Coletar registros do CrowdStrike Falcon

Este documento fornece orientações sobre como ingerir registros do CrowdStrike Falcon no Google Security Operations da seguinte forma:

  • Colete registros do CrowdStrike Falcon configurando um feed das Operações de segurança do Google.
  • Mapeie os campos de registro do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM) do Google SecOps.
  • Entenda os tipos de registros e eventos do CrowdStrike Falcon compatíveis.

Para mais informações, consulte a Visão geral da ingestão de dados no Google SecOps.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon
  • Todos os sistemas na arquitetura de implantação são configurados no fuso horário UTC.
  • O dispositivo de destino executa um sistema operacional compatível
    • Precisa ser um servidor de 64 bits
    • O Microsoft Windows Server 2008 R2 SP1 é compatível com o sensor do host do CrowdStrike Falcon versão 6.51 ou mais recente.
    • As versões legadas do SO precisam ser compatíveis com a assinatura de código SHA-2.
  • Arquivo da conta de serviço do Google SecOps e seu ID de cliente da equipe de suporte do Google SecOps

Implantar o CrowdStrike Falcon com a integração do feed do Google SecOps

Uma implantação típica consiste no CrowdStrike Falcon, que envia os registros, e no feed do Google SecOps, que os busca. A implantação pode variar um pouco de acordo com sua configuração.

A implantação normalmente inclui os seguintes componentes:

  • CrowdStrike Falcon Intelligence: o produto da CrowdStrike de que você coleta registros.
  • Feed da CrowdStrike. O feed do CrowdStrike que busca registros do CrowdStrike e os grava no Google SecOps.
  • CrowdStrike Intel Bridge: o produto da CrowdStrike que coleta indicadores de ameaças da origem de dados e os encaminha para o Google SecOps.
  • Google SecOps: a plataforma que retém, normaliza e analisa os registros de detecção do CrowdStrike.
  • Um analisador de rótulos de ingestão que normaliza dados de registro brutos no formato UDM. As informações neste documento se aplicam aos analisadores do CrowdStrike Falcon com os seguintes rótulos de ingestão:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC O analisador de indicadores de comprometimento (IoC) do CrowdStrike é compatível com os seguintes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configurar um feed do Google SecOps para registros do EDR da CrowdStrike

Os procedimentos a seguir são necessários para configurar o feed.

Como configurar a CrowdStrike

Para configurar um feed do Falcon Data Replicator, siga estas etapas:

  1. Faça login no console do CrowdStrike Falcon.
  2. Acesse Apps de suporte > Falcon Data Replicator.
  3. Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
    • Feed
    • Identificador do S3
    • URL do SQS
  4. Chave secreta do cliente. Mantenha esses valores para configurar um feed no Google SecOps.

Para mais informações, consulte Como configurar o feed do replicador de dados do Falcon.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

Configurar um feed de ingestão com o Amazon SQS

É possível usar o Amazon SQS (preferencial) ou o Amazon S3 para configurar o feed de ingestão no Google SecOps.

Para configurar um feed de ingestão com o Amazon SQS, faça o seguinte:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
  5. Em Tipo de origem, selecione Amazon SQS.
  6. Em Tipo de registro, selecione CrowdStrike Falcon.
  7. Com base na conta de serviço e na configuração do Amazon SQS que você criou, especifique valores para os seguintes campos:
    Campo Descrição
    region Região associada à fila do SQS.
    QUEUE NAME Nome da fila do SQS a ser lida.
    ACCOUNT NUMBER Número da conta proprietária da fila do SQS.
    source deletion option Opção para excluir arquivos e diretórios após a transferência dos dados.
    QUEUE ACCESS KEY ID ID da chave de acesso de 20 caracteres. Por exemplo, AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY Chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace Namespace associado ao feed.
    submit Envie e salve a configuração do feed no Google SecOps.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Configurar um feed de ingestão com um bucket do Amazon S3

Para configurar um feed de ingestão usando um bucket do S3, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
  5. Em Tipo de origem, selecione Amazon S3.
  6. Em Tipo de registro, selecione CrowdStrike Falcon.
  7. Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique valores para os seguintes campos:
    Campo Descrição
    region URI da região do S3.
    S3 uri URI de origem do bucket do S3.
    uri is a Tipo de objeto para o qual o URI aponta (por exemplo, arquivo ou pasta).
    source deletion option Opção para excluir arquivos e diretórios após a transferência dos dados.
    access key id Chave de acesso (string alfanumérica de 20 caracteres). Por exemplo, AKIAOSFOODNN7EXAMPLE
    secret access key Chave de acesso do secret (string alfanumérica de 40 caracteres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id ID do cliente OAuth público.
    oauth client secret Chave secreta do cliente OAuth 2.0.
    oauth secret refresh uri URI de atualização da chave secreta do cliente OAuth 2.0.
    asset namespace Namespace associado ao feed.

Configurar feeds na Central de conteúdo

É possível configurar o feed de ingestão no Google SecOps usando o Amazon SQS (preferencial) ou o Amazon S3.

Especifique valores para os seguintes campos:

  • Região: região em que o bucket do S3 ou a fila do SQS está hospedada.
  • Nome da fila: nome da fila do SQS de onde os dados de registro são lidos.
  • Número da conta: número da conta proprietária da fila do SQS.
  • ID da chave de acesso à fila: ID da chave de acesso à conta de 20 caracteres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
  • Chave de acesso secreta da fila: chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Opção de exclusão da origem: opção para excluir arquivos e diretórios após a transferência dos dados.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Configurar um feed do Google SecOps para registros da CrowdStrike

Para encaminhar os registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

  1. Faça login no console do CrowdStrike Falcon.
  2. Acesse Apps de suporte > Clientes e chaves de API .
  3. Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves precisa ter permissões READ para Detections e Alerts do CrowdStrike Falcon.

Para receber registros de monitoramento de detecção do CrowdStrike, siga estas etapas:

  1. Faça login na sua instância do Google SecOps.
  2. Acesse Configurações do SIEM > Feeds.
  3. Clique em Adicionar novo feed.
  4. Na próxima página, clique em Configurar um único feed.
  5. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
  6. Em Tipo de origem, selecione API de terceiros.
  7. Em Tipo de registro, selecione Monitoramento de detecção do CrowdStrike.

Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.

Ingerir registros de IoC do CrowdStrike no Google SecOps

Para configurar a ingestão de registros do CrowdStrike no Google SecOps para registros de IoC, siga estas etapas:

  1. Crie um novo par de chaves de cliente de API no console do CrowdStrike Falcon. Esse par de chaves permite que a Google SecOps Intel Bridge acesse e leia eventos e informações complementares do CrowdStrike Falcon. Para instruções de configuração, consulte CrowdStrike para Google SecOps Intel Bridge.
  2. Conceda a permissão READ a Indicators (Falcon Intelligence) ao criar o par de chaves.
  3. Configure a Intel Bridge do Google SecOps seguindo as etapas em CrowdStrike para Intel Bridge do Google SecOps.

  4. Execute os comandos do Docker a seguir para enviar os registros do CrowdStrike ao Google SecOps, em que sa.json é o arquivo da conta de serviço do Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Depois que o contêiner for executado, os registros de IoC vão começar a ser transmitidos para o Google SecOps.

Formatos de registro da CrowdStrike compatíveis

O analisador do CrowdStrike é compatível com registros no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.