CrowdStrike Falcon-Logs erfassen

In diesem Dokument finden Sie Informationen zum Aufnehmen von CrowdStrike Falcon-Logs in Google Security Operations:

  • CrowdStrike Falcon-Logs werden erfasst, indem ein Google Security Operations-Feed eingerichtet wird.
  • Ordnen Sie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zu.
  • Informationen zu unterstützten CrowdStrike Falcon-Log- und Ereignistypen.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
  • Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
  • Das Zielgerät wird mit einem unterstützten Betriebssystem betrieben.
    • Muss ein 64-Bit-Server sein
    • Microsoft Windows Server 2008 R2 SP1 wird für den CrowdStrike Falcon Host-Sensor ab Version 6.51 unterstützt.
    • Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
  • Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

CrowdStrike Falcon mit Google SecOps-Feedintegration bereitstellen

Eine typische Bereitstellung besteht aus CrowdStrike Falcon, das die Logs sendet, und dem Google SecOps-Feed, der die Logs abruft. Die Bereitstellung kann je nach Einrichtung leicht variieren.

Die Bereitstellung umfasst in der Regel die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, aus dem Sie Protokolle erfassen.
  • CrowdStrike-Feed. Der CrowdStrike-Feed, mit dem Logs von CrowdStrike abgerufen und in Google SecOps geschrieben werden.
  • CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das Bedrohungsindikatoren aus der Datenquelle erfasst und an Google SecOps weiterleitet.
  • Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungslogs aufbewahrt, normalisiert und analysiert werden.
  • Ein Parser für die Aufnahme von Labels, der Logrohdaten in das UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für CrowdStrike Falcon-Parser mit den folgenden Aufnahme-Labels:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Der CrowdStrike-Parser für Kompromittierungsindikatoren (Indicator of Compromise, IoC) unterstützt die folgenden Indikatortypen:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Google SecOps-Feed für CrowdStrike EDR-Logs konfigurieren

Die folgenden Schritte sind erforderlich, um den Feed zu konfigurieren.

CrowdStrike konfigurieren

So richten Sie einen Falcon Data Replicator-Feed ein:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > Falcon Data Replicator.
  3. Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen und die folgenden Werte zu generieren:
    • Feed
    • S3-Kennung
    • SQS-URL
  4. Clientschlüssel Bewahren Sie diese Werte auf, um einen Feed in Google SecOps einzurichten.

Weitere Informationen finden Sie unter Falcon Data Replicator-Feed einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
  • Content Hub > Content-Packs > Erste Schritte

CrowdStrike Falcon-Feed einrichten

  1. Klicken Sie auf das CrowdStrike-Paket.

  2. Geben Sie für den Protokolltyp CrowdStrike Falcon Werte für die folgenden Felder an:

    • Quelle: Amazon SQS V2
    • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
    • S3-URI: Der Quell-URI des S3-Buckets.
    • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • SQS Queue Access Key ID (SQS-Warteschlange-Zugriffsschlüssel-ID): 20 Zeichen lange Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
    • SQS Queue Secret Access Key (Geheimer Zugriffsschlüssel für die SQS-Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
    • Labels für die Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  3. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Aufnahme-Feed mit Amazon S3-Bucket einrichten

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  5. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region S3-Regions-URI.
    S3 uri Quell-URI des S3-Buckets.
    uri is a Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    access key id Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen) Beispiel: AKIAOSFOODNN7EXAMPLE.
    secret access key Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Öffentliche OAuth-Client-ID.
    oauth client secret OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
    asset namespace Der Namespace, der dem Feed zugeordnet ist.

Google SecOps-Feed für CrowdStrike-Logs konfigurieren

So leiten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen weiter:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > API Clients and Keys .
  3. Erstellen Sie ein neues API-Clientschlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections und Alerts von CrowdStrike Falcon haben.

Logs mit Cloud Storage für CrowdStrike EDR-Logs aufnehmen

Sie können CrowdStrike so konfigurieren, dass EDR-Logs an einen Cloud Storage-Bucket gesendet werden. Anschließend können Sie diese Logs mithilfe eines Feeds in Google SecOps aufnehmen. Für diesen Vorgang ist eine Abstimmung mit dem CrowdStrike-Support erforderlich.

Hinweise

  • Sie benötigen eine aktive CrowdStrike Falcon-Instanz.
  • Sie benötigen ein Google Cloud Projekt, in dem Sie Cloud Storage-Buckets erstellen und IAM-Berechtigungen verwalten können.
  • Sie benötigen eine aktive Google SecOps-Instanz.
  • Sie benötigen Administratorrechte sowohl in Ihrer Google Cloud Umgebung als auch in Ihrer Google SecOps-Instanz.

Schritte

  1. CrowdStrike-Support kontaktieren:Erstellen Sie ein Support-Ticket bei CrowdStrike, um die Funktion zum Senden von EDR-Logs an Ihren Cloud Storage-Bucket zu aktivieren und zu konfigurieren. Der CrowdStrike-Support gibt Ihnen Informationen zu den erforderlichen Konfigurationen.

  2. Cloud Storage-Bucket erstellen und Berechtigungen festlegen:

    1. Erstellen Sie in der Google Cloud Console einen neuen Bucket in Cloud Storage. Notieren Sie sich den Bucket-Namen (z. B. gs://my-crowdstrike-edr-logs/).
    2. Gewähren Sie dem von CrowdStrike bereitgestellten Dienstkonto oder der von CrowdStrike bereitgestellten Identität Schreibberechtigungen. Folgen Sie der Anleitung des CrowdStrike-Supports, um das Schreiben von Logdateien in diesen Bucket für diese Berechtigung zu ermöglichen.

  3. Google SecOps-Feed konfigurieren:

    1. Rufen Sie in Ihrer Google SecOps-Instanz die SIEM-Einstellungen> Feeds auf.
    2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
    3. Geben Sie einen aussagekräftigen Feednamen ein, z. B. CS-EDR-GCS.
    4. Wählen Sie als Quelltyp die Option Google Cloud Storage V2 aus.
    5. Wählen Sie als Logtyp die Option CrowdStrike Falcon aus.
    6. Klicken Sie im Abschnitt „Dienstkonto“ auf Dienstkonto abrufen. Kopieren Sie die angezeigte eindeutige E‑Mail-Adresse des Dienstkontos.
    7. Wechseln Sie in der Google Cloud Console zu Ihrem Cloud Storage-Bucket. Weisen Sie dem Dienstkonto die IAM-Rolle Storage Object Viewer zu. Verwenden Sie dazu die E-Mail-Adresse des Dienstkontos, die Sie aus den Google SecOps-Feed-Einstellungen kopiert haben. Mit dieser Berechtigung kann der Feed die Logdateien lesen.
    8. Kehren Sie zur Seite Google SecOps-Feedkonfiguration zurück.
    9. Geben Sie die Storage-Bucket-URL mit dem Namen des Buckets ein, den Sie erstellt haben (z. B. gs://my-crowdstrike-edr-logs/). Diese URL muss mit einem abschließenden Schrägstrich (/) enden.
    10. Wählen Sie eine Option zum Löschen der Quelle aus:
      • Dateien nie löschen: Empfohlen.
      • Übertragene Dateien löschen und leere Verzeichnisse entfernen: Mit Vorsicht verwenden.
    11. Optional: Geben Sie einen Asset-Namespace an.
    12. Klicken Sie auf Weiter, prüfen Sie die Einstellungen und klicken Sie dann auf Senden.

  4. Logaufnahme prüfen:Nachdem CrowdStrike bestätigt hat, dass Logs übertragen werden, kann es einige Zeit dauern, bis die Daten in Google SecOps aufgenommen werden. Suchen Sie in Google SecOps mit dem Logtyp CROWDSTRIKE_EDR nach eingehenden Logs.

Wenn Probleme auftreten, prüfen Sie die IAM-Berechtigungen für den Cloud Storage-Bucket und die Feedkonfiguration in Google SecOps. Wenn die Probleme weiterhin bestehen, wenden Sie sich an das Google SecOps-Supportteam.

So erhalten Sie Logs zur Überwachung von CrowdStrike-Erkennungen:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  5. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  6. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  7. Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

CrowdStrike-IoC-Logs in Google SecOps aufnehmen

Führen Sie die folgenden Schritte aus, um die Aufnahme von Logs aus CrowdStrike in Google SecOps für IoC-Logs zu konfigurieren:

  1. Erstellen Sie in der CrowdStrike Falcon Console ein neues API-Client-Schlüsselpaar. Mit diesem Schlüsselpaar kann Google SecOps Intel Bridge auf Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon zugreifen und diese lesen. Eine Einrichtungsanleitung finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
  2. Erteilen Sie beim Erstellen des Schlüsselpaars die Berechtigung READ für Indicators (Falcon Intelligence).
  3. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

  4. Führen Sie die folgenden Docker-Befehle aus, um die Logs von CrowdStrike an Google SecOps zu senden. Dabei ist sa.json die Dienstkontodatei von Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Nachdem der Container erfolgreich ausgeführt wurde, werden IoC-Logs in Google SecOps gestreamt.

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten