收集 CrowdStrike Falcon 日志
本文档提供了有关如何将 CrowdStrike Falcon 日志注入 Google Security Operations 的指南,具体如下:
- 通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
- 将 CrowdStrike Falcon 日志字段映射到 Google SecOps 统一数据模型 (UDM) 字段。
- 了解受支持的 CrowdStrike Falcon 日志类型和事件类型。
如需了解详情,请参阅将数据提取到 Google SecOps 概览。
准备工作
确保您满足以下前提条件:
- CrowdStrike 实例的管理员权限,用于安装 CrowdStrike Falcon Host 传感器
- 部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
- 目标设备运行在受支持的操作系统上
- 必须是 64 位服务器
- CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
- 旧版操作系统版本必须支持 SHA-2 代码签名。
- Google SecOps 服务账号文件和您的客户 ID(来自 Google SecOps 支持团队)
通过 Google SecOps Feed 集成部署 CrowdStrike Falcon
典型的部署包括发送日志的 CrowdStrike Falcon 和提取日志的 Google SecOps Feed。您的部署可能会因设置而略有不同。
部署通常包含以下组件:
- CrowdStrike Falcon Intelligence:您从中收集日志的 CrowdStrike 产品。
- CrowdStrike Feed。从 CrowdStrike 获取日志并将其写入 Google SecOps 的 CrowdStrike Feed。
- CrowdStrike Intel Bridge:CrowdStrike 产品,用于从数据源收集威胁指标并将其转发给 Google SecOps。
- Google SecOps:用于保留、规范化和分析 CrowdStrike 检测日志的平台。
- 一种将原始日志数据标准化为 UDM 格式的注入标签解析器。本文档中的信息适用于具有以下注入标签的 CrowdStrike Falcon 解析器:
CS_EDRCS_DETECTSCS_IOCCrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型:domainemail_addressfile_namefile_pathhash_md5hash_sha1hash_sha256ip_addressmutex_nameurl
为 CrowdStrike EDR 日志配置 Google SecOps Feed
您需要执行以下程序来配置 Feed。
如何配置 CrowdStrike
如需设置 Falcon Data Replicator Feed,请按以下步骤操作:
- 登录 CrowdStrike Falcon 控制台。
- 依次前往支持应用 > Falcon Data Replicator。
- 点击添加以创建新的 Falcon Data Replicator Feed 并生成以下值:
- Feed
- S3 标识符,
- SQS 网址
- 客户端密钥。 请保留这些值,以便在 Google SecOps 中设置 Feed。
如需了解详情,请参阅如何设置 Falcon Data Replicator Feed。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed > 添加新 Feed
- 内容中心 > 内容包 > 开始
如何设置 CrowdStrike Falcon Feed
- 点击 CrowdStrike 包。
在 CrowdStrike Falcon 日志类型中,为以下字段指定值:
- 来源:Amazon SQS V2
- 队列名称:要从中读取日志数据的 SQS 队列的名称。
- S3 URI:S3 存储桶源 URI。
- 源删除选项:用于在转移数据后删除文件和目录的选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
- SQS 队列访问密钥 ID:20 字符的账号访问密钥 ID。例如
AKIAOSFOODNN7EXAMPLE。 - SQS 队列私有访问密钥:40 字符的私有访问密钥。例如
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资产命名空间:与 Feed 关联的命名空间。
- 注入标签 - 应用于此 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
设置使用 Amazon S3 存储桶的注入 Feed
如需使用 S3 存储桶设置提取 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志。
- 在来源类型中,选择 Amazon S3。
- 在日志类型中,选择 CrowdStrike Falcon。
- 根据您创建的服务账号和 Amazon S3 存储桶配置,为以下字段指定值:
字段 说明 regionS3 区域 URI。 S3 uriS3 存储桶来源 URI。 uri is aURI 指向的对象类型(例如,文件或文件夹)。 source deletion option用于在转移数据后删除文件和目录的选项。 access key id访问密钥(20 个字符的字母数字字符串)。例如 AKIAOSFOODNN7EXAMPLE。secret access key私有访问密钥(40 个字符的字母数字字符串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。oauth client id公开 OAuth 客户端 ID。 oauth client secretOAuth 2.0 客户端密钥。 oauth secret refresh uriOAuth 2.0 客户端密钥刷新 URI。 asset namespace与 Feed 关联的命名空间。
为 CrowdStrike 日志配置 Google SecOps Feed
如需转发 CrowdStrike 检测监控日志,请按以下步骤操作:
- 登录 CrowdStrike Falcon 控制台。
- 前往 Support Apps(支持应用)> API Clients and Keys(API 客户端和密钥)。
- 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对必须具有 CrowdStrike Falcon 的
Detections和Alerts权限。READ
使用 Cloud Storage 提取 CrowdStrike EDR 日志
您可以将 CrowdStrike 配置为将 EDR 日志发送到 Cloud Storage 存储桶,然后使用 Feed 将这些日志注入到 Google SecOps 中。此流程需要与 CrowdStrike 支持团队协调。
准备工作
- 确保您拥有有效的 CrowdStrike Falcon 实例。
- 确保您拥有一个 Google Cloud 项目,您可以在其中创建 Cloud Storage 存储分区并管理 IAM 权限。
- 确保您拥有有效的 Google SecOps 实例。
- 确保您在 Google Cloud 环境和 Google SecOps 实例中都拥有管理员权限。
步骤
联系 CrowdStrike 支持团队: 向 CrowdStrike 开立支持服务工单,以启用并配置将 EDR 日志推送到 Cloud Storage 存储桶的功能。 CrowdStrike 支持团队将针对所需配置提供指导。
创建 Cloud Storage 存储桶并为其授予权限:
- 在 Google Cloud 控制台中,在 Cloud Storage 中创建一个新存储桶。
记下存储桶名称(例如
gs://my-crowdstrike-edr-logs/)。 - 向 CrowdStrike 提供的服务账号或实体授予写入权限。按照 CrowdStrike 支持团队的说明操作,以允许将日志文件写入此存储桶。
- 在 Google Cloud 控制台中,在 Cloud Storage 中创建一个新存储桶。
记下存储桶名称(例如
配置 Google SecOps Feed:
- 在 Google SecOps 实例中,依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 输入一个描述性的 Feed 名称(例如
CS-EDR-GCS)。 - 对于数据源类型,选择 Google Cloud Storage V2。
- 对于日志类型,选择 CrowdStrike Falcon。
- 在服务账号部分,点击获取服务账号。复制显示的唯一服务账号电子邮件地址。
- 在 Google Cloud 控制台中,前往您的 Cloud Storage 存储桶。
向从 Google SecOps Feed 设置中复制的服务账号电子邮件地址授予
Storage Object ViewerIAM 角色。此权限允许 Feed 读取日志文件。 - 返回到 Google SecOps Feed 配置页面。
- 使用您创建的存储桶的名称(例如
gs://my-crowdstrike-edr-logs/)输入存储桶网址。此网址必须以尾随正斜杠 (/) 结尾。 - 选择一个来源删除选项:
- 永不删除文件:推荐。
- 删除已转移的文件和空目录:请谨慎使用。
- 可选:指定资产命名空间。
- 点击下一步,检查设置,然后点击提交。
验证日志注入:在 CrowdStrike 确认日志正在推送后,请等待一段时间,以便将数据注入到 Google SecOps 中。在 Google SecOps 中使用日志类型
CROWDSTRIKE_EDR进行搜索,以检查是否有传入的日志。
如果遇到问题,请查看 Cloud Storage 存储桶的 IAM 权限以及 Google SecOps 中的 Feed 配置。如果问题仍然存在,请与 Google SecOps 支持团队联系。
如需接收 CrowdStrike 检测监控日志,请按以下步骤操作
- 登录您的 Google SecOps 实例。
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志。
- 在来源类型中,选择第三方 API。
- 在日志类型中,选择 CrowdStrike 检测监控。
如果您遇到问题,请与 Google SecOps 支持团队联系。
将 CrowdStrike IoC 日志注入到 Google SecOps
如需配置从 CrowdStrike 到 Google SecOps 的日志提取,以提取 IoC 日志,请完成以下步骤:
- 在 CrowdStrike Falcon 控制台中创建新的 API 客户端密钥对。借助此密钥对,Google SecOps Intel Bridge 可以访问和读取 CrowdStrike Falcon 中的事件和补充信息。如需查看设置说明,请参阅 CrowdStrike to Google SecOps Intel Bridge。
- 创建密钥对时,向
Indicators (Falcon Intelligence)提供READ权限。 - 按照 CrowdStrike 到 Google SecOps Intel Bridge 中的步骤设置 Google SecOps Intel Bridge。
运行以下 Docker 命令,将 CrowdStrike 中的日志发送到 Google SecOps,其中
sa.json是 Google SecOps 服务账号文件:docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latest容器成功运行后,IoC 日志将开始流式传输到 Google SecOps。
支持的 CrowdStrike 日志格式
CrowdStrike 解析器支持 JSON 格式的日志。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。