CrowdStrike Falcon 로그 수집

이 문서에서는 다음과 같이 CrowdStrike Falcon 로그를 Google Security Operations에 수집하는 방법을 안내합니다.

  • Google Security Operations 피드를 설정하여 CrowdStrike Falcon 로그를 수집합니다.
  • CrowdStrike Falcon 로그 필드를 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑합니다.
  • 지원되는 CrowdStrike Falcon 로그 유형 및 이벤트 유형을 이해합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • CrowdStrike Falcon Host 센서를 설치할 수 있는 CrowdStrike 인스턴스의 관리자 권한
  • 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성됩니다.
  • 타겟 기기가 지원되는 운영체제에서 실행됨
    • 64비트 서버여야 합니다.
    • Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
    • 기존 OS 버전은 SHA-2 코드 서명을 지원해야 합니다.
  • Google SecOps 지원팀에서 제공하는 Google SecOps 서비스 계정 파일 및 고객 ID

Google SecOps 피드 통합으로 CrowdStrike Falcon 배포

일반적인 배포는 로그를 전송하는 CrowdStrike Falcon과 로그를 가져오는 Google SecOps 피드로 구성됩니다. 설정에 따라 배포가 약간 다를 수 있습니다.

배포에는 일반적으로 다음 구성요소가 포함됩니다.

  • CrowdStrike Falcon Intelligence: 로그를 수집하는 CrowdStrike 제품입니다.
  • CrowdStrike 피드 CrowdStrike에서 로그를 가져와 Google SecOps에 작성하는 CrowdStrike 피드입니다.
  • CrowdStrike Intel Bridge: 데이터 소스에서 위협 지표를 수집하여 Google SecOps로 전달하는 CrowdStrike 제품입니다.
  • Google SecOps: CrowdStrike 감지 로그를 보관, 정규화, 분석하는 플랫폼입니다.
  • 원시 로그 데이터를 UDM 형식으로 정규화하는 수집 라벨 파서입니다. 이 문서의 정보는 다음 수집 라벨이 있는 CrowdStrike Falcon 파서에 적용됩니다.
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 침해 지표 (IoC) 파서는 다음 지표 유형을 지원합니다.
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

CrowdStrike EDR 로그용 Google SecOps 피드 구성

피드를 구성하려면 다음 절차가 필요합니다.

CrowdStrike 구성 방법

Falcon Data Replicator 피드를 설정하려면 다음 단계를 따르세요.

  1. CrowdStrike Falcon Console에 로그인합니다.
  2. 지원 앱 > Falcon Data Replicator로 이동합니다.
  3. 추가를 클릭하여 새 Falcon Data Replicator 피드를 만들고 다음 값을 생성합니다.
    • 피드
    • S3 식별자
    • SQS URL
  4. 클라이언트 보안 비밀번호 Google SecOps에서 피드를 설정하려면 이 값을 보관하세요.

자세한 내용은 Falcon Data Replicator 피드를 설정하는 방법을 참고하세요.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

  • SIEM 설정 > 피드 > 새로 추가
  • 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

CrowdStrike Falcon 피드를 설정하는 방법

  1. CrowdStrike 팩을 클릭합니다.

  2. CrowdStrike Falcon 로그 유형에서 다음 필드의 값을 지정합니다.

    • 소스: Amazon SQS V2
    • Queue Name: 로그 데이터를 읽어올 SQS 큐의 이름입니다.
    • S3 URI: S3 버킷 소스 URI입니다.
    • 소스 삭제 옵션: 데이터를 전송한 후 파일과 디렉터리를 삭제하는 옵션입니다.
    • 최대 파일 기간: 지난 일수 내에 수정된 파일을 포함합니다. 기본값은 180일입니다.
    • SQS 대기열 액세스 키 ID: 20자리 계정 액세스 키 ID입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
    • SQS 대기열 보안 비밀 액세스 키: 40자 길이의 보안 비밀 액세스 키입니다. 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.

    고급 옵션

    • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 수집 라벨 – 이 피드의 모든 이벤트에 적용되는 라벨입니다.

  3. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

Amazon S3 버킷으로 수집 피드 설정

S3 버킷을 사용하여 인제션 피드를 설정하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
  5. 소스 유형에서 Amazon S3를 선택합니다.
  6. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  7. 사용자가 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    region S3 리전 URI입니다.
    S3 uri S3 버킷 소스 URI입니다.
    uri is a URI가 가리키는 객체의 유형입니다 (예: 파일 또는 폴더).
    source deletion option 데이터 전송 후 파일 및 디렉터리를 삭제하는 옵션
    access key id 액세스 키 (20자리 영숫자 문자열)입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
    secret access key 보안 비밀 액세스 키 (40자리 영숫자 문자열) 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.
    oauth client id 공개 OAuth 클라이언트 ID입니다.
    oauth client secret OAuth 2.0 클라이언트 보안 비밀번호입니다.
    oauth secret refresh uri OAuth 2.0 클라이언트 보안 비밀번호 새로고침 URI입니다.
    asset namespace 피드와 연결된 네임스페이스입니다.

CrowdStrike 로그용 Google SecOps 피드 구성

CrowdStrike 감지 모니터링 로그를 전달하려면 다음 단계를 따르세요.

  1. CrowdStrike Falcon Console에 로그인합니다.
  2. 지원 앱 > API 클라이언트 및 키로 이동합니다 .
  3. CrowdStrike Falcon에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 CrowdStrike Falcon의 DetectionsAlerts에 대한 READ 권한이 있어야 합니다.

CrowdStrike 감지 모니터링 로그를 수신하려면 다음 단계를 따르세요.

  1. Google SecOps 인스턴스에 로그인합니다.
  2. SIEM 설정> 피드로 이동합니다.
  3. 새 피드 추가를 클릭합니다.
  4. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  5. 피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
  6. 소스 유형에서 서드 파티 API를 선택합니다.
  7. 로그 유형에서 CrowdStrike 감지 모니터링을 선택합니다.

문제가 발생하면 Google SecOps 지원팀에 문의하세요.

CrowdStrike IoC 로그를 Google SecOps에 수집

IoC 로그에 대해 CrowdStrike에서 Google SecOps로의 로그 수집을 구성하려면 다음 단계를 완료하세요.

  1. CrowdStrike Falcon 콘솔에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍을 사용하면 Google SecOps Intel Bridge가 CrowdStrike Falcon의 이벤트와 보충 정보에 액세스하고 이를 읽을 수 있습니다. 설정 안내는 CrowdStrike to Google SecOps Intel Bridge를 참고하세요.
  2. 키 쌍을 만들 때 Indicators (Falcon Intelligence)READ 권한을 제공합니다.
  3. CrowdStrike에서 Google SecOps 인텔 브리지로의 단계에 따라 Google SecOps 인텔 브리지를 설정합니다.

  4. 다음 Docker 명령어를 실행하여 CrowdStrike의 로그를 Google SecOps로 전송합니다. 여기서 sa.json은 Google SecOps 서비스 계정 파일입니다.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 컨테이너가 성공적으로 실행되면 IoC 로그가 Google SecOps로 스트리밍되기 시작합니다.

지원되는 CrowdStrike 로그 형식

CrowdStrike 파서는 JSON 형식의 로그를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.