CrowdStrike Falcon のログを収集する
このドキュメントでは、CrowdStrike Falcon ログを Google Security Operations に取り込む方法について、次のガイダンスを提供します。
- Google Security Operations フィードを設定して、CrowdStrike Falcon ログを収集します。
- CrowdStrike Falcon ログフィールドを Google SecOps Unified Data Model(UDM)フィールドにマッピングします。
- サポートされている CrowdStrike Falcon のログタイプとイベントタイプを理解する。
詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。
始める前に
次の前提条件を満たしていることを確認します。
- CrowdStrike Falcon Host センサーをインストールするための CrowdStrike インスタンスの管理者権限
- デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されている。
- ターゲット デバイスがサポートされているオペレーティング システムで実行されている
- 64 ビットサーバーである必要があります
- Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
- 以前の OS バージョンは SHA-2 コード署名をサポートしている必要があります。
- Google SecOps サポートチームから提供された Google SecOps サービス アカウント ファイルとお客様 ID
Google SecOps フィード統合を使用して CrowdStrike Falcon をデプロイする
一般的なデプロイは、ログを送信する CrowdStrike Falcon と、ログを取得する Google SecOps フィードで構成されます。設定によっては、デプロイが若干異なる場合があります。
通常、デプロイには次のコンポーネントが含まれます。
- CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。
- CrowdStrike フィード。CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。
- CrowdStrike Intel Bridge: データソースから脅威指標を収集し、Google SecOps に転送する CrowdStrike プロダクト。
- Google SecOps: CrowdStrike 検出ログを保持、正規化、分析するプラットフォーム。
- 未加工のログデータを UDM 形式に正規化する取り込みラベル パーサー。このドキュメントの情報は、次の取り込みラベルを持つ CrowdStrike Falcon パーサーに適用されます。
CS_EDRCS_DETECTSCS_IOCCrowdStrike のセキュリティ侵害インジケーター(IoC)パーサーは、次のインジケーター タイプをサポートしています。domainemail_addressfile_namefile_pathhash_md5hash_sha1hash_sha256ip_addressmutex_nameurl
CrowdStrike EDR ログ用の Google SecOps フィードを構成する
フィードを構成するには、次の手順が必要です。
CrowdStrike の構成方法
Falcon Data Replicator フィードを設定する手順は次のとおりです。
- CrowdStrike Falcon Console にログインします。
- サポートアプリ > Falcon Data Replicator に移動します。
- [追加] をクリックして、新しい Falcon Data Replicator フィードを作成し、次の値を生成します。
- フィード
- S3 ID、
- SQS URL
- クライアント シークレット。これらの値は、Google SecOps でフィードを設定するために使用します。
詳細については、Falcon Data Replicator フィードを設定する方法をご覧ください。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
Amazon SQS を使用して取り込みフィードを設定する
Google SecOps で取り込みフィードを設定するには、Amazon SQS(推奨)または Amazon S3 を使用します。
Amazon SQS を使用して取り込みフィードを設定するには、次の操作を行います。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [Source type] で [Amazon SQS] を選択します。
- [Log type] で [CrowdStrike Falcon] を選択します。
- 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
フィールド 説明 regionSQS キューに関連付けられているリージョン。 QUEUE NAME読み取り元の SQS キューの名前。 ACCOUNT NUMBERSQS キューを所有するアカウント番号。 source deletion optionデータの転送後にファイルとディレクトリを削除するオプション。 QUEUE ACCESS KEY ID20 文字のアクセスキー ID。例: AKIAOSFOODNN7EXAMPLEQUEUE SECRET ACCESS KEY40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYasset namespaceフィードに関連付けられた名前空間。 submitフィード構成を送信して Google SecOps に保存します。
問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。
Amazon S3 バケットを使用して取り込みフィードを設定する
S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [Source type] で [Amazon S3] を選択します。
- [Log type] で [CrowdStrike Falcon] を選択します。
- 作成したサービス アカウントと Amazon S3 バケットの構成に基づいて、次のフィールドの値を指定します。
フィールド 説明 regionS3 リージョン URI。 S3 uriS3 バケットのソース URI。 uri is aURI が指すオブジェクトのタイプ(ファイルやフォルダなど)。 source deletion optionデータの転送後にファイルとディレクトリを削除するオプション。 access key idアクセスキー(20 文字の英数字文字列)。例: AKIAOSFOODNN7EXAMPLEsecret access keyシークレット アクセスキー(40 文字の英数字文字列)。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYoauth client id公開 OAuth クライアント ID。 oauth client secretOAuth 2.0 クライアント シークレット oauth secret refresh uriOAuth 2.0 クライアント シークレットの更新 URI。 asset namespaceフィードに関連付けられた名前空間。
コンテンツ ハブからフィードを設定する
Google SecOps で取り込みフィードを構成するには、Amazon SQS(推奨)または Amazon S3 を使用します。
次のフィールドに値を指定します。
- リージョン: S3 バケットまたは SQS キューがホストされているリージョン。
- キュー名: ログデータの読み取り元となる SQS キューの名前。
- アカウント番号: SQS キューを所有するアカウント番号。
- Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例:
AKIAOSFOODNN7EXAMPLE - Queue Secret Access Key: 40 文字のシークレット アクセスキー。例:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY - ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels - このフィードのすべてのイベントに適用されるラベル。
CrowdStrike ログ用の Google SecOps フィードを構成する
CrowdStrike 検出モニタリング ログを転送する手順は次のとおりです。
- CrowdStrike Falcon Console にログインします。
- [Support Apps] > [API Clients and Keys] に移動します。
- CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。この鍵ペアには、CrowdStrike Falcon の
DetectionsとAlertsの両方に対するREAD権限が必要です。
CrowdStrike 検出モニタリング ログを受信する手順は次のとおりです。
- Google SecOps インスタンスにログインします。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
- [ソースタイプ] で [サードパーティ API] を選択します。
- [Log type] で、[CrowdStrike Detection Monitoring] を選択します。
問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。
CrowdStrike IoC ログを Google SecOps に取り込む
CrowdStrike から Google SecOps に IoC ログを取り込むように構成する手順は次のとおりです。
- CrowdStrike Falcon Console で新しい API クライアント鍵ペアを作成します。この鍵ペアにより、Google SecOps Intel Bridge は CrowdStrike Falcon からイベントと補足情報にアクセスして読み取ることができます。設定手順については、CrowdStrike から Google SecOps Intel Bridge をご覧ください。
- 鍵ペアを作成するときに、
Indicators (Falcon Intelligence)にREAD権限を付与します。 - CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。
次の Docker コマンドを実行して、CrowdStrike から Google SecOps にログを送信します。ここで、
sa.jsonは Google SecOps サービス アカウント ファイルです。docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latestコンテナが正常に実行されると、IoC ログが Google SecOps にストリーミングされ始めます。
サポートされている CrowdStrike ログ形式
CrowdStrike パーサーは JSON 形式のログをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。