Mengumpulkan log EDR CrowdStrike Falcon

Didukung di:

Dokumen ini menjelaskan cara mengekspor log CrowdStrike Falcon EDR ke Google Security Operations melalui feed Google Security Operations, dan cara kolom CrowdStrike Falcon EDR dipetakan ke kolom Unified Data Model (UDM) Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Deployment standar terdiri dari CrowdStrike yang diaktifkan untuk penyerapan ke Google Security Operations. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

  • CrowdStrike Falcon Intelligence: Produk CrowdStrike tempat Anda mengumpulkan log.

  • Google Security Operations: Menyimpan dan menganalisis log EDR CrowdStrike.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer CS_EDR.

Sebelum memulai

  • Pastikan Anda memiliki hak administrator di instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon.

  • Pastikan perangkat berjalan di sistem operasi yang didukung.

    • OS harus berjalan di server 64-bit. Microsoft Windows server 2008 R2 SP1 didukung untuk sensor Host Crowdstrike Falcon versi 6.51 atau yang lebih baru.
    • Sistem yang menjalankan versi OS lama (misalnya, Windows 7 SP1) memerlukan dukungan penandatanganan kode SHA-2 yang diinstal di perangkatnya.

  • Dapatkan file akun layanan Google Security Operations dan ID pelanggan Anda dari tim dukungan Google Security Operations.

  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.

Mengonfigurasi Feed Falcon Data Replicator

Untuk menyiapkan feed Falcon Data Replicator, ikuti langkah-langkah berikut:

  1. Klik tombol TAMBAHKAN untuk membuat feed Falcon Data Replicator baru. Tindakan ini akan menghasilkan ID S3, URL SQS, dan Rahasia klien.
  2. Gunakan nilai Feed, ID S3, URL SQS, dan Rahasia klien yang dihasilkan untuk menyiapkan feed di Google Security Operations.

Mengonfigurasi feed di Google Security Operations untuk menyerap log CrowdStrike EDR

Anda dapat menggunakan SQS atau bucket S3 untuk menyiapkan feed penyerapan di Google Security Operations. SQS lebih disarankan, tetapi S3 juga didukung.

Untuk menyiapkan feed penyerapan menggunakan bucket S3, ikuti langkah-langkah berikut:

  1. Pilih Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Masukkan nama unik untuk Nama feed.
  4. Di Source type, pilih Amazon S3.
  5. Di Jenis log, pilih CrowdStrike Falcon.
  6. Klik Berikutnya.
  7. Berdasarkan akun layanan dan konfigurasi bucket Amazon S3 yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    URI S3 URI sumber bucket S3.
    uri adalah Jenis URI objek yang dituju.
    opsi penghapusan sumber Apakah akan menghapus file dan/atau direktori setelah mentransfer.
    ID kunci akses Kunci akses akun yang berupa string alfanumerik 20 karakter, misalnya AKIAOSFOODNN7EXAMPLE.
    kunci akses rahasia Kunci akses akun yang merupakan string alfanumerik 40 karakter, misalnya wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    client id oauth ID OAuth publik khusus klien.
    rahasia klien oauth Rahasia klien OAuth 2.0.
    uri refresh rahasia oauth URI refresh secret klien OAuth 2.0.
    namespace aset Namespace yang akan dikaitkan dengan feed.
  8. Klik Berikutnya, lalu klik Kirim.

Untuk menyiapkan feed penyerapan menggunakan SQS, ikuti langkah-langkah berikut:

  1. Pilih Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Masukkan nama unik untuk Nama feed.
  4. Di Source type, pilih Amazon SQS.
  5. Di Jenis log, pilih CrowdStrike Falcon.
  6. Klik Berikutnya.
  7. Berdasarkan akun layanan dan konfigurasi Amazon SQS yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    NAMA ANTREAN Nama antrean SQS yang akan dibaca.
    NOMOR REKENING Nomor akun SQS.
    opsi penghapusan sumber Apakah akan menghapus file dan/atau direktori setelah mentransfer.
    QUEUE ACCESS KEY ID Kunci akses akun yang berupa string alfanumerik 20 karakter, misalnya, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Kunci akses akun yang merupakan string alfanumerik 40 karakter, misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    namespace aset Namespace yang akan dikaitkan dengan feed.

  8. Klik Berikutnya, lalu klik Kirim.