CrowdStrike Falcon-Logs erfassen

In diesem Dokument finden Sie Informationen dazu, wie Sie CrowdStrike Falcon-Logs in Google Security Operations aufnehmen:

  • CrowdStrike Falcon-Logs werden erfasst, indem ein Google Security Operations-Feed eingerichtet wird.
  • Ordnen Sie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zu.
  • Informationen zu unterstützten CrowdStrike Falcon-Log- und Ereignistypen.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
  • Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
  • Das Zielgerät wird mit einem unterstützten Betriebssystem betrieben.
    • Muss ein 64-Bit-Server sein
    • Microsoft Windows Server 2008 R2 SP1 wird für den CrowdStrike Falcon Host-Sensor ab Version 6.51 unterstützt.
    • Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
  • Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

CrowdStrike Falcon mit Google SecOps-Feedintegration bereitstellen

Eine typische Bereitstellung besteht aus CrowdStrike Falcon, das die Logs sendet, und dem Google SecOps-Feed, der die Logs abruft. Die Bereitstellung kann je nach Einrichtung leicht variieren.

Die Bereitstellung umfasst in der Regel die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, aus dem Sie Protokolle erfassen.
  • CrowdStrike-Feed. Der CrowdStrike-Feed, mit dem Logs von CrowdStrike abgerufen und in Google SecOps geschrieben werden.
  • CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das Bedrohungsindikatoren aus der Datenquelle erfasst und an Google SecOps weiterleitet.
  • Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungslogs aufbewahrt, normalisiert und analysiert werden.
  • Ein Parser für die Aufnahme von Labels, der Logrohdaten in das UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für CrowdStrike Falcon-Parser mit den folgenden Aufnahme-Labels:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Google SecOps-Feed für CrowdStrike EDR-Logs konfigurieren

Die folgenden Schritte sind erforderlich, um den Feed zu konfigurieren.

CrowdStrike konfigurieren

So richten Sie einen Falcon Data Replicator-Feed ein:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > Falcon Data Replicator.
  3. Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen und die folgenden Werte zu generieren:
    • Feed
    • S3-Kennung
    • SQS-URL
  4. Clientschlüssel Bewahren Sie diese Werte auf, um einen Feed in Google SecOps einzurichten.

Weitere Informationen finden Sie unter Falcon Data Replicator-Feed einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

Aufnahmefeed mit Amazon SQS einrichten

Sie können entweder Amazon SQS (bevorzugt) oder Amazon S3 verwenden, um den Erfassungsfeed in Google SecOps einzurichten.

So richten Sie einen Erfassungsfeed mit Amazon SQS ein:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  5. Wählen Sie unter Quelltyp die Option Amazon SQS aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon SQS-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region Region, die der SQS-Warteschlange zugeordnet ist.
    QUEUE NAME Name der SQS-Warteschlange, aus der gelesen werden soll.
    ACCOUNT NUMBER Kontonummer, zu der die SQS-Warteschlange gehört.
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    QUEUE ACCESS KEY ID 20 Zeichen lange Zugriffsschlüssel-ID. Beispiel: AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Der Namespace, der dem Feed zugeordnet ist.
    submit Senden und speichern Sie die Feedkonfiguration in Google SecOps.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

Aufnahme-Feed mit Amazon S3-Bucket einrichten

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  5. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region S3-Regions-URI.
    S3 uri Quell-URI des S3-Buckets.
    uri is a Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    access key id Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen) Beispiel: AKIAOSFOODNN7EXAMPLE.
    secret access key Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Öffentliche OAuth-Client-ID.
    oauth client secret OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
    asset namespace Der Namespace, der dem Feed zugeordnet ist.

Feeds über den Content Hub einrichten

Sie können den Erfassungsfeed in Google SecOps entweder mit Amazon SQS (bevorzugt) oder Amazon S3 konfigurieren.

Geben Sie Werte für die folgenden Felder an:

  • Region: Region, in der der S3-Bucket oder die SQS-Warteschlange gehostet wird.
  • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
  • Kontonummer: Kontonummer, zu der die SQS-Warteschlange gehört.
  • Warteschlangen-Zugriffsschlüssel-ID: 20-stellige Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
  • Queue Secret Access Key (geheimer Zugriffsschlüssel für die Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Labels für Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Google SecOps-Feed für CrowdStrike-Logs konfigurieren

So leiten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen weiter:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > API Clients and Keys .
  3. Erstellen Sie ein neues API-Clientschlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections und Alerts von CrowdStrike Falcon haben.

So erhalten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  5. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  6. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  7. Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

CrowdStrike-IoC-Logs in Google SecOps aufnehmen

Führen Sie die folgenden Schritte aus, um die Aufnahme von Logs aus CrowdStrike in Google SecOps für IoC-Logs zu konfigurieren:

  1. Erstellen Sie ein neues API-Clientschlüsselpaar in der CrowdStrike Falcon Console. Mit diesem Schlüsselpaar kann Google SecOps Intel Bridge auf Ereignisse und zusätzliche Informationen von CrowdStrike Falcon zugreifen und diese lesen. Eine Einrichtungsanleitung finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
  2. Erteilen Sie beim Erstellen des Schlüsselpaars die Berechtigung READ für Indicators (Falcon Intelligence).
  3. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

  4. Führen Sie die folgenden Docker-Befehle aus, um die Logs von CrowdStrike an Google SecOps zu senden. Dabei ist sa.json die Google SecOps-Dienstkontodatei:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Nachdem der Container erfolgreich ausgeführt wurde, werden IoC-Logs in Google SecOps gestreamt.

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten