此页面由 Cloud Translation API 翻译。

收集 CrowdStrike Falcon 日志

本文档提供了有关如何将 CrowdStrike Falcon 日志注入 Google Security Operations 的指南，具体如下：

通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
将 CrowdStrike Falcon 日志字段映射到 Google SecOps 统一数据模型 (UDM) 字段。
了解受支持的 CrowdStrike Falcon 日志类型和事件类型。

如需了解详情，请参阅将数据提取到 Google SecOps 概览。

准备工作

确保您满足以下前提条件：

CrowdStrike 实例的管理员权限，用于安装 CrowdStrike Falcon Host 传感器
部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
目标设备运行在受支持的操作系统上
- 必须是 64 位服务器
- CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
- 旧版操作系统版本必须支持 SHA-2 代码签名。
Google SecOps 服务账号文件和您的客户 ID（来自 Google SecOps 支持团队）

通过 Google SecOps Feed 集成部署 CrowdStrike Falcon

典型的部署包括发送日志的 CrowdStrike Falcon 和提取日志的 Google SecOps Feed。您的部署可能会因设置而略有不同。

部署通常包含以下组件：

CrowdStrike Falcon Intelligence：您从中收集日志的 CrowdStrike 产品。
CrowdStrike Feed。从 CrowdStrike 获取日志并将其写入 Google SecOps 的 CrowdStrike Feed。
CrowdStrike Intel Bridge：CrowdStrike 产品，用于从数据源收集威胁指标并将其转发给 Google SecOps。
Google SecOps：用于保留、规范化和分析 CrowdStrike 检测日志的平台。
一种将原始日志数据标准化为 UDM 格式的注入标签解析器。本文档中的信息适用于具有以下注入标签的 CrowdStrike Falcon 解析器：
- CS_EDR
- CS_DETECTS
- CS_IOC CrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型：
  - domain
  - email_address
  - file_name
  - file_path
  - hash_md5
  - hash_sha1
  - hash_sha256
  - ip_address
  - mutex_name
  - url

为 CrowdStrike EDR 日志配置 Google SecOps Feed

您需要执行以下程序来配置 Feed。

如何配置 CrowdStrike

如需设置 Falcon Data Replicator Feed，请按以下步骤操作：

登录 CrowdStrike Falcon 控制台。
依次前往支持应用 > Falcon Data Replicator。
点击添加以创建新的 Falcon Data Replicator Feed 并生成以下值：
- Feed
- S3 标识符，
- SQS 网址
客户端密钥。请保留这些值，以便在 Google SecOps 中设置 Feed。

如需了解详情，请参阅如何设置 Falcon Data Replicator Feed。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed > 添加新 Feed
内容中心 > 内容包 > 开始

如何设置 CrowdStrike Falcon Feed

点击 CrowdStrike 包。
在 CrowdStrike Falcon 日志类型中，为以下字段指定值：
- 来源：Amazon SQS V2
- 队列名称：要从中读取日志数据的 SQS 队列的名称。
- S3 URI：S3 存储桶源 URI。
- 源删除选项：用于在转移数据后删除文件和目录的选项。
- 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
- SQS 队列访问密钥 ID：20 字符的账号访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE。
- SQS 队列私有访问密钥：40 字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
高级选项
- Feed 名称：用于标识 Feed 的预填充值。
- 资产命名空间：与 Feed 关联的命名空间。
- 注入标签 - 应用于此 Feed 中所有事件的标签。
点击创建 Feed。

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

设置使用 Amazon S3 存储桶的注入 Feed

如需使用 S3 存储桶设置提取 Feed，请按以下步骤操作：

依次前往 SIEM 设置> Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称，例如 Crowdstrike Falcon 日志。
在来源类型中，选择 Amazon S3。
在日志类型中，选择 CrowdStrike Falcon。

根据您创建的服务账号和 Amazon S3 存储桶配置，为以下字段指定值：

字段	说明
`region`	S3 区域 URI。
`S3 uri`	S3 存储桶来源 URI。
`uri is a`	URI 指向的对象类型（例如，文件或文件夹）。
`source deletion option`	用于在转移数据后删除文件和目录的选项。
`access key id`	访问密钥（20 个字符的字母数字字符串）。例如 `AKIAOSFOODNN7EXAMPLE`。
`secret access key`	私有访问密钥（40 个字符的字母数字字符串）。例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`。
`oauth client id`	公开 OAuth 客户端 ID。
`oauth client secret`	OAuth 2.0 客户端密钥。
`oauth secret refresh uri`	OAuth 2.0 客户端密钥刷新 URI。
`asset namespace`	与 Feed 关联的命名空间。

为 CrowdStrike 日志配置 Google SecOps Feed

如需转发 CrowdStrike 检测监控日志，请按以下步骤操作：

登录 CrowdStrike Falcon 控制台。
前往 Support Apps（支持应用）> API Clients and Keys（API 客户端和密钥）。
在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对必须具有 CrowdStrike Falcon 的 Detections 和 Alerts 权限。READ

使用 Cloud Storage 提取 CrowdStrike EDR 日志

您可以将 CrowdStrike 配置为将 EDR 日志发送到 Cloud Storage 存储桶，然后使用 Feed 将这些日志注入到 Google SecOps 中。此流程需要与 CrowdStrike 支持团队协调。

准备工作

确保您拥有有效的 CrowdStrike Falcon 实例。
确保您拥有一个 Google Cloud 项目，您可以在其中创建 Cloud Storage 存储分区并管理 IAM 权限。
确保您拥有有效的 Google SecOps 实例。
确保您在 Google Cloud 环境和 Google SecOps 实例中都拥有管理员权限。

步骤

联系 CrowdStrike 支持团队：向 CrowdStrike 开立支持服务工单，以启用并配置将 EDR 日志推送到 Cloud Storage 存储桶的功能。 CrowdStrike 支持团队将针对所需配置提供指导。
创建 Cloud Storage 存储桶并为其授予权限：
1. 在 Google Cloud 控制台中，在 Cloud Storage 中创建一个新存储桶。记下存储桶名称（例如 gs://my-crowdstrike-edr-logs/）。
2. 向 CrowdStrike 提供的服务账号或实体授予写入权限。按照 CrowdStrike 支持团队的说明操作，以允许将日志文件写入此存储桶。
配置 Google SecOps Feed：
1. 在 Google SecOps 实例中，依次前往 SIEM 设置 > Feed。
2. 点击 Add New（新增）。
3. 输入一个描述性的 Feed 名称（例如 CS-EDR-GCS）。
4. 对于数据源类型，选择 Google Cloud Storage V2。
5. 对于日志类型，选择 CrowdStrike Falcon。
6. 在服务账号部分，点击获取服务账号。复制显示的唯一服务账号电子邮件地址。
7. 在 Google Cloud 控制台中，前往您的 Cloud Storage 存储桶。向从 Google SecOps Feed 设置中复制的服务账号电子邮件地址授予 Storage Object Viewer IAM 角色。此权限允许 Feed 读取日志文件。
8. 返回到 Google SecOps Feed 配置页面。
9. 使用您创建的存储桶的名称（例如 gs://my-crowdstrike-edr-logs/）输入存储桶网址。此网址必须以尾随正斜杠 (/) 结尾。
10. 选择一个来源删除选项：
  - 永不删除文件：推荐。
  - 删除已转移的文件和空目录：请谨慎使用。
11. 可选：指定资产命名空间。
12. 点击下一步，检查设置，然后点击提交。
验证日志注入：在 CrowdStrike 确认日志正在推送后，请等待一段时间，以便将数据注入到 Google SecOps 中。在 Google SecOps 中使用日志类型 CROWDSTRIKE_EDR 进行搜索，以检查是否有传入的日志。

如果遇到问题，请查看 Cloud Storage 存储桶的 IAM 权限以及 Google SecOps 中的 Feed 配置。如果问题仍然存在，请与 Google SecOps 支持团队联系。

如需接收 CrowdStrike 检测监控日志，请按以下步骤操作

登录您的 Google SecOps 实例。
依次前往 SIEM 设置> Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称，例如 Crowdstrike Falcon 日志。
在来源类型中，选择第三方 API。
在日志类型中，选择 CrowdStrike 检测监控。

如果您遇到问题，请与 Google SecOps 支持团队联系。

将 CrowdStrike IoC 日志注入到 Google SecOps

如需配置从 CrowdStrike 到 Google SecOps 的日志提取，以提取 IoC 日志，请完成以下步骤：

在 CrowdStrike Falcon 控制台中创建新的 API 客户端密钥对。借助此密钥对，Google SecOps Intel Bridge 可以访问和读取 CrowdStrike Falcon 中的事件和补充信息。如需查看设置说明，请参阅 CrowdStrike to Google SecOps Intel Bridge。
创建密钥对时，向 Indicators (Falcon Intelligence) 提供 READ 权限。
按照 CrowdStrike 到 Google SecOps Intel Bridge 中的步骤设置 Google SecOps Intel Bridge。

运行以下 Docker 命令，将 CrowdStrike 中的日志发送到 Google SecOps，其中 sa.json 是 Google SecOps 服务账号文件：

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

容器成功运行后，IoC 日志将开始流式传输到 Google SecOps。

支持的 CrowdStrike 日志格式

CrowdStrike 解析器支持 JSON 格式的日志。