Raccogliere i log di CrowdStrike Falcon

Questo documento fornisce indicazioni su come importare i log di CrowdStrike Falcon in Google Security Operations nel seguente modo:

  • Raccogli i log di CrowdStrike Falcon configurando un feed Google Security Operations.
  • Mappa i campi dei log di CrowdStrike Falcon ai campi Unified Data Model (UDM) di Google SecOps.
  • Comprendi i tipi di log e di eventi CrowdStrike Falcon supportati.

Per saperne di più, consulta la panoramica dell'importazione dei dati in Google SecOps.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Diritti di amministratore sull'istanza di CrowdStrike per installare il sensore host CrowdStrike Falcon
  • Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
  • Il dispositivo di destinazione utilizza un sistema operativo supportato
    • Deve essere un server a 64 bit
    • Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
    • Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
  • File dell'account di servizio Google SecOps e ID cliente del team di assistenza Google SecOps

Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed Google SecOps

Un deployment tipico è costituito da CrowdStrike Falcon, che invia i log, e dal feed Google SecOps, che li recupera. Il deployment potrebbe variare leggermente in base alla configurazione.

Il deployment in genere include i seguenti componenti:

  • CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
  • Feed CrowdStrike. Il feed CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
  • CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie gli indicatori di minaccia dall'origine dati e li inoltra a Google SecOps.
  • Google SecOps: la piattaforma che conserva, normalizza e analizza i log di rilevamento di CrowdStrike.
  • Un parser di etichette di importazione che normalizza i dati di log non elaborati nel formato UDM. Le informazioni contenute in questo documento si applicano ai parser CrowdStrike Falcon con le seguenti etichette di importazione:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Il parser dell'indicatore di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed Google SecOps per i log EDR di CrowdStrike

Per configurare il feed sono necessarie le seguenti procedure.

Come configurare CrowdStrike

Per configurare un feed Falcon Data Replicator:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad App di assistenza > Falcon Data Replicator.
  3. Fai clic su Aggiungi per creare un nuovo feed Falcon Data Replicator e generare i seguenti valori:
    • Feed
    • Identificatore S3,
    • URL SQS
  4. Client secret. Conserva questi valori per configurare un feed in Google SecOps.

Per ulteriori informazioni, vedi Come configurare il feed di Falcon Data Replicator.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed CrowdStrike Falcon

  1. Fai clic sul pacchetto CrowdStrike.

  2. Nel tipo di log CrowdStrike Falcon, specifica i valori per i seguenti campi:

    • Origine: Amazon SQS V2
    • Nome coda: nome della coda SQS da cui leggere i dati di log.
    • URI S3: l'URI di origine del bucket S3.
    • Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso alla coda SQS: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
    • Chiave di accesso segreta della coda SQS: chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  3. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Configurare un feed di importazione con il bucket Amazon S3

Per configurare un feed di importazione utilizzando un bucket S3:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  5. In Tipo di origine, seleziona Amazon S3.
  6. In Tipo di log, seleziona CrowdStrike Falcon.
  7. In base al account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region URI della regione S3.
    S3 uri URI di origine del bucket S3.
    uri is a Tipo di oggetto a cui punta l'URI (ad esempio, file o cartella).
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    access key id Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, AKIAOSFOODNN7EXAMPLE.
    secret access key Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth pubblico.
    oauth client secret Client secret OAuth 2.0.
    oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0.
    asset namespace Lo spazio dei nomi associato al feed.

Configura un feed Google SecOps per i log CrowdStrike

Per inoltrare i log di monitoraggio del rilevamento di CrowdStrike:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad App di assistenza > Client e chiavi API .
  3. Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi deve disporre delle autorizzazioni READ sia per Detections che per Alerts da CrowdStrike Falcon.

Importare i log utilizzando Cloud Storage per i log EDR di CrowdStrike

Puoi configurare CrowdStrike per inviare i log EDR a un bucket Cloud Storage e poi importarli in Google SecOps utilizzando un feed. Questa procedura richiede il coordinamento con l'assistenza CrowdStrike.

Prima di iniziare

  • Assicurati di avere un'istanza di CrowdStrike Falcon attiva.
  • Assicurati di avere un progetto Google Cloud in cui puoi creare bucket Cloud Storage e gestire le autorizzazioni IAM.
  • Assicurati di avere un'istanza Google SecOps attiva.
  • Assicurati di disporre dei diritti di amministratore sia nel tuo ambiente Google Cloud che nella tua istanza Google SecOps.

Passaggi

  1. Contatta l'assistenza CrowdStrike:apri un ticket di assistenza con CrowdStrike per attivare e configurare la funzionalità di push dei log EDR nel tuo bucket Cloud Storage. L'assistenza CrowdStrike fornirà indicazioni sulle configurazioni specifiche richieste.

  2. Crea e autorizza il bucket Cloud Storage:

    1. Nella console Google Cloud , crea un nuovo bucket in Cloud Storage. Prendi nota del nome del bucket (ad esempio, gs://my-crowdstrike-edr-logs/).
    2. Concedi le autorizzazioni di scrittura al account di servizio o all'entità forniti da CrowdStrike. Segui le istruzioni dell'assistenza CrowdStrike per consentire la scrittura dei file di log in questo bucket per questa autorizzazione.

  3. Configura il feed Google SecOps:

    1. Nell'istanza di Google SecOps, vai a Impostazioni SIEM > Feed.
    2. Fai clic su Add New (Aggiungi nuovo).
    3. Inserisci un Nome feed descrittivo (ad esempio, CS-EDR-GCS).
    4. Per Tipo di origine, seleziona Google Cloud Storage V2.
    5. Per Tipo di log, seleziona CrowdStrike Falcon.
    6. Nella sezione dell'account di servizio, fai clic su Ottieni service account. Copia l'indirizzo email univoco dell'account di servizio visualizzato.
    7. Nella console Google Cloud , vai al bucket Cloud Storage. Concedi il ruolo IAM Storage Object Viewer all'indirizzo email del account di servizio copiato dalle impostazioni del feed Google SecOps. Questa autorizzazione consente al feed di leggere i file di log.
    8. Torna alla pagina di configurazione dei feed di Google SecOps.
    9. Inserisci l'URL del bucket di archiviazione utilizzando il nome del bucket che hai creato (ad esempio gs://my-crowdstrike-edr-logs/). Questo URL deve terminare con una barra (/).
    10. Seleziona un'opzione di eliminazione dell'origine:
      • Non cancellare mai i file: opzione consigliata.
      • Elimina i file trasferiti e le directory vuote: utilizza questa opzione con cautela.
    11. (Facoltativo) Specifica uno spazio dei nomi dell'asset.
    12. Fai clic su Avanti, rivedi le impostazioni e poi fai clic su Invia.

  4. Verifica l'importazione dei log: dopo che CrowdStrike conferma che i log vengono inviati, attendi un po' di tempo per l'importazione dei dati in Google SecOps. Controlla i log in entrata cercando con il tipo di log CROWDSTRIKE_EDR in Google SecOps.

Se riscontri problemi, esamina le autorizzazioni IAM nel bucket Cloud Storage e la configurazione del feed in Google SecOps. Se i problemi persistono, contatta il team di assistenza Google SecOps.

Per ricevere i log di monitoraggio del rilevamento di CrowdStrike, segui questi passaggi

  1. Accedi alla tua istanza Google SecOps.
  2. Vai a Impostazioni SIEM > Feed.
  3. Fai clic su Aggiungi nuovo feed.
  4. Nella pagina successiva, fai clic su Configura un singolo feed.
  5. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  6. In Tipo di origine, seleziona API di terze parti.
  7. In Tipo di log, seleziona Monitoraggio rilevamento CrowdStrike.

Se riscontri problemi, contatta il team di assistenza di Google SecOps.

Importa i log IoC di CrowdStrike in Google SecOps

Per configurare l'importazione dei log da CrowdStrike in Google SecOps per i log IoC, completa i seguenti passaggi:

  1. Crea una nuova coppia di chiavi client API nella console CrowdStrike Falcon. Questa coppia di chiavi consente a Google SecOps Intel Bridge di accedere e leggere eventi e informazioni supplementari da CrowdStrike Falcon. Per le istruzioni di configurazione, consulta CrowdStrike to Google SecOps Intel Bridge.
  2. Concedi l'autorizzazione READ a Indicators (Falcon Intelligence) quando crei la coppia di chiavi.
  3. Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.

  4. Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps, dove sa.json è il file account di servizio Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Una volta eseguito correttamente il contenitore, i log IoC inizieranno a essere trasmessi in streaming a Google SecOps.

Formati di log CrowdStrike supportati

Il parser CrowdStrike supporta i log in formato JSON.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.