CrowdStrike Falcon-Logs erfassen

In diesem Dokument finden Sie Informationen dazu, wie Sie CrowdStrike Falcon-Logs in Google Security Operations aufnehmen:

  • CrowdStrike Falcon-Logs werden erfasst, indem ein Google Security Operations-Feed eingerichtet wird.
  • Ordnen Sie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zu.
  • Informationen zu unterstützten CrowdStrike Falcon-Log- und Ereignistypen.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
  • Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
  • Das Zielgerät wird mit einem unterstützten Betriebssystem betrieben.
    • Muss ein 64-Bit-Server sein
    • Microsoft Windows Server 2008 R2 SP1 wird für den CrowdStrike Falcon Host-Sensor ab Version 6.51 unterstützt.
    • Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
  • Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

CrowdStrike Falcon mit Google SecOps-Feedintegration bereitstellen

Eine typische Bereitstellung besteht aus CrowdStrike Falcon, das die Logs sendet, und dem Google SecOps-Feed, der die Logs abruft. Die Bereitstellung kann je nach Einrichtung leicht variieren.

Die Bereitstellung umfasst in der Regel die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, aus dem Sie Protokolle erfassen.
  • CrowdStrike-Feed. Der CrowdStrike-Feed, mit dem Logs von CrowdStrike abgerufen und in Google SecOps geschrieben werden.
  • CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das Bedrohungsindikatoren aus der Datenquelle erfasst und an Google SecOps weiterleitet.
  • Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungslogs aufbewahrt, normalisiert und analysiert werden.
  • Ein Parser für die Aufnahme von Labels, der Logrohdaten in das UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für CrowdStrike Falcon-Parser mit den folgenden Aufnahme-Labels:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url
    • CS_ALERTS Der CrowdStrike Alerts-Parser unterstützt die folgenden Produkttypen:
      • epp
      • idp
      • overwatch
      • xdr
      • mobile
      • cwpp
      • ngsiem

Google SecOps-Feed für CrowdStrike EDR-Logs konfigurieren

Die folgenden Schritte sind erforderlich, um den Feed zu konfigurieren.

CrowdStrike konfigurieren

So richten Sie einen Falcon Data Replicator-Feed ein:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > Falcon Data Replicator.
  3. Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen und die folgenden Werte zu generieren:
    • Feed
    • S3-Kennung
    • SQS-URL
  4. Clientschlüssel Bewahren Sie diese Werte auf, um einen Feed in Google SecOps einzurichten.

Weitere Informationen finden Sie unter Falcon Data Replicator-Feed einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
  • Content Hub > Content-Pakete > Erste Schritte

CrowdStrike Falcon-Feed einrichten

  1. Klicken Sie auf das CrowdStrike-Paket.

  2. Geben Sie für den Protokolltyp CrowdStrike Falcon Werte für die folgenden Felder an:

    • Quelle: Amazon SQS V2
    • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
    • S3-URI: Der Quell-URI des S3-Buckets.
    • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • SQS Queue Access Key ID (SQS-Warteschlangen-Zugriffsschlüssel-ID): 20 Zeichen lange Zugriffsschlüssel-ID des Kontos. Beispiel: AKIAOSFOODNN7EXAMPLE.
    • SQS Queue Secret Access Key (Geheimer Zugriffsschlüssel für SQS-Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
    • Labels für die Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  3. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Aufnahme-Feed mit Amazon S3-Bucket einrichten

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Logs.
  5. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region S3-Regions-URI.
    S3 uri Quell-URI des S3-Buckets.
    uri is a Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    access key id Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen) Beispiel: AKIAOSFOODNN7EXAMPLE.
    secret access key Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Öffentliche OAuth-Client-ID.
    oauth client secret OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
    asset namespace Der Namespace, der dem Feed zugeordnet ist.

Google SecOps-Feed für CrowdStrike-Logs konfigurieren

So leiten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen weiter:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > API Clients and Keys .
  3. Erstellen Sie ein neues API-Clientschlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections und Alerts von CrowdStrike Falcon haben.

Logs mit Cloud Storage für CrowdStrike EDR-Logs aufnehmen

Sie können CrowdStrike so konfigurieren, dass EDR-Logs an einen Cloud Storage-Bucket gesendet werden. Anschließend können Sie diese Logs mithilfe eines Feeds in Google SecOps aufnehmen. Für diesen Vorgang ist eine Abstimmung mit dem CrowdStrike-Support erforderlich.

Hinweise

  • Sie benötigen eine aktive CrowdStrike Falcon-Instanz.
  • Sie benötigen ein Google Cloud Projekt, in dem Sie Cloud Storage-Buckets erstellen und IAM-Berechtigungen verwalten können.
  • Sie benötigen eine aktive Google SecOps-Instanz.
  • Sie benötigen Administratorrechte sowohl in Ihrer Google Cloud Umgebung als auch in Ihrer Google SecOps-Instanz.

Schritte

  1. CrowdStrike-Support kontaktieren:Erstellen Sie ein Support-Ticket bei CrowdStrike, um die Funktion zum Senden von EDR-Logs an Ihren Cloud Storage-Bucket zu aktivieren und zu konfigurieren. Der CrowdStrike-Support gibt Ihnen Informationen zu den erforderlichen Konfigurationen.

  2. Cloud Storage-Bucket erstellen und Berechtigungen festlegen:

    1. Erstellen Sie in der Google Cloud Console einen neuen Bucket in Cloud Storage. Notieren Sie sich den Bucket-Namen (z. B. gs://my-crowdstrike-edr-logs/).
    2. Gewähren Sie dem von CrowdStrike bereitgestellten Dienstkonto oder der von CrowdStrike bereitgestellten Identität Schreibberechtigungen. Folgen Sie der Anleitung des CrowdStrike-Supports, um das Schreiben von Logdateien in diesen Bucket für diese Berechtigung zu ermöglichen.

  3. Google SecOps-Feed konfigurieren:

    1. Rufen Sie in Ihrer Google SecOps-Instanz die SIEM-Einstellungen > Feeds auf.
    2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
    3. Geben Sie einen aussagekräftigen Feednamen ein, z. B. CS-EDR-GCS.
    4. Wählen Sie als Quelltyp die Option Google Cloud Storage V2 aus.
    5. Wählen Sie als Logtyp die Option CrowdStrike Falcon aus.
    6. Klicken Sie im Abschnitt „Dienstkonto“ auf Dienstkonto abrufen. Kopieren Sie die angezeigte eindeutige E‑Mail-Adresse des Dienstkontos.
    7. Wechseln Sie in der Google Cloud Console zu Ihrem Cloud Storage-Bucket. Weisen Sie dem Dienstkonto die IAM-Rolle Storage Object Viewer zu. Verwenden Sie dazu die E-Mail-Adresse des Dienstkontos, die Sie aus den Google SecOps-Feed-Einstellungen kopiert haben. Mit dieser Berechtigung kann der Feed die Logdateien lesen.
    8. Kehren Sie zur Seite Google SecOps-Feedkonfiguration zurück.
    9. Geben Sie die Storage-Bucket-URL mit dem Namen des Buckets ein, den Sie erstellt haben (z. B. gs://my-crowdstrike-edr-logs/). Diese URL muss mit einem abschließenden Schrägstrich (/) enden.
    10. Wählen Sie eine Option zum Löschen der Quelle aus:
      • Dateien nie löschen: Empfohlen.
      • Übertragene Dateien löschen und leere Verzeichnisse entfernen: Mit Vorsicht verwenden.
    11. Optional: Geben Sie einen Asset-Namespace an.
    12. Klicken Sie auf Weiter, prüfen Sie die Einstellungen und klicken Sie dann auf Senden.

  4. Logaufnahme prüfen:Nachdem CrowdStrike bestätigt hat, dass Logs übertragen werden, kann es einige Zeit dauern, bis die Daten in Google SecOps aufgenommen werden. Suchen Sie in Google SecOps mit dem Logtyp CROWDSTRIKE_EDR nach eingehenden Logs.

Wenn Probleme auftreten, prüfen Sie die IAM-Berechtigungen für den Cloud Storage-Bucket und die Feedkonfiguration in Google SecOps. Wenn die Probleme weiterhin bestehen, wenden Sie sich an das Google SecOps-Supportteam.

So erhalten Sie Logs zur Überwachung von CrowdStrike-Erkennungen:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  5. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Logs.
  6. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  7. Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

CrowdStrike-IoC-Logs in Google SecOps aufnehmen

Führen Sie die folgenden Schritte aus, um die Aufnahme von Logs aus CrowdStrike in Google SecOps für IoC-Logs zu konfigurieren:

  1. Erstellen Sie in der CrowdStrike Falcon Console ein neues API-Client-Schlüsselpaar. Mit diesem Schlüsselpaar kann Google SecOps Intel Bridge auf Ereignisse und zusätzliche Informationen von CrowdStrike Falcon zugreifen und diese lesen. Eine Einrichtungsanleitung finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
  2. Erteilen Sie beim Erstellen des Schlüsselpaars die Berechtigung READ für Indicators (Falcon Intelligence).
  3. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

  4. Führen Sie die folgenden Docker-Befehle aus, um die Logs von CrowdStrike an Google SecOps zu senden. Dabei ist sa.json die Dienstkontodatei von Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Nachdem der Container erfolgreich ausgeführt wurde, werden IoC-Logs in Google SecOps gestreamt.

Google SecOps-Feed für CrowdStrike-Benachrichtigungsprotokolle konfigurieren

So richten Sie einen Ingestion-Feed für CrowdStrike-Benachrichtigungslogs ein:

In der CrowdStrike Falcon-Konsole:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf der Seite „API-Clients und ‑Schlüssel“ (Support und Ressourcen > Ressourcen und Tools > API-Clients und ‑Schlüssel) auf API-Client erstellen.
  3. Geben Sie Details zur Definition Ihres API-Clients ein:
    • Clientname
    • Beschreibung
    • API-Bereiche : Klicken Sie neben dem Bereich Benachrichtigungen auf die Kästchen Lesen und Schreiben, um den Zugriff zu aktivieren.
  4. Klicken Sie auf Erstellen, um den API-Client zu speichern und die Client-ID und das Secret zu generieren. Hinweis: Die Client-ID, das Secret und die Basis-URL werden in weiteren Schritten verwendet.

In der Google SecOps-Instanz:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Wählen Sie im Google SecOps-Menü Einstellungen und dann Feeds aus.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  5. Wählen Sie unter Log type (Logtyp) die Option CrowdStrike Alerts API aus.
  6. Klicken Sie auf Weiter und füllen Sie die folgenden Felder mit den Werten aus, die Sie vom CrowdStrike API-Client erhalten haben:
    • OAuth-Token-Endpunkt
    • OAuth-Client-ID
    • OAuth-Clientschlüssel
    • Basis-URL
  7. Klicken Sie auf Weiter und dann auf Senden.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

UDM-Zuordnungsdelta für CrowdStrike-Benachrichtigungslogs

UDM-Zuordnungsdelta-Referenz: CS_ALERTS

In der folgenden Tabelle sind die Unterschiede zwischen dem Standardparser von CS ALERTS und der Premium-Version von CS ALERTS aufgeführt.

Default UDM Mapping Log Field Premium Mapping Delta
about.resource.product_object_id cid Removed mapping to avoid duplication, as the cid log field is also mapped to metadata.product_deployment_id.
principal.asset.platform_software.platform platform If the device.platform_name log field value is empty and the platform log field value is not empty and if the platform log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if platform log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if platform log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if platform log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS.
security_result.detection_fields[agent_id] agent_id If the device.device_id log field value is empty and the host_id log field value is empty and the mdm_device_id log field value is empty then, CS:%{agent_id} log field is mapped to the principal.asset_id UDM field.
Else, the principal.asset.attribute.labels.key UDM field is set to agent_id and agent_id log field is mapped to the principal.asset.attribute.labels.value UDM field.
security_result.detection_fields[idp_policy_account_event_type] idp_policy_account_event_type security_result.rule_labels[idp_policy_account_event_type]
security_result.detection_fields[idp_policy_mfa_factor_type] idp_policy_mfa_factor_type security_result.rule_labels[idp_policy_mfa_factor_type]
security_result.detection_fields[idp_policy_mfa_provider_name] idp_policy_mfa_provider_name security_result.rule_labels[idp_policy_mfa_provider_name]
security_result.detection_fields[idp_policy_mfa_provider] idp_policy_mfa_provider security_result.rule_labels[idp_policy_mfa_provider]
security_result.detection_fields[idp_policy_rule_action] idp_policy_rule_action security_result.rule_labels[idp_policy_rule_action]
security_result.detection_fields[idp_policy_rule_trigger] idp_policy_rule_trigger security_result.rule_labels[idp_policy_rule_trigger]
security_result.detection_fields[idp_policy_rule_id] idp_policy_rule_id security_result.rule_id
security_result.detection_fields[idp_policy_rule_name] idp_policy_rule_name security_result.rule_name
target.process.file.mime_type alleged_filetype If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, alleged_filetype log field is mapped to the target.file.mime_type UDM field.
Else, alleged_filetype log field is mapped to the target.process.file.mime_type UDM field.
principal.resource.product_object_id device.cid principal.asset.attribute.labels[device_cid]
security_result.detection_fields[active_directory_dn_display] device.hostinfo.active_directory_dn_display Iterate through log field device.hostinfo.active_directory_dn_display, then
the security_result.detection_fields.key UDM field is set to device_hostinfo_active_directory_dn_display and device.hostinfo.active_directory_dn_display log field is mapped to the security_result.detection_fields.value UDM field.
principal.asset.platform_software.platform device.platform_name If the device.platform_name log field value is not empty and if the device.platform_name log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if device.platform_name log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if device.platform_name log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if device.platform_name log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. if the platform log field value is not empty and the device.platform_name log field value is equal to the platform log field value then, the principal.asset.attribute.labels.key UDM field is set to platform and platform log field is mapped to the principal.asset.attribute.labels.value UDM field.
principal.asset.platform_software.platform_version device.system_product_name principal.asset.hardware.model
target.process.file.names filename If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, filename log field is mapped to the target.file.names UDM field.
Else, filename log field is mapped to the target.process.file.names UDM field.
target.file.full_path filepath If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, filepath log field is mapped to the target.file.full_path UDM field.
Else, filepath log field is mapped to the target.process.file.full_path UDM field.
If the product log field value is equal to epp and the type log field value is equal to ofp and if the macros.ioc_description log field value is not empty then, macros.ioc_description log field is mapped to the target.file.full_path UDM field and the security_result.detection_fields.key UDM field is set to filepath and filepath log field is mapped to the security_result.detection_fields.value UDM field.
target.process_ancestors.command_line grandparent_details.cmdline target.process.parent_process.parent_process.command_line
target.process_ancestors.file.names grandparent_details.filename target.process.parent_process.parent_process.file.names
target.process_ancestors.file.full_path grandparent_details.filepath target.process.parent_process.parent_process.file.full_path
target.process_ancestors.file.md5 grandparent_details.md5 target.process.parent_process.parent_process.file.md5
target.process_ancestors.product_specific_process_id grandparent_details.process_graph_id If the grandparent_details.process_graph_id log field value is not empty then, PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id} log field is mapped to the target.process.parent_process.parent_process.product_specific_process_id UDM field.
target.process_ancestors.pid grandparent_details.process_id target.process.parent_process.parent_process.pid
target.process_ancestors.file.sha256 grandparent_details.sha256 target.process.parent_process.parent_process.file.sha256
security_result.detection_fields[ioc_description] ioc_context.ioc_description Iterate through log field ioc_context, then
the security_result.detection_fields.key UDM field is set to ioc_context_ioc_description and ioc_context.ioc_description log field is mapped to the security_result.detection_fields.value UDM field.
security_result.detection_fields[ioc_source] ioc_context.ioc_source Iterate through log field ioc_context, then
the security_result.detection_fields.key UDM field is set to ioc_context_ioc_source and ioc_context.ioc_source log field is mapped to the security_result.detection_fields.value UDM field.
target.process.file.md5 md5 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, md5 log field is mapped to the target.file.md5 UDM field.
Else, md5 log field is mapped to the target.process.file.md5 UDM field.
target.process.file.sha1 sha1 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, sha1 log field is mapped to the target.file.sha1 UDM field.
Else, sha1 log field is mapped to the target.process.file.sha1 UDM field.
target.file.sha256 sha256 If the technique_name log field value contain one of the following values
  • Archive via Library
  • Ingress Tool Transfer
  • Remote File Copy
  • File Transfer Protocols
  • Credentials from Web Browsers
  • Credentials In Files
  • Proc Filesystem
  • Unsecured Credentials
  • File Deletion
  • Obfuscated Files or Information
  • Compile After Delivery
  • Compiled HTML File
  • Deobfuscate/Decode Files or Information
  • Double File Extension
  • File and Directory Permissions Modification
  • File System Logical Offsets
  • Hidden Files and Directories
  • Install Root Certificate
  • Archive Collected Data
  • Archive via Custom Method
  • Archive via Utility
  • Linux and Mac File and Directory Permissions Modification
  • MMC
  • NTFS File Attributes
  • PubPrn
  • Resource Forking
  • Rundll32
  • Scripting
  • Space after Filename
  • System Script Proxy Execution
  • XSL Script Processing
  • Intelligence Indicator - Hash
  • Known Hash
  • Malicious File
  • File and Directory Discovery
  • AppleScript
  • Command and Scripting Interpreter
  • JavaScript
  • JavaScript/JScript
  • Malicious Image
  • PowerShell
  • Python
  • Service Execution
  • Unix Shell
  • User Execution
  • Data Destruction
  • Spearphishing Attachment
  • .bash_profile and .bashrc
  • Change Default File Association
  • Ccache Files
  • Chat Messages
  • Multi-Factor Authentication
  • TCC Manipulation
  • Application Versioning
  • Fileless Storage
  • Embedded Payloads
  • File/Path Exclusions
  • Encrypted/Encoded File
  • Match Legitimate Resource Name or Location
  • Masquerade File Type
  • Stripped Payloads
  • Clear Network Connection History and Configurations
  • Disable or Modify Linux Audit System
  • Junk Code Insertion
  • Extended Attributes
  • SVG Smuggling
  • Indicator Removal
  • LNK Icon Smuggling
  • Polymorphic Code
  • Relocate Malware
  • Clear Persistence
  • Compression
  • Compromise Host Software Binary
  • Conceal Multimedia Files
  • Browser Information Discovery
  • Taint Shared Content
  • Shared Webroot
then, sha256 log field is mapped to the target.file.sha256 UDM field.
Else, sha256 log field is mapped to the target.process.file.sha256 UDM field.
If the product log field value is equal to epp and the type log field value is equal to ofp and if the ioc_type log field value is equal to hash_sha256 and the macros.ioc_value log field value is not empty then, macros.ioc_value log field is mapped to the target.file.sha256 UDM field and the security_result.detection_fields.key UDM field is set to sha256 and sha256 log field is mapped to the security_result.detection_fields.value UDM field.
target.asset.platform_software.platform operating_system If the operating_system log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS.
Else, if operating_system log field value matches the regular expression pattern (?i)linux then, the principal.asset.platform_software.platform UDM field is set to LINUX.
Else, if operating_system log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS.
Else, if operating_system log field value matches the regular expression pattern (?i)mac then, the principal.asset.platform_software.platform UDM field is set to MAC.
security_result.detection_fields[agent_version] agent_version principal.asset.attribute.labels[agent_version]
about.email enrollment_email principal.user.email_addresses
principal.asset.type If the mdm_device_id log field value is not empty or the mobile_hardware log field value is not empty or the mobile_manufacturer log field value is not empty or the mobile_serial log field value is not empty then, the principal.asset.type UDM field is set to MOBILE.

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten