Recopila registros de CrowdStrike Falcon

En este documento, se proporciona orientación sobre cómo transferir registros de CrowdStrike Falcon a Google Security Operations de la siguiente manera:

  • Configura un feed de Google Security Operations para recopilar registros de CrowdStrike Falcon.
  • Asigna los campos de registro de CrowdStrike Falcon a los campos del modelo de datos unificado (UDM) de Google SecOps.
  • Comprende los tipos de registros y eventos de CrowdStrike Falcon admitidos.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon
  • Todos los sistemas de la arquitectura de implementación están configurados en la zona horaria UTC.
  • El dispositivo de destino ejecuta un sistema operativo compatible.
    • Debe ser un servidor de 64 bits
    • Microsoft Windows Server 2008 R2 SP1 es compatible con la versión 6.51 o posterior del sensor de host de CrowdStrike Falcon.
    • Las versiones heredadas del SO deben admitir la firma de código SHA-2.
  • El archivo de la cuenta de servicio de Google SecOps y tu ID de cliente del equipo de asistencia al cliente de Google SecOps

Implementa CrowdStrike Falcon con la integración del feed de Google SecOps

Una implementación típica consta de CrowdStrike Falcon, que envía los registros, y el feed de Google SecOps, que los recupera. Tu implementación puede diferir ligeramente según tu configuración.

Por lo general, la implementación incluye los siguientes componentes:

  • CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike del que recopilas registros.
  • Feed de CrowdStrike. Es el feed de CrowdStrike que recupera registros de CrowdStrike y los escribe en Google SecOps.
  • CrowdStrike Intel Bridge: Es el producto de CrowdStrike que recopila indicadores de amenazas de la fuente de datos y los reenvía a Google SecOps.
  • Google SecOps: Es la plataforma que conserva, normaliza y analiza los registros de detección de CrowdStrike.
  • Es un analizador de etiquetas de transferencia que normaliza los datos de registro sin procesar en el formato del UDM. La información de este documento se aplica a los analizadores de CrowdStrike Falcon con las siguientes etiquetas de transferencia:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC El analizador de indicadores de compromiso (IoC) de CrowdStrike admite los siguientes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed de Google SecOps para los registros de EDR de CrowdStrike

Se necesitan los siguientes procedimientos para configurar el feed.

Cómo configurar CrowdStrike

Para configurar un feed de Falcon Data Replicator, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Support Apps > Falcon Data Replicator.
  3. Haz clic en Agregar para crear un nuevo feed de Falcon Data Replicator y generar los siguientes valores:
    • Feed
    • Identificador de S3
    • URL de SQS
  4. Secreto del cliente Conserva estos valores para configurar un feed en Google SecOps.

Para obtener más información, consulta Cómo configurar el feed del replicador de datos de Falcon.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds > Agregar un feed nuevo
  • Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de CrowdStrike Falcon

  1. Haz clic en el paquete CrowdStrike.

  2. En el tipo de registro CrowdStrike Falcon, especifica valores para los siguientes campos:

    • Fuente: Amazon SQS V2
    • Nombre de la cola: Nombre de la cola de SQS desde la que se leerán los datos de registro.
    • URI de S3: Es el URI de origen del bucket de S3.
    • Opción de eliminación de la fuente: Opción para borrar archivos y directorios después de transferir los datos.
    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días más reciente. El valor predeterminado es de 180 días.
    • ID de clave de acceso a la fila de SQS: ID de clave de acceso a la cuenta de 20 caracteres. Por ejemplo, AKIAOSFOODNN7EXAMPLE
    • Clave de acceso secreta de la fila de SQS: Clave de acceso secreta de 40 caracteres. Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  3. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Configura un feed de transferencia con un bucket de Amazon S3

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Crowdstrike Falcon.
  5. En Tipo de fuente, selecciona Amazon S3.
  6. En Log type, selecciona CrowdStrike Falcon.
  7. Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica valores para los siguientes campos:
    Campo Descripción
    region Es el URI de la región de S3.
    S3 uri Es el URI de origen del bucket de S3.
    uri is a Tipo de objeto al que apunta el URI (por ejemplo, archivo o carpeta).
    source deletion option Opción para borrar archivos y directorios después de transferir los datos
    access key id Clave de acceso (cadena alfanumérica de 20 caracteres) Por ejemplo, AKIAOSFOODNN7EXAMPLE.
    secret access key Clave de acceso secreta (cadena alfanumérica de 40 caracteres) Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Es el ID de cliente de OAuth público.
    oauth client secret Es el secreto del cliente de OAuth 2.0.
    oauth secret refresh uri Es el URI de actualización del secreto del cliente de OAuth 2.0.
    asset namespace Es el espacio de nombres asociado con el feed.

Configura un feed de Google SecOps para los registros de CrowdStrike

Para reenviar los registros de supervisión de detección de CrowdStrike, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Support Apps > API Clients and Keys .
  3. Crea un nuevo par de claves de cliente de API en CrowdStrike Falcon. Este par de claves debe tener permisos de READ para Detections y Alerts de CrowdStrike Falcon.

Ingiere registros con Cloud Storage para los registros de EDR de CrowdStrike

Puedes configurar CrowdStrike para que envíe registros de EDR a un bucket de Cloud Storage y, luego, los ingiera en Google SecOps a través de un feed. Este proceso requiere coordinación con el equipo de asistencia de CrowdStrike.

Antes de comenzar

  • Asegúrate de tener una instancia activa de CrowdStrike Falcon.
  • Asegúrate de tener un proyecto Google Cloud en el que puedas crear buckets de Cloud Storage y administrar permisos de IAM.
  • Asegúrate de tener una instancia de Google SecOps activa.
  • Asegúrate de tener derechos de administrador en tu Google Cloud entorno y en tu instancia de Google SecOps.

Pasos

  1. Comunícate con el equipo de asistencia al cliente de CrowdStrike: Abre un ticket de asistencia al cliente con CrowdStrike para habilitar y configurar la función que envía los registros de EDR a tu bucket de Cloud Storage. El equipo de asistencia de CrowdStrike te brindará orientación sobre las configuraciones específicas requeridas.

  2. Crea el bucket de Cloud Storage y establece sus permisos:

    1. En la consola de Google Cloud , crea un bucket nuevo en Cloud Storage. Toma nota del nombre del bucket (por ejemplo, gs://my-crowdstrike-edr-logs/).
    2. Otorga permisos de escritura a la cuenta de servicio o entidad proporcionada por CrowdStrike. Sigue las instrucciones del equipo de asistencia de CrowdStrike para permitir que se escriban archivos de registro en este bucket para este permiso.

  3. Configura el feed de Google SecOps:

    1. En tu instancia de Google SecOps, ve a Configuración de SIEM > Feeds.
    2. Haz clic en Agregar nuevo.
    3. Ingresa un Nombre del feed descriptivo (por ejemplo, CS-EDR-GCS).
    4. En Tipo de fuente, selecciona Google Cloud Storage V2.
    5. En Log type, selecciona CrowdStrike Falcon.
    6. En la sección de la cuenta de servicio, haz clic en Obtener cuenta de servicio. Copia la dirección de correo electrónico única de la cuenta de servicio que se muestra.
    7. En la consola de Google Cloud , navega a tu bucket de Cloud Storage. Otorga el rol de IAM Storage Object Viewer a la dirección de correo electrónico de la cuenta de servicio que se copió de la configuración del feed de Google SecOps. Este permiso permite que el feed lea los archivos de registro.
    8. Regresa a la página de configuración del feed de Google SecOps.
    9. Ingresa la URL del bucket de almacenamiento con el nombre del bucket que creaste (por ejemplo, gs://my-crowdstrike-edr-logs/). Esta URL debe terminar con una barra final (/).
    10. Selecciona una opción de eliminación de la fuente:
      • No borrar archivos nunca: Se recomienda esta opción.
      • Borra los archivos transferidos y los directorios vacíos: Úsalo con precaución.
    11. Opcional: Especifica un espacio de nombres del activo.
    12. Haz clic en Siguiente, revisa la configuración y, luego, haz clic en Enviar.

  4. Verifica la transferencia de registros: Después de que CrowdStrike confirme que se están enviando los registros, espera un tiempo para que se transfieran los datos a Google SecOps. Busca los registros entrantes con el tipo de registro CROWDSTRIKE_EDR en Google SecOps.

Si tienes problemas, revisa los permisos de IAM en el bucket de Cloud Storage y la configuración del feed en Google SecOps. Si los problemas persisten, comunícate con el equipo de asistencia de SecOps de Google.

Para recibir registros de supervisión de detección de CrowdStrike, sigue estos pasos

  1. Accede a tu instancia de Google SecOps.
  2. Ve a Configuración de SIEM > Feeds.
  3. Haz clic en Agregar feed nuevo.
  4. En la siguiente página, haz clic en Configurar un solo feed.
  5. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Crowdstrike Falcon.
  6. En Tipo de fuente, selecciona API de terceros.
  7. En Log type, selecciona CrowdStrike Detection Monitoring.

Si tienes problemas, comunícate con el equipo de asistencia al cliente de Google SecOps.

Transfiere registros de IoC de CrowdStrike a Google SecOps

Para configurar la transferencia de registros de CrowdStrike a Google SecOps para los registros de IoC, completa los siguientes pasos:

  1. Crea un nuevo par de claves de cliente de API en la consola de CrowdStrike Falcon. Este par de claves permite que Google SecOps Intel Bridge acceda a eventos e información complementaria de CrowdStrike Falcon y los lea. Para obtener instrucciones de configuración, consulta CrowdStrike to Google SecOps Intel Bridge.
  2. Proporciona permiso de READ a Indicators (Falcon Intelligence) cuando crees el par de claves.
  3. Configura el puente de inteligencia de Google SecOps siguiendo los pasos que se indican en CrowdStrike to Google SecOps Intel Bridge.

  4. Ejecuta los siguientes comandos de Docker para enviar los registros de CrowdStrike a Google SecOps, donde sa.json es el archivo de la cuenta de servicio de Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Una vez que el contenedor se ejecute correctamente, los registros de IoC comenzarán a transmitirse a Google SecOps.

Formatos de registro de CrowdStrike admitidos

El analizador de CrowdStrike admite registros en formato JSON.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.