Mengumpulkan log CrowdStrike Falcon

Dokumen ini memberikan panduan tentang cara menyerap log CrowdStrike Falcon ke Google Security Operations sebagai berikut:

  • Kumpulkan log CrowdStrike Falcon dengan menyiapkan feed Google Security Operations.
  • Memetakan kolom log CrowdStrike Falcon ke kolom Model Data Terpadu (UDM) Google SecOps.
  • Pahami jenis log dan jenis peristiwa CrowdStrike Falcon yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Hak administrator pada instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon
  • Semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
  • Perangkat target berjalan di sistem operasi yang didukung
    • Harus berupa server 64-bit
    • Microsoft Windows Server 2008 R2 SP1 didukung untuk sensor Host CrowdStrike Falcon versi 6.51 atau yang lebih baru.
    • Versi OS lama harus mendukung penandatanganan kode SHA-2.
  • File akun layanan Google SecOps dan ID pelanggan Anda dari tim dukungan Google SecOps

Men-deploy CrowdStrike Falcon dengan integrasi feed Google SecOps

Deployment umum terdiri dari CrowdStrike Falcon yang mengirimkan log, dan feed Google SecOps yang mengambil log. Deployment Anda mungkin sedikit berbeda berdasarkan penyiapan Anda.

Deployment biasanya mencakup komponen berikut:

  • CrowdStrike Falcon Intelligence: Produk CrowdStrike yang Anda kumpulkan lognya.
  • Feed CrowdStrike. Feed CrowdStrike yang mengambil log dari CrowdStrike dan menuliskannya ke Google SecOps.
  • CrowdStrike Intel Bridge: Produk CrowdStrike yang mengumpulkan indikator ancaman dari sumber data dan meneruskannya ke Google SecOps.
  • Google SecOps: Platform yang menyimpan, menormalisasi, dan menganalisis log deteksi CrowdStrike.
  • Parser label penyerapan yang menormalisasi data log mentah ke dalam format UDM. Informasi dalam dokumen ini berlaku untuk parser CrowdStrike Falcon dengan label penyerapan berikut:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Parser Indikator Gangguan (IoC) CrowdStrike mendukung jenis indikator berikut:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Mengonfigurasi feed Google SecOps untuk log CrowdStrike EDR

Prosedur berikut diperlukan untuk mengonfigurasi feed.

Cara mengonfigurasi CrowdStrike

Untuk menyiapkan feed Falcon Data Replicator, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Aplikasi Pendukung > Falcon Data Replicator.
  3. Klik Tambahkan untuk membuat feed Falcon Data Replicator baru dan menghasilkan nilai berikut:
    • Feed
    • ID S3,
    • URL SQS
  4. Rahasia klien. Simpan nilai ini untuk menyiapkan feed di Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Cara menyiapkan feed replikator data Falcon.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed CrowdStrike Falcon

  1. Klik paket CrowdStrike.

  2. Pada jenis log CrowdStrike Falcon, tentukan nilai untuk kolom berikut:

    • Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca data lognya.
    • URI S3: URI sumber bucket S3.
    • Opsi penghapusan sumber: Opsi untuk menghapus file dan direktori setelah mentransfer data.
    • Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
    • ID Kunci Akses Antrean SQS: ID kunci akses akun 20 karakter. Contoh, AKIAOSFOODNN7EXAMPLE.
    • SQS Queue Secret Access Key: Kunci akses rahasia 40 karakter. Contoh, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan – Label yang diterapkan ke semua peristiwa dari feed ini.

  3. Klik Buat Feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Menyiapkan feed penyerapan dengan bucket Amazon S3

Untuk menyiapkan feed penyerapan menggunakan bucket S3, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Crowdstrike Falcon Logs.
  5. Di Source type, pilih Amazon S3.
  6. Di Log type, pilih CrowdStrike Falcon.
  7. Berdasarkan akun layanan dan konfigurasi bucket Amazon S3 yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region URI region S3.
    S3 uri URI sumber bucket S3.
    uri is a Jenis objek yang dituju URI (misalnya, file atau folder).
    source deletion option Opsi untuk menghapus file dan direktori setelah mentransfer data.
    access key id Kunci akses (string alfanumerik 20 karakter). Misalnya, AKIAOSFOODNN7EXAMPLE.
    secret access key Kunci akses rahasia (string alfanumerik 40 karakter). Misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID klien OAuth publik.
    oauth client secret Rahasia klien OAuth 2.0.
    oauth secret refresh uri URI refresh rahasia klien OAuth 2.0.
    asset namespace Namespace yang terkait dengan feed.

Mengonfigurasi feed Google SecOps untuk log CrowdStrike

Untuk meneruskan log pemantauan deteksi CrowdStrike, ikuti langkah-langkah berikut:

  1. Login ke Konsol CrowdStrike Falcon.
  2. Buka Support Apps > API Clients and Keys .
  3. Buat pasangan kunci klien API baru di CrowdStrike Falcon. Pasangan kunci ini harus memiliki izin READ untuk Detections dan Alerts dari CrowdStrike Falcon.

Untuk menerima log pemantauan deteksi CrowdStrike, ikuti langkah-langkah berikut:

  1. Login ke instance Google SecOps Anda.
  2. Buka Setelan SIEM > Feed.
  3. Klik Tambahkan Feed Baru.
  4. Di halaman berikutnya, klik Konfigurasi satu feed.
  5. Di kolom Feed name, masukkan nama untuk feed; misalnya, Crowdstrike Falcon Logs.
  6. Di Source type, pilih Third Party API.
  7. Di Log type, pilih CrowdStrike Detection Monitoring.

Jika Anda mengalami masalah, hubungi tim dukungan SecOps Google.

Menyerap log IoC CrowdStrike ke Google SecOps

Untuk mengonfigurasi penyerapan log dari CrowdStrike ke Google SecOps untuk log IoC, selesaikan langkah-langkah berikut:

  1. Buat pasangan kunci klien API baru di Konsol CrowdStrike Falcon. Pasangan kunci ini memungkinkan Google SecOps Intel Bridge mengakses dan membaca peristiwa serta informasi tambahan dari CrowdStrike Falcon. Untuk mengetahui petunjuk penyiapan, lihat CrowdStrike to Google SecOps Intel Bridge.
  2. Berikan izin READ ke Indicators (Falcon Intelligence) saat Anda membuat pasangan kunci.
  3. Siapkan Google SecOps Intel Bridge dengan mengikuti langkah-langkah di CrowdStrike to Google SecOps Intel Bridge.

  4. Jalankan perintah Docker berikut untuk mengirim log dari CrowdStrike ke Google SecOps, dengan sa.json adalah file akun layanan Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Setelah container berhasil berjalan, log IoC akan mulai di-streaming ke Google SecOps.

Format log CrowdStrike yang didukung

Parser CrowdStrike mendukung log dalam format JSON.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.