Coletar registros do CrowdStrike Falcon

Este documento fornece orientações sobre como ingerir registros do CrowdStrike Falcon no Google Security Operations da seguinte maneira:

  • Colete registros do CrowdStrike Falcon configurando um feed das Operações de segurança do Google.
  • Mapeie os campos de registro do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM) do Google SecOps.
  • Entenda os tipos de registros e eventos do CrowdStrike Falcon compatíveis.

Para mais informações, consulte a Visão geral da ingestão de dados no Google SecOps.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

  • Direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon
  • Todos os sistemas na arquitetura de implantação são configurados no fuso horário UTC.
  • O dispositivo de destino executa um sistema operacional compatível
    • Precisa ser um servidor de 64 bits
    • O Microsoft Windows Server 2008 R2 SP1 é compatível com o sensor do host do CrowdStrike Falcon versão 6.51 ou mais recente.
    • As versões legadas do SO precisam ser compatíveis com a assinatura de código SHA-2.
  • Arquivo da conta de serviço do Google SecOps e seu ID de cliente da equipe de suporte do Google SecOps

Implantar o CrowdStrike Falcon com a integração do feed do Google SecOps

Uma implantação típica consiste no CrowdStrike Falcon, que envia os registros, e no feed do Google SecOps, que os busca. A implantação pode variar um pouco de acordo com sua configuração.

A implantação normalmente inclui os seguintes componentes:

  • CrowdStrike Falcon Intelligence: o produto da CrowdStrike de que você coleta registros.
  • Feed da CrowdStrike. O feed do CrowdStrike que busca registros do CrowdStrike e os grava no Google SecOps.
  • CrowdStrike Intel Bridge: o produto da CrowdStrike que coleta indicadores de ameaças da origem de dados e os encaminha para o Google SecOps.
  • Google SecOps: a plataforma que retém, normaliza e analisa os registros de detecção do CrowdStrike.
  • Um analisador de rótulos de ingestão que normaliza dados de registro brutos no formato UDM. As informações neste documento se aplicam aos analisadores do CrowdStrike Falcon com os seguintes rótulos de ingestão:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC O analisador de indicadores de comprometimento (IoC) do CrowdStrike é compatível com os seguintes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configurar um feed do Google SecOps para registros do EDR da CrowdStrike

Os procedimentos a seguir são necessários para configurar o feed.

Como configurar a CrowdStrike

Para configurar um feed do Falcon Data Replicator, siga estas etapas:

  1. Faça login no console do CrowdStrike Falcon.
  2. Acesse Apps de suporte > Falcon Data Replicator.
  3. Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
    • Feed
    • Identificador do S3
    • URL do SQS
  4. Chave secreta do cliente. Mantenha esses valores para configurar um feed no Google SecOps.

Para mais informações, consulte Como configurar o feed do replicador de dados do Falcon.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo feed
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do CrowdStrike Falcon

  1. Clique no pacote CrowdStrike.
  2. No tipo de registro CrowdStrike Falcon, especifique valores para os seguintes campos:

    • Fonte: Amazon SQS V2
    • Nome da fila: nome da fila do SQS de onde os dados de registro são lidos.
    • URI do S3: o URI de origem do bucket do S3.
    • Opção de exclusão da origem: opção para excluir arquivos e diretórios após a transferência dos dados.
    • Idade máxima do arquivo: inclui arquivos modificados nos últimos dias. O padrão é de 180 dias.
    • ID da chave de acesso da fila do SQS: ID da chave de acesso da conta de 20 caracteres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
    • Chave de acesso secreta da fila do SQS: chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
  3. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Configurar um feed de ingestão com o bucket do Amazon S3

Para configurar um feed de ingestão usando um bucket do S3, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
  5. Em Tipo de origem, selecione Amazon S3.
  6. Em Tipo de registro, selecione CrowdStrike Falcon.
  7. Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique valores para os seguintes campos:
    Campo Descrição
    region URI da região do S3.
    S3 uri URI de origem do bucket do S3.
    uri is a Tipo de objeto para o qual o URI aponta (por exemplo, arquivo ou pasta).
    source deletion option Opção para excluir arquivos e diretórios após a transferência dos dados.
    access key id Chave de acesso (string alfanumérica de 20 caracteres). Por exemplo, AKIAOSFOODNN7EXAMPLE
    secret access key Chave de acesso do secret (string alfanumérica de 40 caracteres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id ID do cliente OAuth público.
    oauth client secret Chave secreta do cliente OAuth 2.0.
    oauth secret refresh uri URI de atualização da chave secreta do cliente OAuth 2.0.
    asset namespace Namespace associado ao feed.

Configurar um feed do Google SecOps para registros da CrowdStrike

Para encaminhar os registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

  1. Faça login no console do CrowdStrike Falcon.
  2. Acesse Apps de suporte > Clientes e chaves de API .
  3. Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves precisa ter permissões READ para Detections e Alerts do CrowdStrike Falcon.

Ingerir registros usando o Cloud Storage para registros do CrowdStrike EDR

É possível configurar o CrowdStrike para enviar registros de EDR a um bucket do Cloud Storage e ingerir esses registros no Google SecOps usando um feed. Esse processo exige coordenação com o suporte da CrowdStrike.

Antes de começar

  • Verifique se você tem uma instância ativa do CrowdStrike Falcon.
  • Verifique se você tem um projeto Google Cloud em que é possível criar buckets do Cloud Storage e gerenciar permissões do IAM.
  • Verifique se você tem uma instância ativa do Google SecOps.
  • Verifique se você tem direitos de administrador no seu ambiente Google Cloud e na sua instância do Google SecOps.

Etapas

  1. Entre em contato com o suporte da CrowdStrike:abra um tíquete de suporte com a CrowdStrike para ativar e configurar o recurso de envio de registros de EDR para seu bucket do Cloud Storage. O suporte da CrowdStrike vai orientar você sobre as configurações específicas necessárias.

  2. Crie e conceda permissões ao bucket do Cloud Storage:

    1. No console Google Cloud , crie um bucket no Cloud Storage. Anote o nome do bucket (por exemplo, gs://my-crowdstrike-edr-logs/).
    2. Conceda permissões de gravação à conta de serviço ou entidade fornecida pela CrowdStrike. Siga as instruções do suporte da CrowdStrike para permitir que os arquivos de registro sejam gravados nesse bucket com essa permissão.
  3. Configure o feed do Google SecOps:

    1. Na sua instância do Google SecOps, acesse Configurações do SIEM > Feeds.
    2. Clique em Add New.
    3. Insira um Nome do feed descritivo, por exemplo, CS-EDR-GCS.
    4. Em Tipo de origem, selecione Google Cloud Storage V2.
    5. Em Tipo de registro, selecione CrowdStrike Falcon.
    6. Na seção "Conta de serviço", clique em Receber conta de serviço. Copie o endereço de e-mail exclusivo da conta de serviço exibido.
    7. No Google Cloud console, navegue até o bucket do Cloud Storage. Conceda o papel do IAM Storage Object Viewer ao endereço de e-mail da conta de serviço copiado das configurações do feed do Google SecOps. Essa permissão permite que o feed leia os arquivos de registro.
    8. Volte para a página de configuração do feed do Google SecOps.
    9. Insira o URL do bucket de armazenamento usando o nome do bucket criado (por exemplo, gs://my-crowdstrike-edr-logs/). Esse URL precisa terminar com uma barra invertida (/).
    10. Selecione uma opção de exclusão de origem:
      • Nunca excluir arquivos: recomendado.
      • Excluir arquivos transferidos e diretórios vazios: use com cuidado.
    11. Opcional: especifique um namespace de recurso.
    12. Clique em Próxima, revise as configurações e clique em Enviar.
  4. Verificar a ingestão de registros:depois que o CrowdStrike confirmar que os registros estão sendo enviados, aguarde um tempo para que os dados sejam ingeridos no Google SecOps. Para verificar os registros recebidos, pesquise com o tipo de registro CROWDSTRIKE_EDR no Google SecOps.

Se você tiver problemas, revise as permissões do IAM no bucket do Cloud Storage e a configuração do feed no Google SecOps. Se os problemas persistirem, entre em contato com a equipe de suporte do Google SecOps.

Para receber registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

  1. Faça login na sua instância do Google SecOps.
  2. Acesse Configurações do SIEM > Feeds.
  3. Clique em Adicionar novo feed.
  4. Na próxima página, clique em Configurar um único feed.
  5. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
  6. Em Tipo de origem, selecione API de terceiros.
  7. Em Tipo de registro, selecione Monitoramento de detecção do CrowdStrike.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Ingerir registros de IoC do CrowdStrike no Google SecOps

Para configurar a ingestão de registros do CrowdStrike no Google SecOps para registros de IoC, siga estas etapas:

  1. Crie um novo par de chaves de cliente de API no console do CrowdStrike Falcon. Esse par de chaves permite que a Google SecOps Intel Bridge acesse e leia eventos e informações complementares do CrowdStrike Falcon. Para instruções de configuração, consulte Ponte de inteligência do CrowdStrike para o Google SecOps.
  2. Conceda a permissão READ a Indicators (Falcon Intelligence) ao criar o par de chaves.
  3. Configure a Intel Bridge do Google SecOps seguindo as etapas em CrowdStrike para Intel Bridge do Google SecOps.
  4. Execute os comandos do Docker a seguir para enviar os registros do CrowdStrike ao Google SecOps, em que sa.json é o arquivo da conta de serviço do Google SecOps:

    docker build . -t ccib:latest
    docker run -it --rm \
          -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
          -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
          -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
          -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
          -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
          -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
          ccib:latest
    
  5. Depois que o contêiner for executado, os registros de IoC vão começar a ser transmitidos para o Google SecOps.

Formatos de registro da CrowdStrike compatíveis

O analisador do CrowdStrike é compatível com registros no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.