CrowdStrike Falcon のログを収集する

このドキュメントでは、CrowdStrike Falcon ログを Google Security Operations に取り込む方法について、次のガイダンスを提供します。

  • Google Security Operations フィードを設定して、CrowdStrike Falcon ログを収集します。
  • CrowdStrike Falcon ログフィールドを Google SecOps Unified Data Model(UDM)フィールドにマッピングします。
  • サポートされている CrowdStrike Falcon のログタイプとイベントタイプを理解する。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

始める前に

次の前提条件を満たしていることを確認します。

  • CrowdStrike Falcon Host センサーをインストールするための CrowdStrike インスタンスの管理者権限
  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されている。
  • ターゲット デバイスがサポートされているオペレーティング システムで実行されている
    • 64 ビットサーバーである必要があります
    • Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョンは SHA-2 コード署名をサポートしている必要があります。
  • Google SecOps サポートチームから提供された Google SecOps サービス アカウント ファイルとお客様の ID

Google SecOps フィード統合を使用して CrowdStrike Falcon をデプロイする

一般的なデプロイは、ログを送信する CrowdStrike Falcon と、ログを取得する Google SecOps フィードで構成されます。設定によっては、デプロイが若干異なる場合があります。

通常、デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。
  • CrowdStrike フィード。CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。
  • CrowdStrike Intel Bridge: データソースから脅威指標を収集し、Google SecOps に転送する CrowdStrike プロダクト。
  • Google SecOps: CrowdStrike 検出ログを保持、正規化、分析するプラットフォーム。
  • 未加工のログデータを UDM 形式に正規化する取り込みラベル パーサー。このドキュメントの情報は、次の取り込みラベルを持つ CrowdStrike Falcon パーサーに適用されます。
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike のセキュリティ侵害インジケーター(IoC)パーサーは、次のインジケーター タイプをサポートしています。
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

CrowdStrike EDR ログ用の Google SecOps フィードを構成する

フィードを構成するには、次の手順が必要です。

CrowdStrike の構成方法

Falcon Data Replicator フィードを設定する手順は次のとおりです。

  1. CrowdStrike Falcon コンソールにログインします。
  2. サポートアプリ > Falcon Data Replicator に移動します。
  3. [追加] をクリックして、新しい Falcon Data Replicator フィードを作成し、次の値を生成します。
    • フィード
    • S3 ID
    • SQS URL
  4. クライアント シークレット。これらの値は、Google SecOps でフィードを設定するために使用します。

詳細については、Falcon Data Replicator フィードを設定する方法をご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード] > [新しいフィードを追加]
  • Content Hub > Content Packs > Get Started

CrowdStrike Falcon フィードの設定方法

  1. [CrowdStrike] パックをクリックします。
  2. [CrowdStrike Falcon] ログタイプで、次のフィールドの値を指定します。

    • ソース: Amazon SQS V2
    • キュー名: ログデータの読み取り元となる SQS キューの名前。
    • S3 URI: S3 バケットのソース URI。
    • ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • SQS Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
    • SQS キューのシークレット アクセスキー: 40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    詳細オプション

  3. [フィードを作成] をクリックします。

このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

Amazon S3 バケットを使用して取り込みフィードを設定する

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  5. [Source type] で [Amazon S3] を選択します。
  6. [Log type] で [CrowdStrike Falcon] を選択します。
  7. 作成したサービス アカウントと Amazon S3 バケットの構成に基づいて、次のフィールドの値を指定します。
    フィールド 説明
    region S3 リージョン URI。
    S3 uri S3 バケットのソース URI。
    uri is a URI が指すオブジェクトのタイプ(ファイルやフォルダなど)。
    source deletion option データの転送後にファイルとディレクトリを削除するオプション。
    access key id アクセスキー(20 文字の英数字文字列)。例: AKIAOSFOODNN7EXAMPLE
    secret access key シークレット アクセスキー(40 文字の英数字文字列)。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公開 OAuth クライアント ID。
    oauth client secret OAuth 2.0 クライアント シークレット
    oauth secret refresh uri OAuth 2.0 クライアント シークレットの更新 URI。
    asset namespace フィードに関連付けられた名前空間。

CrowdStrike ログ用の Google SecOps フィードを構成する

CrowdStrike 検出モニタリング ログを転送する手順は次のとおりです。

  1. CrowdStrike Falcon Console にログインします。
  2. [Support Apps] > [API Clients and Keys] に移動します。
  3. CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。この鍵ペアには、CrowdStrike Falcon の DetectionsAlerts の両方に対する READ 権限が必要です。

CrowdStrike EDR ログに Cloud Storage を使用してログを取り込む

CrowdStrike を構成して EDR ログを Cloud Storage バケットに送信し、フィードを使用してこれらのログを Google SecOps に取り込むことができます。このプロセスでは、CrowdStrike サポートとの連携が必要です。

始める前に

  • アクティブな CrowdStrike Falcon インスタンスがあることを確認します。
  • Cloud Storage バケットを作成して IAM 権限を管理できる Google Cloud プロジェクトがあることを確認します。
  • アクティブな Google SecOps インスタンスがあることを確認します。
  • Google Cloud 環境と Google SecOps インスタンスの両方で管理者権限があることを確認します。

手順

  1. CrowdStrike サポートに連絡する: CrowdStrike でサポート チケットを開き、EDR ログを Cloud Storage バケットに push する機能を有効にして構成します。必要な構成については、CrowdStrike サポートからガイダンスが提供されます。

  2. Cloud Storage バケットを作成して権限を付与します。

    1. Google Cloud コンソールで、Cloud Storage に新しいバケットを作成します。バケット名(例: gs://my-crowdstrike-edr-logs/)をメモします。
    2. CrowdStrike が提供するサービス アカウントまたはエンティティに書き込み権限を付与します。この権限でログファイルをこのバケットに書き込めるようにするには、CrowdStrike サポートの手順に沿って操作します。
  3. Google SecOps フィードを構成します。

    1. Google SecOps インスタンスで、[SIEM 設定] > [フィード] に移動します。
    2. [Add New] をクリックします。
    3. わかりやすいフィード名を入力します(例: CS-EDR-GCS)。
    4. [ソースタイプ] で、[Google Cloud Storage V2] を選択します。
    5. [Log type] で [CrowdStrike Falcon] を選択します。
    6. [サービス アカウント] セクションで、[サービス アカウントを取得] をクリックします。表示された一意のサービス アカウントのメールアドレスをコピーします。
    7. Google Cloud コンソールで、Cloud Storage バケットに移動します。Google SecOps フィード設定からコピーしたサービス アカウントのメールアドレスに Storage Object Viewer IAM ロールを付与します。この権限により、フィードはログファイルを読み取ることができます。
    8. [Google SecOps] フィード構成ページに戻ります。
    9. 作成したバケットの名前(gs://my-crowdstrike-edr-logs/ など)を使用して、ストレージ バケットの URL を入力します。この URL は、末尾にスラッシュ(/)が付いている必要があります。
    10. [ソース削除オプション] を選択します。
      • ファイルを削除しない: 推奨。
      • 転送されたファイルと空のディレクトリを削除する: 注意して使用してください。
    11. 省略可: アセット名前空間を指定します。
    12. [次へ] をクリックし、設定を確認して、[送信] をクリックします。
  4. ログの取り込みを確認する: CrowdStrike がログのプッシュを確認したら、データが Google SecOps に取り込まれるまでしばらく待ちます。Google SecOps でログタイプ CROWDSTRIKE_EDR を使用して検索し、受信ログを確認します。

問題が発生した場合は、Cloud Storage バケットの IAM 権限と Google SecOps のフィード構成を確認してください。問題が解決しない場合は、Google SecOps サポートチームにお問い合わせください。

CrowdStrike 検出モニタリング ログを受信するには、次の操作を行います。

  1. Google SecOps インスタンスにログインします。
  2. [SIEM 設定] > [フィード] に移動します。
  3. [Add New Feed] をクリックします。
  4. 次のページで [単一フィードを設定] をクリックします。
  5. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  6. [ソースタイプ] で [サードパーティ API] を選択します。
  7. [Log type] で、[CrowdStrike Detection Monitoring] を選択します。

問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

CrowdStrike IoC ログを Google SecOps に取り込む

CrowdStrike から Google SecOps に IoC ログを取り込むように構成する手順は次のとおりです。

  1. CrowdStrike Falcon Console で新しい API クライアント鍵ペアを作成します。この鍵ペアにより、Google SecOps Intel Bridge は CrowdStrike Falcon からイベントと補足情報にアクセスして読み取ることができます。設定手順については、CrowdStrike から Google SecOps Intel Bridge をご覧ください。
  2. 鍵ペアを作成するときに、Indicators (Falcon Intelligence)READ 権限を付与します。
  3. CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。
  4. 次の Docker コマンドを実行して、CrowdStrike から Google SecOps にログを送信します。ここで、sa.json は Google SecOps サービス アカウント ファイルです。

    docker build . -t ccib:latest
    docker run -it --rm \
          -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
          -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
          -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
          -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
          -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
          -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
          ccib:latest
    
  5. コンテナが正常に実行されると、IoC ログが Google SecOps にストリーミングされ始めます。

サポートされている CrowdStrike ログ形式

CrowdStrike パーサーは JSON 形式のログをサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。