Raccogliere i log di CrowdStrike Falcon

Questo documento fornisce indicazioni su come importare i log di CrowdStrike Falcon in Google Security Operations nel seguente modo:

  • Raccogli i log di CrowdStrike Falcon configurando un feed Google Security Operations.
  • Mappa i campi dei log di CrowdStrike Falcon ai campi Unified Data Model (UDM) di Google SecOps.
  • Comprendi i tipi di log e di eventi CrowdStrike Falcon supportati.

Per saperne di più, consulta la panoramica dell'importazione dei dati in Google SecOps.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Diritti di amministratore sull'istanza di CrowdStrike per installare il sensore host CrowdStrike Falcon
  • Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
  • Il dispositivo di destinazione utilizza un sistema operativo supportato
    • Deve essere un server a 64 bit
    • Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
    • Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
  • File dell'account di servizio Google SecOps e ID cliente del team di assistenza Google SecOps

Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed Google SecOps

Un deployment tipico è costituito da CrowdStrike Falcon, che invia i log, e dal feed Google SecOps, che li recupera. Il deployment potrebbe variare leggermente in base alla configurazione.

Il deployment in genere include i seguenti componenti:

  • CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
  • Feed CrowdStrike. Il feed CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
  • CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie gli indicatori di minaccia dall'origine dati e li inoltra a Google SecOps.
  • Google SecOps: la piattaforma che conserva, normalizza e analizza i log di rilevamento di CrowdStrike.
  • Un parser di etichette di importazione che normalizza i dati di log non elaborati nel formato UDM. Le informazioni contenute in questo documento si applicano ai parser CrowdStrike Falcon con le seguenti etichette di importazione:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Il parser dell'indicatore di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed Google SecOps per i log EDR di CrowdStrike

Per configurare il feed sono necessarie le seguenti procedure.

Come configurare CrowdStrike

Per configurare un feed Falcon Data Replicator:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad App di assistenza > Falcon Data Replicator.
  3. Fai clic su Aggiungi per creare un nuovo feed Falcon Data Replicator e generare i seguenti valori:
    • Feed
    • Identificatore S3,
    • URL SQS
  4. Client secret. Conserva questi valori per configurare un feed in Google SecOps.

Per ulteriori informazioni, vedi Come configurare il feed di Falcon Data Replicator.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

Configurare un feed di importazione con Amazon SQS

Puoi utilizzare Amazon SQS (opzione preferita) o Amazon S3 per configurare il feed di importazione in Google SecOps.

Per configurare un feed di importazione con Amazon SQS:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  5. In Tipo di origine, seleziona Amazon SQS.
  6. In Tipo di log, seleziona CrowdStrike Falcon.
  7. In base al account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region Regione associata alla coda SQS.
    QUEUE NAME Il nome della coda SQS da cui leggere.
    ACCOUNT NUMBER Numero di account proprietario della coda SQS.
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    QUEUE ACCESS KEY ID ID chiave di accesso di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Lo spazio dei nomi associato al feed.
    submit Invia e salva la configurazione del feed in Google SecOps.

Se riscontri problemi, contatta il team di assistenza di Google SecOps.

Configurare un feed di importazione con il bucket Amazon S3

Per configurare un feed di importazione utilizzando un bucket S3:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  5. In Tipo di origine, seleziona Amazon S3.
  6. In Tipo di log, seleziona CrowdStrike Falcon.
  7. In base al account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region URI della regione S3.
    S3 uri URI di origine del bucket S3.
    uri is a Tipo di oggetto a cui punta l'URI (ad esempio, file o cartella).
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    access key id Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, AKIAOSFOODNN7EXAMPLE.
    secret access key Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth pubblico.
    oauth client secret Client secret OAuth 2.0.
    oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0.
    asset namespace Lo spazio dei nomi associato al feed.

Configurare i feed dall'hub dei contenuti

Puoi configurare il feed di importazione in Google SecOps utilizzando Amazon SQS (opzione preferita) o Amazon S3.

Specifica i valori per i seguenti campi:

  • Regione: la regione in cui è ospitato il bucket S3 o la coda SQS.
  • Nome coda: nome della coda SQS da cui leggere i dati di log.
  • Numero di account: il numero di account proprietario della coda SQS.
  • ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
  • Queue Secret Access Key (Chiave di accesso segreta della coda): chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Configura un feed Google SecOps per i log CrowdStrike

Per inoltrare i log di monitoraggio del rilevamento di CrowdStrike:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad App di assistenza > Client e chiavi API .
  3. Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi deve disporre delle autorizzazioni READ sia per Detections che per Alerts da CrowdStrike Falcon.

Per ricevere i log di monitoraggio del rilevamento di CrowdStrike:

  1. Accedi alla tua istanza Google SecOps.
  2. Vai a Impostazioni SIEM > Feed.
  3. Fai clic su Aggiungi nuovo feed.
  4. Nella pagina successiva, fai clic su Configura un singolo feed.
  5. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  6. In Tipo di origine, seleziona API di terze parti.
  7. In Tipo di log, seleziona Monitoraggio del rilevamento di CrowdStrike.

Se riscontri problemi, contatta il team di assistenza di Google SecOps.

Importa i log IOC di CrowdStrike in Google SecOps

Per configurare l'importazione dei log da CrowdStrike in Google SecOps per i log IoC, completa i seguenti passaggi:

  1. Crea una nuova coppia di chiavi client API nella console CrowdStrike Falcon. Questa coppia di chiavi consente a Google SecOps Intel Bridge di accedere e leggere eventi e informazioni supplementari da CrowdStrike Falcon. Per le istruzioni di configurazione, consulta CrowdStrike to Google SecOps Intel Bridge.
  2. Concedi l'autorizzazione READ a Indicators (Falcon Intelligence) quando crei la coppia di chiavi.
  3. Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.

  4. Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps, dove sa.json è il file account di servizio Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Una volta eseguito correttamente il contenitore, i log IoC inizieranno a essere trasmessi in streaming a Google SecOps.

Formati di log CrowdStrike supportati

Il parser CrowdStrike supporta i log in formato JSON.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.