CrowdStrike Falcon-Logs erfassen

In diesem Dokument finden Sie Informationen dazu, wie Sie CrowdStrike Falcon-Logs in Google Security Operations aufnehmen:

  • CrowdStrike Falcon-Logs werden erfasst, indem ein Google Security Operations-Feed eingerichtet wird.
  • Ordnen Sie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zu.
  • Informationen zu unterstützten CrowdStrike Falcon-Log- und Ereignistypen.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
  • Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
  • Das Zielgerät wird mit einem unterstützten Betriebssystem betrieben.
    • Muss ein 64-Bit-Server sein
    • Microsoft Windows Server 2008 R2 SP1 wird für den CrowdStrike Falcon Host-Sensor ab Version 6.51 unterstützt.
    • Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
  • Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

CrowdStrike Falcon mit Google SecOps-Feedintegration bereitstellen

Eine typische Bereitstellung besteht aus CrowdStrike Falcon, das die Logs sendet, und dem Google SecOps-Feed, der die Logs abruft. Die Bereitstellung kann je nach Einrichtung leicht variieren.

Die Bereitstellung umfasst in der Regel die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, aus dem Sie Protokolle erfassen.
  • CrowdStrike-Feed. Der CrowdStrike-Feed, mit dem Logs von CrowdStrike abgerufen und in Google SecOps geschrieben werden.
  • CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das Bedrohungsindikatoren aus der Datenquelle erfasst und an Google SecOps weiterleitet.
  • Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungslogs aufbewahrt, normalisiert und analysiert werden.
  • Ein Parser für die Aufnahme von Labels, der Logrohdaten in das UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für CrowdStrike Falcon-Parser mit den folgenden Aufnahme-Labels:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Google SecOps-Feed für CrowdStrike EDR-Logs konfigurieren

Die folgenden Schritte sind erforderlich, um den Feed zu konfigurieren.

CrowdStrike konfigurieren

So richten Sie einen Falcon Data Replicator-Feed ein:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > Falcon Data Replicator.
  3. Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen und die folgenden Werte zu generieren:
    • Feed
    • S3-Kennung
    • SQS-URL
  4. Clientschlüssel Bewahren Sie diese Werte auf, um einen Feed in Google SecOps einzurichten.

Weitere Informationen finden Sie unter Falcon Data Replicator-Feed einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neu hinzufügen
  • Content Hub > Content-Packs > Erste Schritte

CrowdStrike Falcon-Feed einrichten

  1. Klicken Sie auf das CrowdStrike-Paket.

  2. Geben Sie für den Protokolltyp CrowdStrike Falcon Werte für die folgenden Felder an:

    • Quelle: Amazon SQS V2
    • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
    • S3-URI: Der Quell-URI des S3-Buckets.
    • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • SQS Queue Access Key ID (SQS-Warteschlangen-Zugriffsschlüssel-ID): 20 Zeichen lange Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
    • SQS Queue Secret Access Key (Geheimer Zugriffsschlüssel für SQS-Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
    • Labels für Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  3. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Aufnahme-Feed mit Amazon S3-Bucket einrichten

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  5. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region S3-Regions-URI.
    S3 uri Quell-URI des S3-Buckets.
    uri is a Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    access key id Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen) Beispiel: AKIAOSFOODNN7EXAMPLE.
    secret access key Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Öffentliche OAuth-Client-ID.
    oauth client secret OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
    asset namespace Der Namespace, der dem Feed zugeordnet ist.

Google SecOps-Feed für CrowdStrike-Logs konfigurieren

So leiten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen weiter:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie auf Support Apps > API Clients and Keys .
  3. Erstellen Sie ein neues API-Clientschlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections und Alerts von CrowdStrike Falcon haben.

So erhalten Sie Überwachungsprotokolle für CrowdStrike-Erkennungen:

  1. Melden Sie sich in Ihrer Google SecOps-Instanz an.
  2. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  3. Klicken Sie auf Neuen Feed hinzufügen.
  4. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  5. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Crowdstrike Falcon Logs (Crowdstrike Falcon-Protokolle).
  6. Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
  7. Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.

Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.

CrowdStrike-IoC-Logs in Google SecOps aufnehmen

Führen Sie die folgenden Schritte aus, um die Aufnahme von Logs aus CrowdStrike in Google SecOps für IoC-Logs zu konfigurieren:

  1. Erstellen Sie ein neues API-Clientschlüsselpaar in der CrowdStrike Falcon Console. Mit diesem Schlüsselpaar kann Google SecOps Intel Bridge auf Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon zugreifen und diese lesen. Eine Einrichtungsanleitung finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
  2. Erteilen Sie beim Erstellen des Schlüsselpaars die Berechtigung READ für Indicators (Falcon Intelligence).
  3. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

  4. Führen Sie die folgenden Docker-Befehle aus, um die Logs von CrowdStrike an Google SecOps zu senden. Dabei ist sa.json die Google SecOps-Dienstkontodatei:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Nachdem der Container erfolgreich ausgeführt wurde, werden IoC-Logs in Google SecOps gestreamt.

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten