Mengumpulkan log CrowdStrike Falcon

Dokumen ini menawarkan panduan untuk log CrowdStrike Falcon sebagai berikut:

  • Menjelaskan cara mengumpulkan log CrowdStrike Falcon dengan menyiapkan feed Google Security Operations.
  • Menjelaskan cara kolom log CrowdStrike Falcon dipetakan ke kolom model data terpadu (UDM) Google SecOps.
  • Mencantumkan jenis log dan jenis peristiwa CrowdStrike Falcon yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Sebelum memulai

  • Pastikan Anda memiliki hak administrator di instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon.
  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
  • Pastikan perangkat berjalan di sistem operasi yang didukung.
    • OS harus berjalan di server 64-bit. Microsoft Windows Server 2008 R2 SP1 didukung untuk sensor Host CrowdStrike Falcon versi 6.51 atau yang lebih baru.
    • Sistem yang menjalankan versi OS lama (misalnya, Windows 7 SP1) memerlukan dukungan penandatanganan kode SHA-2 yang diinstal di perangkatnya.
  • Dapatkan file akun layanan Google SecOps dan ID pelanggan Anda dari tim dukungan Google SecOps.

Men-deploy CrowdStrike Falcon dengan integrasi feed Google SecOps

Deployment standar terdiri dari CrowdStrike Falcon dan feed Google SecOps yang dikonfigurasi untuk mengirim log ke Google SecOps. Deployment Anda mungkin berbeda dari deployment standar.

Deployment berisi komponen berikut:

  • CrowdStrike Falcon Intelligence: Produk CrowdStrike tempat Anda mengumpulkan log.
  • Feed CrowdStrike. Feed CrowdStrike yang mengambil log dari CrowdStrike dan menulis log ke Google SecOps.
  • CrowdStrike Intel Bridge: Produk CrowdStrike yang mengumpulkan informasi dari sumber data dan meneruskannya ke Google SecOps.
  • Google SecOps: Platform yang menyimpan dan menganalisis log Deteksi CrowdStrike. Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke UDM. Informasi dalam dokumen ini berlaku untuk parser CrowdStrike Falcon dengan label transfer berikut:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Parser IOC CrowdStrike mendukung jenis indikator berikut:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Mengonfigurasi feed Google SecOps untuk log CrowdStrike EDR

Prosedur berikut diperlukan untuk mengonfigurasi feed.

Mengonfigurasi Feed Falcon Data Replicator

Untuk menyiapkan feed Falcon Data Replicator, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Aplikasi Dukungan > Falcon Data Replicator.
  3. Klik Tambahkan untuk membuat feed Falcon Data Replicator baru. Tindakan ini akan menghasilkan ID S3, URL SQS, dan Rahasia klien.
  4. Gunakan nilai Feed, ID S3, URL SQS, dan Rahasia klien yang dihasilkan untuk menyiapkan feed di Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Cara menyiapkan feed replikator Falcon Data.

Menyiapkan feed penyerapan

Anda dapat menggunakan Amazon SQS atau bucket Amazon S3 untuk menyiapkan feed penyerapan di Google SecOps. Amazon SQS lebih diutamakan, tetapi Amazon S3 juga didukung.

Menyiapkan feed transfer dengan bucket S3

Untuk menyiapkan feed transfer menggunakan bucket S3, ikuti langkah-langkah berikut:

  1. Login ke instance Google SecOps Anda.
  2. Dari menu aplikasi , pilih Setelan > Feed.
  3. Klik Tambahkan baru.
  4. Di Source type, pilih Amazon S3.
  5. Di Jenis log, pilih CrowdStrike Falcon.
  6. Berdasarkan akun layanan dan konfigurasi bucket Amazon S3 yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    S3 uri URI sumber bucket S3.
    uri is a Jenis URI objek yang dituju.
    source deletion option Apakah akan menghapus file dan direktori setelah mentransfer.
    access key id Kunci akses akun yang berupa string alfanumerik 20 karakter; misalnya, AKIAOSFOODNN7EXAMPLE.
    secret access key Kunci akses akun yang merupakan string alfanumerik 40 karakter; misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID OAuth publik khusus klien.
    oauth client secret Rahasia klien OAuth 2.0.
    oauth secret refresh uri URI refresh rahasia klien OAuth 2.0.
    asset namespace Namespace yang akan dikaitkan dengan feed.

Menyiapkan feed transfer dengan Amazon SQS

Untuk menyiapkan feed penyerapan dengan Amazon SQS, selesaikan langkah-langkah berikut:

  1. Dari menu aplikasi , pilih Setelan > Feed.
  2. Klik Tambahkan baru.
  3. Di Source type, pilih Amazon SQS.
  4. Di Jenis log, pilih CrowdStrike Falcon.
  5. Berdasarkan akun layanan dan konfigurasi Amazon SQS yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    QUEUE NAME Nama antrean SQS yang akan dibaca.
    ACCOUNT NUMBER Nomor akun SQS.
    source deletion option Apakah akan menghapus file dan direktori setelah mentransfer.
    QUEUE ACCESS KEY ID Kunci akses akun yang merupakan string alfanumerik 20 karakter, misalnya, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Kunci akses akun yang merupakan string alfanumerik 40 karakter, misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Namespace yang akan dikaitkan dengan feed.
    submit Perintah untuk mengirimkan feed.

Jika Anda mengalami masalah, hubungi tim dukungan Google SecOps.

Mengonfigurasi feed Google SecOps untuk log CrowdStrike

Untuk menyiapkan feed transfer di Google SecOps guna menyerap log pemantauan deteksi CrowdStrike, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Support Apps > API Clients and Keys .
  3. Buat pasangan kunci klien API baru di CrowdStrike Falcon. Pasangan kunci ini membaca peristiwa dan informasi tambahan dari CrowdStrike Falcon.
  4. Berikan izin READ ke Detections dan Alerts saat membuat pasangan kunci.
  5. Login ke instance Google SecOps Anda.
  6. Dari menu aplikasi , pilih Setelan > Feed.
  7. Klik Tambahkan baru.
  8. Di Source type, pilih Third Party API.
  9. Di Log type, pilih CrowdStrike Detection Monitoring.

Jika Anda mengalami masalah, hubungi tim dukungan Google SecOps.

Menyerap log IOC CrowdStrike ke Google SecOps

Untuk mengonfigurasi penyerapan log ke Google SecOps untuk log IOC CrowdStrike, selesaikan langkah-langkah berikut:

  1. Buat pasangan kunci klien API baru di CrowdStrike Falcon. Google SecOps Intel Bridge menggunakan pasangan kunci ini untuk membaca peristiwa dan informasi tambahan dari CrowdStrike Falcon. Untuk informasi selengkapnya, lihat Jembatan Intel CrowdStrike ke Google SecOps.
  2. Berikan izin READ ke Indicators (Falcon Intelligence) saat membuat pasangan kunci.
  3. Siapkan Google SecOps Intel Bridge dengan mengikuti langkah-langkah di CrowdStrike ke Google SecOps Intel Bridge.

  4. Jalankan perintah berikut untuk mengirim log dari CrowdStrike ke Google SecOps, dengan sa.json adalah file akun layanan Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.