Recolha registos do CrowdStrike Falcon

Este documento fornece orientações sobre como carregar registos do CrowdStrike Falcon para o Google Security Operations da seguinte forma:

  • Recolha registos do CrowdStrike Falcon configurando um feed do Google Security Operations.
  • Mapeie os campos de registo do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM) do Google SecOps.
  • Compreenda os tipos de registos e os tipos de eventos do CrowdStrike Falcon suportados.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google SecOps.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Direitos de administrador na instância do CrowdStrike para instalar o sensor CrowdStrike Falcon Host
  • Todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
  • O dispositivo de destino é executado num sistema operativo compatível
    • Tem de ser um servidor de 64 bits
    • O Microsoft Windows Server 2008 R2 SP1 é suportado para a versão 6.51 ou posterior do sensor CrowdStrike Falcon Host.
    • As versões antigas do SO têm de suportar a assinatura de código SHA-2.
  • Ficheiro da conta de serviço do Google SecOps e o seu ID de cliente da equipa de apoio técnico do Google SecOps

Implemente o CrowdStrike Falcon com a integração de feeds do Google SecOps

Uma implementação típica consiste no CrowdStrike Falcon, que envia os registos, e no feed do Google SecOps, que obtém os registos. A implementação pode diferir ligeiramente consoante a sua configuração.

Normalmente, a implementação inclui os seguintes componentes:

  • CrowdStrike Falcon Intelligence: o produto CrowdStrike a partir do qual recolhe registos.
  • Feed da CrowdStrike. O feed do CrowdStrike que obtém registos do CrowdStrike e os escreve no Google SecOps.
  • CrowdStrike Intel Bridge: o produto CrowdStrike que recolhe indicadores de ameaças da origem de dados e os encaminha para o Google SecOps.
  • Google SecOps: a plataforma que retém, normaliza e analisa os registos de deteção do CrowdStrike.
  • Um analisador de etiquetas de carregamento que normaliza os dados de registo não processados para o formato UDM. As informações neste documento aplicam-se aos analisadores do CrowdStrike Falcon com as seguintes etiquetas de carregamento:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC O analisador de indicadores de comprometimento (IoC) da CrowdStrike suporta os seguintes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configure um feed do Google SecOps para registos do CrowdStrike EDR

Os procedimentos seguintes são necessários para configurar o feed.

Como configurar o CrowdStrike

Para configurar um feed do Falcon Data Replicator, siga estes passos:

  1. Inicie sessão na CrowdStrike Falcon Console.
  2. Aceda a Apps de apoio técnico > Falcon Data Replicator.
  3. Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
    • Feed
    • Identificador S3,
    • URL do SQS
  4. Segredo do cliente. Mantenha estes valores para configurar um feed no Google SecOps.

Para mais informações, consulte o artigo Como configurar o feed do replicador de dados do Falcon.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed do CrowdStrike Falcon

  1. Clique no pacote CrowdStrike.

  2. No tipo de registo CrowdStrike Falcon, especifique valores para os seguintes campos:

    • Origem: Amazon SQS V2
    • Nome da fila: nome da fila SQS a partir da qual os dados de registo são lidos.
    • URI do S3: o URI de origem do contentor do S3.
    • Opção de eliminação da origem: opção para eliminar ficheiros e diretórios após a transferência dos dados.
    • Idade máxima do ficheiro: inclua ficheiros modificados no número de dias mais recente. A predefinição é 180 dias.
    • ID da chave de acesso à fila SQS: ID da chave de acesso à conta de 20 carateres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
    • Chave de acesso secreta da fila SQS: chave de acesso secreta de 40 carateres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  3. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Configure um feed de carregamento com o contentor do Amazon S3

Para configurar um feed de carregamento através de um contentor do S3, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
  5. Em Tipo de origem, selecione Amazon S3.
  6. Em Tipo de registo, selecione CrowdStrike Falcon.
  7. Com base na conta de serviço e na configuração do contentor do Amazon S3 que criou, especifique os valores dos seguintes campos:
    Campo Descrição
    region URI da região do S3.
    S3 uri URI de origem do contentor do S3.
    uri is a Tipo de objeto para o qual o URI aponta (por exemplo, ficheiro ou pasta).
    source deletion option Opção para eliminar ficheiros e diretórios após a transferência dos dados.
    access key id Chave de acesso (string alfanumérica de 20 carateres). Por exemplo, AKIAOSFOODNN7EXAMPLE.
    secret access key Chave de acesso secreta (string alfanumérica de 40 carateres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID de cliente OAuth público.
    oauth client secret Segredo do cliente OAuth 2.0.
    oauth secret refresh uri URI de atualização do segredo do cliente OAuth 2.0.
    asset namespace O espaço de nomes associado ao feed.

Configure um feed do Google SecOps para registos do CrowdStrike

Para encaminhar os registos de monitorização de deteção do CrowdStrike, siga estes passos:

  1. Inicie sessão na CrowdStrike Falcon Console.
  2. Aceda a Apps de apoio técnico > Clientes e chaves da API .
  3. Crie um novo par de chaves de cliente da API no CrowdStrike Falcon. Este par de chaves tem de ter autorizações READ para Detections e Alerts do CrowdStrike Falcon.

Para receber registos de monitorização de deteção do CrowdStrike, siga estes passos:

  1. Inicie sessão na sua instância do Google SecOps.
  2. Aceda a Definições do SIEM > Feeds.
  3. Clique em Adicionar novo feed.
  4. Na página seguinte, clique em Configurar um único feed.
  5. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
  6. Em Tipo de origem, selecione API de terceiros.
  7. Em Tipo de registo, selecione Monitorização de deteção do CrowdStrike.

Se tiver problemas, contacte a equipa de apoio técnico do Google SecOps.

Carregue registos de IoC do CrowdStrike para o Google SecOps

Para configurar a obtenção de registos do CrowdStrike para o Google SecOps para registos de IoC, conclua os seguintes passos:

  1. Crie um novo par de chaves de cliente da API na CrowdStrike Falcon Console. Este par de chaves permite que a Google SecOps Intel Bridge aceda e leia eventos e informações suplementares do CrowdStrike Falcon. Para ver instruções de configuração, consulte o artigo CrowdStrike para Google SecOps Intel Bridge.
  2. Conceda autorização READ a Indicators (Falcon Intelligence) quando criar o par de chaves.
  3. Configure a Google SecOps Intel Bridge seguindo os passos em CrowdStrike para Google SecOps Intel Bridge.

  4. Execute os seguintes comandos do Docker para enviar os registos do CrowdStrike para o Google SecOps, em que sa.json é o ficheiro da conta de serviço do Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Depois de o contentor ser executado com êxito, os registos de IoC começam a ser transmitidos para o Google SecOps.

Formatos de registos do CrowdStrike suportados

O analisador do CrowdStrike suporta registos no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.