Mengumpulkan log IOC CrowdStrike

Didukung di:

Ringkasan

Parser ini mengekstrak data CrowdStrike Falcon Intelligence dari pesan berformat JSON. Alat ini mengubah berbagai kolom IOC menjadi format UDM, yang menangani berbagai jenis indikator (domain, IP, URL, hash, dll.) dan metadata terkaitnya, termasuk hubungan, label, dan informasi ancaman. Parser juga melakukan validasi data dan penanganan error. Fungsi ini memprioritaskan penguraian JSON, kembali ke pencocokan grok jika diperlukan, dan menghapus pesan yang salah formatnya.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses ke platform CrowdStrike Falcon Intelligence dengan izin yang sesuai.

Mengonfigurasi feed di Google SecOps untuk menyerap log IOC CrowdStrike

  1. Buka SIEM Settings > Feeds.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, CrowdStrike IOC Logs).
  4. Pilih Webhook sebagai Jenis sumber.
  5. Pilih Crowdstrike IOC sebagai Jenis log.
  6. Klik Berikutnya.
  7. Opsional: Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
  10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  11. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
  12. Di tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
  13. Klik Done.

Membuat kunci API untuk feed webhook

  1. Buka Konsol Google Cloud > Kredensial.

    Buka Kredensial

  2. Klik Create credentials, lalu pilih API key.

  3. Batasi akses kunci API ke Google Security Operations API.

Menentukan URL endpoint

  1. Di aplikasi klien, tentukan URL endpoint HTTPS yang diberikan di feed webhook.

  2. Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.

  3. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Ganti kode berikut:

  • ENDPOINT_URL: URL endpoint feed.
  • API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
  • SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Membuat webhook CrowdStrike

  1. Login ke konsol CrowdStrike Falcon Intelligence.
  2. Buka CrowdStrike Store.
  3. Temukan Webhook.
  4. Aktifkan integrasi Webhook.
  5. Klik Konfigurasikan.
  6. Pilih Tambahkan konfigurasi.
  7. Pastikan hanya IOC yang dikirim ke webhook.
  8. Tempelkan URL endpoint ke kolom Webhook URL di layar Configure Webhook.
  9. Klik Simpan.
  10. CrowdStrike kini mengirim peristiwa yang dihasilkan ke feed Google SecOps yang ditentukan.