CrowdStrike IDP Services-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Logs von CrowdStrike Identity Protection (IDP) Services mit Amazon S3 in Google Security Operations aufnehmen. Bei der Integration wird die CrowdStrike Unified Alerts API verwendet, um Identity Protection-Ereignisse zu erfassen und im NDJSON-Format zu speichern, damit sie vom integrierten CS_IDP-Parser verarbeitet werden können.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz.
• Privilegierter Zugriff auf die CrowdStrike Falcon Console und API-Schlüsselverwaltung.
• Privilegierter Zugriff auf AWS (S3, Identity and Access Management (IAM), Lambda, EventBridge).

Voraussetzungen für CrowdStrike Identity Protection

1. Melden Sie sich in der CrowdStrike Falcon Console an.
2. Rufen Sie Support und Ressourcen > API-Clients und ‑Schlüssel auf.
3. Klicken Sie auf Neuen API-Client hinzufügen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Clientname: Geben Sie Google SecOps IDP Integration ein.
   • Beschreibung: Geben Sie API client for Google SecOps integration ein.
   • Bereiche: Wählen Sie den Bereich Benachrichtigungen: LESEN (alerts:read) aus (einschließlich Identity Protection-Benachrichtigungen).
5. Klicken Sie auf Hinzufügen.
6. Kopieren Sie die folgenden Details und speichern Sie sie an einem sicheren Ort:
   • Client-ID
   • Clientschlüssel (wird nur einmal angezeigt)
   • Basis-URL (Beispiele: api.crowdstrike.com für US-1, api.us-2.crowdstrike.com für US-2, api.eu-1.crowdstrike.com für EU-1)

AWS S3-Bucket und IAM für Google SecOps konfigurieren

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. crowdstrike-idp-logs-bucket).
3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
15. Wählen Sie Berechtigungen hinzufügen aus.
16. Wählen Sie Richtlinien direkt anhängen aus.
17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.
18. Wählen Sie die Richtlinie aus.
19. Klicken Sie auf Weiter.
20. Klicken Sie auf Berechtigungen hinzufügen.

IAM-Richtlinie und ‑Rolle für S3-Uploads konfigurieren

1. Rufen Sie in der AWS-Konsole IAM > Richtlinien auf.
2. Klicken Sie auf Richtlinie erstellen> Tab „JSON“.
3. Kopieren Sie die folgende Richtlinie und fügen Sie sie ein.

4. Policy JSON (ersetzen Sie crowdstrike-idp-logs-bucket, wenn Sie einen anderen Bucket-Namen eingegeben haben):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::crowdstrike-idp-logs-bucket/*"
       },
       {
         "Sid": "AllowGetStateObject",
         "Effect": "Allow",
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::crowdstrike-idp-logs-bucket/crowdstrike-idp/state.json"
       }
     ]
   }
   

5. Klicken Sie auf Weiter > Richtlinie erstellen.

6. Rufen Sie IAM > Rollen > Rolle erstellen > AWS-Service > Lambda auf.

7. Hängen Sie die neu erstellte Richtlinie an.

8. Geben Sie der Rolle den Namen CrowdStrike-IDP-Lambda-Role und klicken Sie auf Rolle erstellen.

Lambda-Funktion erstellen

1. Rufen Sie in der AWS Console Lambda > Funktionen > Funktion erstellen auf.
2. Klicken Sie auf Von Grund auf erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	CrowdStrike-IDP-Collector
   Laufzeit	Python 3.13
   Architektur	x86_64
   Ausführungsrolle	CrowdStrike-IDP-Lambda-Role

4. Nachdem die Funktion erstellt wurde, öffnen Sie den Tab Code, löschen Sie den Stub und fügen Sie den folgenden Code ein:

   import json
   import boto3
   import urllib3
   import os
   from datetime import datetime, timezone
   from urllib.parse import urlencode
   
   HTTP = urllib3.PoolManager()
   
   def lambda_handler(event, context):
       """
       Fetch CrowdStrike Identity Protection alerts (Unified Alerts API)
       and store RAW JSON (NDJSON) to S3 for the CS_IDP parser.
       No transformation is performed.
       """
       # Environment variables
       s3_bucket = os.environ['S3_BUCKET']
       s3_prefix = os.environ['S3_PREFIX']
       state_key = os.environ['STATE_KEY']
       client_id = os.environ['CROWDSTRIKE_CLIENT_ID']
       client_secret = os.environ['CROWDSTRIKE_CLIENT_SECRET']
       api_base = os.environ['API_BASE']
   
       s3 = boto3.client('s3')
   
       token = get_token(client_id, client_secret, api_base)
       last_ts = get_last_timestamp(s3, s3_bucket, state_key)
   
       # FQL filter for Identity Protection alerts only, newer than checkpoint
       fql_filter = f"product:'idp'+updated_timestamp:>'{last_ts}'"
       sort = 'updated_timestamp.asc'
   
       # Step 1: Get list of alert IDs
       all_ids = []
       per_page = int(os.environ.get('ALERTS_LIMIT', '1000'))  # up to 10000 per SDK docs
       offset = 0
       while True:
           page_ids = query_alert_ids(api_base, token, fql_filter, sort, per_page, offset)
           if not page_ids:
               break
           all_ids.extend(page_ids)
           if len(page_ids) < per_page:
               break
           offset += per_page
   
       if not all_ids:
           return {'statusCode': 200, 'body': 'No new Identity Protection alerts.'}
   
       # Step 2: Get alert details in batches (max 1000 IDs per request)
       details = []
       max_batch = 1000
       for i in range(0, len(all_ids), max_batch):
           batch = all_ids[i:i+max_batch]
           details.extend(fetch_alert_details(api_base, token, batch))
   
       if details:
           details.sort(key=lambda d: d.get('updated_timestamp', d.get('created_timestamp', '')))
           latest = details[-1].get('updated_timestamp') or details[-1].get('created_timestamp')
   
           key = f"{s3_prefix}cs_idp_{datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')}.json"
           body = '\n'.join(json.dumps(d, separators=(',', ':')) for d in details)
   
           s3.put_object(
               Bucket=s3_bucket,
               Key=key,
               Body=body.encode('utf-8'),
               ContentType='application/x-ndjson'
           )
   
           update_state(s3, s3_bucket, state_key, latest)
   
       return {'statusCode': 200, 'body': f'Wrote {len(details)} alerts to S3.'}
   
   def get_token(client_id, client_secret, api_base):
       """Get OAuth2 token from CrowdStrike API"""
       url = f"https://{api_base}/oauth2/token"
       data = f"client_id={client_id}&client_secret={client_secret}&grant_type=client_credentials"
       headers = {'Content-Type': 'application/x-www-form-urlencoded'}
       r = HTTP.request('POST', url, body=data, headers=headers)
       if r.status != 200:
           raise Exception(f'Auth failed: {r.status} {r.data}')
       return json.loads(r.data.decode('utf-8'))['access_token']
   
   def query_alert_ids(api_base, token, fql_filter, sort, limit, offset):
       """Query alert IDs using filters"""
       url = f"https://{api_base}/alerts/queries/alerts/v2"
       params = {'filter': fql_filter, 'sort': sort, 'limit': str(limit), 'offset': str(offset)}
       qs = urlencode(params)
       r = HTTP.request('GET', f"{url}?{qs}", headers={'Authorization': f'Bearer {token}'})
       if r.status != 200:
           raise Exception(f'Query alerts failed: {r.status} {r.data}')
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def fetch_alert_details(api_base, token, composite_ids):
       """Fetch detailed alert data by composite IDs"""
       url = f"https://{api_base}/alerts/entities/alerts/v2"
       body = {'composite_ids': composite_ids}
       headers = {'Authorization': f'Bearer {token}', 'Content-Type': 'application/json'}
       r = HTTP.request('POST', url, body=json.dumps(body).encode('utf-8'), headers=headers)
       if r.status != 200:
           raise Exception(f'Fetch alert details failed: {r.status} {r.data}')
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def get_last_timestamp(s3, bucket, key, default='2023-01-01T00:00:00Z'):
       """Get last processed timestamp from S3 state file"""
       try:
           obj = s3.get_object(Bucket=bucket, Key=key)
           state = json.loads(obj['Body'].read().decode('utf-8'))
           return state.get('last_timestamp', default)
       except s3.exceptions.NoSuchKey:
           return default
   
   def update_state(s3, bucket, key, ts):
       """Update last processed timestamp in S3 state file"""
       state = {'last_timestamp': ts, 'updated': datetime.now(timezone.utc).isoformat()}
       s3.put_object(Bucket=bucket, Key=key, Body=json.dumps(state).encode('utf-8'), ContentType='application/json')
   

5. Rufen Sie Konfiguration > Umgebungsvariablen auf.

6. Klicken Sie auf Bearbeiten> Neue Umgebungsvariable hinzufügen.

7. Geben Sie die in der folgenden Tabelle angegebenen Umgebungsvariablen ein und ersetzen Sie die Beispielwerte durch Ihre Werte.

   Umgebungsvariablen

   Schlüssel	Beispielwert
   S3_BUCKET	crowdstrike-idp-logs-bucket
   S3_PREFIX	crowdstrike-idp/
   STATE_KEY	crowdstrike-idp/state.json
   CROWDSTRIKE_CLIENT_ID	<your-client-id>
   CROWDSTRIKE_CLIENT_SECRET	<your-client-secret>
   API_BASE	api.crowdstrike.com (US-1), api.us-2.crowdstrike.com (US-2), api.eu-1.crowdstrike.com (EU-1)
   ALERTS_LIMIT	1000 (optional, max. 10.000 pro Seite)

8. Bleiben Sie nach dem Erstellen der Funktion auf der zugehörigen Seite oder öffnen Sie Lambda > Funktionen > Ihre Funktion.

9. Wählen Sie den Tab Konfiguration aus.

10. Klicken Sie im Bereich Allgemeine Konfiguration auf Bearbeiten.

11. Ändern Sie Zeitlimit in 5 Minuten (300 Sekunden) und klicken Sie auf Speichern.

EventBridge-Zeitplan erstellen

1. Gehen Sie zu Amazon EventBridge > Scheduler > Create schedule (Amazon EventBridge > Scheduler > Zeitplan erstellen).
2. Geben Sie die folgenden Konfigurationsdetails an:
   • Wiederkehrender Zeitplan: Preis (15 minutes).
   • Ziel: Ihre Lambda-Funktion CrowdStrike-IDP-Collector.
   • Name: CrowdStrike-IDP-Collector-15m.
3. Klicken Sie auf Zeitplan erstellen.

(Optional) IAM-Nutzer mit Lesezugriff und Schlüssel für Google SecOps erstellen

1. Rufen Sie die AWS-Konsole > IAM > Nutzer auf.
2. Klicken Sie auf Add users (Nutzer hinzufügen).
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Nutzer: Geben Sie secops-reader ein.
   • Zugriffstyp: Wählen Sie Zugriffsschlüssel – programmatischer Zugriff aus.
4. Klicken Sie auf Nutzer erstellen.
5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

6. JSON:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::crowdstrike-idp-logs-bucket/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::crowdstrike-idp-logs-bucket"
       }
     ]
   }
   

7. Name = secops-reader-policy.

8. Klicken Sie auf Richtlinie erstellen> suchen/auswählen> Weiter> Berechtigungen hinzufügen.

9. Erstellen Sie einen Zugriffsschlüssel für secops-reader: Sicherheitsanmeldedaten > Zugriffsschlüssel.

10. Klicken Sie auf Zugriffsschlüssel erstellen.

11. Laden Sie die Datei .CSV herunter. Sie fügen diese Werte in den Feed ein.

Feed in Google SecOps konfigurieren, um Protokolle von CrowdStrike Identity Protection Services aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf + Neuen Feed hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CrowdStrike Identity Protection Services logs.
4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
5. Wählen Sie Crowdstrike Identity Protection Services als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • S3-URI: s3://crowdstrike-idp-logs-bucket/crowdstrike-idp/
   • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Zugriffsschlüssel-ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
   • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten