then, the principal.asset.platform_software.platform UDM field is set to LINUX.
Else, if operating_system log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS.
Else, if operating_system log field value matches the regular expression pattern (?i)mac then, the principal.asset.platform_software.platform UDM field is set to MAC.
security_result.detection_fields[agent_version] agent_version principal.asset.attribute.labels[agent_version]
about.email enrollment_email principal.user.email_addresses
principal.asset.type If the mdm_device_id log field value is not empty or the mobile_hardware log field value is not empty or the mobile_manufacturer log field value is not empty or the mobile_serial log field value is not empty then, the principal.asset.type UDM field is set to MOBILE.

Formatos de registos do CrowdStrike suportados

O analisador do CrowdStrike suporta registos no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.