Coletar registros do CrowdStrike Falcon
Este documento fornece orientações sobre como ingerir registros do CrowdStrike Falcon no Google Security Operations da seguinte maneira:
- Colete registros do CrowdStrike Falcon configurando um feed das Operações de segurança do Google.
- Mapeie os campos de registro do CrowdStrike Falcon para os campos do modelo de dados unificado (UDM) do Google SecOps.
- Entenda os tipos de registros e eventos do CrowdStrike Falcon compatíveis.
Para mais informações, consulte a Visão geral da ingestão de dados no Google SecOps.
Antes de começar
Verifique se você tem os seguintes pré-requisitos:
- Direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon
- Todos os sistemas na arquitetura de implantação são configurados no fuso horário UTC.
- O dispositivo de destino executa um sistema operacional compatível
- Precisa ser um servidor de 64 bits
- O Microsoft Windows Server 2008 R2 SP1 é compatível com o sensor do host do CrowdStrike Falcon versão 6.51 ou mais recente.
- As versões legadas do SO precisam ser compatíveis com a assinatura de código SHA-2.
- Arquivo da conta de serviço do Google SecOps e seu ID de cliente da equipe de suporte do Google SecOps
Implantar o CrowdStrike Falcon com a integração do feed do Google SecOps
Uma implantação típica consiste no CrowdStrike Falcon, que envia os registros, e no feed do Google SecOps, que os busca. A implantação pode variar um pouco de acordo com sua configuração.
A implantação normalmente inclui os seguintes componentes:
- CrowdStrike Falcon Intelligence: o produto da CrowdStrike de que você coleta registros.
- Feed da CrowdStrike. O feed do CrowdStrike que busca registros do CrowdStrike e os grava no Google SecOps.
- CrowdStrike Intel Bridge: o produto da CrowdStrike que coleta indicadores de ameaças da origem de dados e os encaminha para o Google SecOps.
- Google SecOps: a plataforma que retém, normaliza e analisa os registros de detecção do CrowdStrike.
- Um analisador de rótulos de ingestão que normaliza dados de registro brutos no formato UDM. As informações neste documento se aplicam aos analisadores do CrowdStrike Falcon com os seguintes rótulos de ingestão:
CS_EDRCS_DETECTSCS_IOCO analisador de indicadores de comprometimento (IoC) do CrowdStrike é compatível com os seguintes tipos de indicadores:domainemail_addressfile_namefile_pathhash_md5hash_sha1hash_sha256ip_addressmutex_nameurl
CS_ALERTSO analisador de alertas do CrowdStrike é compatível com os seguintes tipos de produtos:eppidpoverwatchxdrmobilecwppngsiem
Configurar um feed do Google SecOps para registros do EDR da CrowdStrike
Os procedimentos a seguir são necessários para configurar o feed.
Como configurar a CrowdStrike
Para configurar um feed do Falcon Data Replicator, siga estas etapas:
- Faça login no console do CrowdStrike Falcon.
- Acesse Apps de suporte > Falcon Data Replicator.
- Clique em Adicionar para criar um novo feed do Falcon Data Replicator e gerar os seguintes valores:
- Feed
- Identificador do S3
- URL do SQS
- Chave secreta do cliente. Mantenha esses valores para configurar um feed no Google SecOps.
Para mais informações, consulte Como configurar o feed do replicador de dados do Falcon.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
- Configurações do SIEM > Feeds > Adicionar novo feed
- Central de conteúdo > Pacotes de conteúdo > Começar
Como configurar o feed do CrowdStrike Falcon
- Clique no pacote CrowdStrike.
No tipo de registro CrowdStrike Falcon, especifique valores para os seguintes campos:
- Fonte: Amazon SQS V2
- Nome da fila: nome da fila do SQS de onde os dados de registro são lidos.
- URI do S3: o URI de origem do bucket do S3.
- Opção de exclusão da origem: opção para excluir arquivos e diretórios após a transferência dos dados.
- Idade máxima do arquivo: inclui arquivos modificados nos últimos dias. O padrão é de 180 dias.
- ID da chave de acesso da fila do SQS: ID da chave de acesso da conta de 20 caracteres. Por exemplo,
AKIAOSFOODNN7EXAMPLE. - Chave de acesso secreta da fila do SQS: chave de acesso secreta de 40 caracteres. Por exemplo,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Configurar um feed de ingestão com o bucket do Amazon S3
Para configurar um feed de ingestão usando um bucket do S3, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
- Em Tipo de origem, selecione Amazon S3.
- Em Tipo de registro, selecione CrowdStrike Falcon.
- Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique valores para os seguintes campos:
Campo Descrição regionURI da região do S3. S3 uriURI de origem do bucket do S3. uri is aTipo de objeto para o qual o URI aponta (por exemplo, arquivo ou pasta). source deletion optionOpção para excluir arquivos e diretórios após a transferência dos dados. access key idChave de acesso (string alfanumérica de 20 caracteres). Por exemplo, AKIAOSFOODNN7EXAMPLEsecret access keyChave de acesso do secret (string alfanumérica de 40 caracteres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYoauth client idID do cliente OAuth público. oauth client secretChave secreta do cliente OAuth 2.0. oauth secret refresh uriURI de atualização da chave secreta do cliente OAuth 2.0. asset namespaceNamespace associado ao feed.
Configurar um feed do Google SecOps para registros da CrowdStrike
Para encaminhar os registros de monitoramento de detecção do CrowdStrike, siga estas etapas:
- Faça login no console do CrowdStrike Falcon.
- Acesse Apps de suporte > Clientes e chaves de API .
- Crie um novo par de chaves de cliente de API no CrowdStrike Falcon. Esse par de chaves precisa ter permissões
READparaDetectionseAlertsdo CrowdStrike Falcon.
Ingerir registros usando o Cloud Storage para registros do CrowdStrike EDR
É possível configurar o CrowdStrike para enviar registros de EDR a um bucket do Cloud Storage e ingerir esses registros no Google SecOps usando um feed. Esse processo exige coordenação com o suporte da CrowdStrike.
Antes de começar
- Verifique se você tem uma instância ativa do CrowdStrike Falcon.
- Verifique se você tem um projeto Google Cloud em que é possível criar buckets do Cloud Storage e gerenciar permissões do IAM.
- Verifique se você tem uma instância ativa do Google SecOps.
- Verifique se você tem direitos de administrador no seu ambiente Google Cloud e na sua instância do Google SecOps.
Etapas
Entre em contato com o suporte da CrowdStrike:abra um tíquete de suporte com a CrowdStrike para ativar e configurar o recurso de envio de registros de EDR para seu bucket do Cloud Storage. O suporte da CrowdStrike vai orientar você sobre as configurações específicas necessárias.
Crie e conceda permissões ao bucket do Cloud Storage:
- No console Google Cloud , crie um bucket no Cloud Storage.
Anote o nome do bucket (por exemplo,
gs://my-crowdstrike-edr-logs/). - Conceda permissões de gravação à conta de serviço ou entidade fornecida pela CrowdStrike. Siga as instruções do suporte da CrowdStrike para permitir que os arquivos de registro sejam gravados nesse bucket com essa permissão.
- No console Google Cloud , crie um bucket no Cloud Storage.
Anote o nome do bucket (por exemplo,
Configure o feed do Google SecOps:
- Na sua instância do Google SecOps, acesse Configurações do SIEM > Feeds.
- Clique em Add New.
- Insira um Nome do feed descritivo, por exemplo,
CS-EDR-GCS. - Em Tipo de origem, selecione Google Cloud Storage V2.
- Em Tipo de registro, selecione CrowdStrike Falcon.
- Na seção "Conta de serviço", clique em Receber conta de serviço. Copie o endereço de e-mail exclusivo da conta de serviço exibido.
- No Google Cloud console, navegue até o bucket do Cloud Storage.
Conceda o papel do IAM
Storage Object Viewerao endereço de e-mail da conta de serviço copiado das configurações do feed do Google SecOps. Essa permissão permite que o feed leia os arquivos de registro. - Volte para a página de configuração do feed do Google SecOps.
- Insira o URL do bucket de armazenamento usando o nome do bucket criado
(por exemplo,
gs://my-crowdstrike-edr-logs/). Esse URL precisa terminar com uma barra invertida (/). - Selecione uma opção de exclusão de origem:
- Nunca excluir arquivos: recomendado.
- Excluir arquivos transferidos e diretórios vazios: use com cuidado.
- Opcional: especifique um namespace de recurso.
- Clique em Próxima, revise as configurações e clique em Enviar.
Verificar a ingestão de registros:depois que o CrowdStrike confirmar que os registros estão sendo enviados, aguarde um tempo para que os dados sejam ingeridos no Google SecOps. Para verificar os registros recebidos, pesquise com o tipo de registro
CROWDSTRIKE_EDRno Google SecOps.
Se você tiver problemas, revise as permissões do IAM no bucket do Cloud Storage e a configuração do feed no Google SecOps. Se os problemas persistirem, entre em contato com a equipe de suporte do Google SecOps.
Para receber registros de monitoramento de detecção do CrowdStrike, siga estas etapas:
- Faça login na sua instância do Google SecOps.
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
- Em Tipo de origem, selecione API de terceiros.
- Em Tipo de registro, selecione Monitoramento de detecção do CrowdStrike.
Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.
Ingerir registros de IoC do CrowdStrike no Google SecOps
Para configurar a ingestão de registros do CrowdStrike no Google SecOps para registros de IoC, siga estas etapas:
- Crie um novo par de chaves de cliente de API no console do CrowdStrike Falcon. Esse par de chaves permite que a Google SecOps Intel Bridge acesse e leia eventos e informações complementares do CrowdStrike Falcon. Para instruções de configuração, consulte Ponte de inteligência do CrowdStrike para o Google SecOps.
- Conceda a permissão
READaIndicators (Falcon Intelligence)ao criar o par de chaves. - Configure a Intel Bridge do Google SecOps seguindo as etapas em CrowdStrike para Intel Bridge do Google SecOps.
Execute os comandos do Docker a seguir para enviar os registros do CrowdStrike ao Google SecOps, em que
sa.jsoné o arquivo da conta de serviço do Google SecOps:docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latestDepois que o contêiner for executado, os registros de IoC vão começar a ser transmitidos para o Google SecOps.
Configurar um feed do Google SecOps para registros de alertas do CrowdStrike
Para configurar um feed de ingestão de registros de alertas do CrowdStrike, siga estas etapas:
No console do CrowdStrike Falcon:
- Faça login no console do CrowdStrike Falcon.
- Na página "Clientes e chaves de API" (Suporte e recursos > Recursos e ferramentas > Clientes e chaves de API), clique em Criar cliente de API.
- Insira os detalhes para definir o cliente de API:
- Nome do cliente
- Descrição
- Escopos da API : marque as caixas Leitura e Gravação ao lado do escopo Alertas para ativar o acesso.
- Clique em Criar para salvar o cliente de API e gerar o ID do cliente e o secret. Observação: o ID do cliente, a chave secreta e o URL de base serão usados em etapas futuras.
Na instância do Google SecOps:
- Faça login na sua instância do Google SecOps.
- No menu do Google SecOps, selecione Configurações e clique em Feeds.
- Clique em Adicionar novo feed.
- Em Tipo de origem, selecione API de terceiros.
- Em Tipo de registro, selecione API CrowdStrike Alerts.
- Clique em Próxima e preencha os seguintes campos usando os valores coletados do cliente da API CrowdStrike:
- Endpoint de token OAuth
- ID do cliente OAuth
- Chave secreta do cliente OAuth
- URL de base
- Clique em Próxima e em Enviar.
Se você tiver problemas, entre em contato com a equipe de suporte do Google SecOps.
Delta de mapeamento do UDM para registros de alertas do CrowdStrike
Referência do delta de mapeamento da UDM: CS_ALERTS
A tabela a seguir lista o delta entre o analisador padrão do CS ALERTS e a versão premium do CS ALERTS.
| Default UDM Mapping | Log Field | Premium Mapping Delta |
|---|---|---|
about.resource.product_object_id |
cid |
Removed mapping to avoid duplication, as the cid log field is also mapped to metadata.product_deployment_id. |
principal.asset.platform_software.platform |
platform |
If the device.platform_name log field value is empty and the platform log field value is not empty and if the platform log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if platform log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if platform log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if platform log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. |
security_result.detection_fields[agent_id] |
agent_id |
If the device.device_id log field value is empty and the host_id log field value is empty and the mdm_device_id log field value is empty then, CS:%{agent_id} log field is mapped to the principal.asset_id UDM field. Else, the principal.asset.attribute.labels.key UDM field is set to agent_id and agent_id log field is mapped to the principal.asset.attribute.labels.value UDM field. |
security_result.detection_fields[idp_policy_account_event_type] |
idp_policy_account_event_type |
security_result.rule_labels[idp_policy_account_event_type] |
security_result.detection_fields[idp_policy_mfa_factor_type] |
idp_policy_mfa_factor_type |
security_result.rule_labels[idp_policy_mfa_factor_type] |
security_result.detection_fields[idp_policy_mfa_provider_name] |
idp_policy_mfa_provider_name |
security_result.rule_labels[idp_policy_mfa_provider_name] |
security_result.detection_fields[idp_policy_mfa_provider] |
idp_policy_mfa_provider |
security_result.rule_labels[idp_policy_mfa_provider] |
security_result.detection_fields[idp_policy_rule_action] |
idp_policy_rule_action |
security_result.rule_labels[idp_policy_rule_action] |
security_result.detection_fields[idp_policy_rule_trigger] |
idp_policy_rule_trigger |
security_result.rule_labels[idp_policy_rule_trigger] |
security_result.detection_fields[idp_policy_rule_id] |
idp_policy_rule_id |
security_result.rule_id |
security_result.detection_fields[idp_policy_rule_name] |
idp_policy_rule_name |
security_result.rule_name |
target.process.file.mime_type |
alleged_filetype |
If the technique_name log field value contain one of the following values
alleged_filetype log field is mapped to the target.file.mime_type UDM field. Else, alleged_filetype log field is mapped to the target.process.file.mime_type UDM field. |
principal.resource.product_object_id |
device.cid |
principal.asset.attribute.labels[device_cid] |
security_result.detection_fields[active_directory_dn_display] |
device.hostinfo.active_directory_dn_display |
Iterate through log field device.hostinfo.active_directory_dn_display, then the security_result.detection_fields.key UDM field is set to device_hostinfo_active_directory_dn_display and device.hostinfo.active_directory_dn_display log field is mapped to the security_result.detection_fields.value UDM field. |
principal.asset.platform_software.platform |
device.platform_name |
If the device.platform_name log field value is not empty and if the device.platform_name log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if device.platform_name log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if device.platform_name log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if device.platform_name log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. if the platform log field value is not empty and the device.platform_name log field value is equal to the then, the principal.asset.attribute.labels.key UDM field is set to platform and platform log field is mapped to the principal.asset.attribute.labels.value UDM field. |
principal.asset.platform_software.platform_version |
device.system_product_name |
principal.asset.hardware.model |
target.process.file.names |
filename |
If the technique_name log field value contain one of the following values
filename log field is mapped to the target.file.names UDM field. Else, filename log field is mapped to the target.process.file.names UDM field. |
target.file.full_path |
filepath |
If the technique_name log field value contain one of the following values
filepath log field is mapped to the target.file.full_path UDM field. Else, filepath log field is mapped to the target.process.file.full_path UDM field.If the product log field value is equal to epp and the type log field value is equal to ofp and if the macros.ioc_description log field value is not empty then, macros.ioc_description log field is mapped to the target.file.full_path UDM field and the security_result.detection_fields.key UDM field is set to filepath and filepath log field is mapped to the security_result.detection_fields.value UDM field. |
target.process_ancestors.command_line |
grandparent_details.cmdline |
target.process.parent_process.parent_process.command_line |
target.process_ancestors.file.names |
grandparent_details.filename |
target.process.parent_process.parent_process.file.names |
target.process_ancestors.file.full_path |
grandparent_details.filepath |
target.process.parent_process.parent_process.file.full_path |
target.process_ancestors.file.md5 |
grandparent_details.md5 |
target.process.parent_process.parent_process.file.md5 |
target.process_ancestors.product_specific_process_id |
grandparent_details.process_graph_id |
If the grandparent_details.process_graph_id log field value is not empty then, PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id} log field is mapped to the target.process.parent_process.parent_process.product_specific_process_id UDM field. |
target.process_ancestors.pid |
grandparent_details.process_id |
target.process.parent_process.parent_process.pid |
target.process_ancestors.file.sha256 |
grandparent_details.sha256 |
target.process.parent_process.parent_process.file.sha256 |
security_result.detection_fields[ioc_description] |
ioc_context.ioc_description |
Iterate through log field ioc_context, then the security_result.detection_fields.key UDM field is set to ioc_context_ioc_description and ioc_context.ioc_description log field is mapped to the security_result.detection_fields.value UDM field. |
security_result.detection_fields[ioc_source] |
ioc_context.ioc_source |
Iterate through log field ioc_context, then the security_result.detection_fields.key UDM field is set to ioc_context_ioc_source and ioc_context.ioc_source log field is mapped to the security_result.detection_fields.value UDM field. |
target.process.file.md5 |
md5 |
If the technique_name log field value contain one of the following values
md5 log field is mapped to the target.file.md5 UDM field. Else, md5 log field is mapped to the target.process.file.md5 UDM field. |
target.process.file.sha1 |
sha1 |
If the technique_name log field value contain one of the following values
sha1 log field is mapped to the target.file.sha1 UDM field. Else, sha1 log field is mapped to the target.process.file.sha1 UDM field. |
target.file.sha256 |
sha256 |
If the technique_name log field value contain one of the following values
sha256 log field is mapped to the target.file.sha256 UDM field. Else, sha256 log field is mapped to the target.process.file.sha256 UDM field.If the product log field value is equal to epp and the type log field value is equal to ofp and if the ioc_type log field value is equal to hash_sha256 and the macros.ioc_value log field value is not empty then, macros.ioc_value log field is mapped to the target.file.sha256 UDM field and the security_result.detection_fields.key UDM field is set to sha256 and sha256 log field is mapped to the security_result.detection_fields.value UDM field. |
target.asset.platform_software.platform |
operating_system |
If the operating_system log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if operating_system log field value matches the regular expression pattern (?i)linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if operating_system log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. Else, if operating_system log field value matches the regular expression pattern (?i)mac then, the principal.asset.platform_software.platform UDM field is set to MAC. |
security_result.detection_fields[agent_version] |
agent_version |
principal.asset.attribute.labels[agent_version] |
about.email |
enrollment_email |
principal.user.email_addresses |
principal.asset.type |
|
If the mdm_device_id log field value is not empty or the mobile_hardware log field value is not empty or the mobile_manufacturer log field value is not empty or the mobile_serial log field value is not empty then, the principal.asset.type UDM field is set to MOBILE. |
Formatos de registro da CrowdStrike compatíveis
O analisador do CrowdStrike é compatível com registros no formato JSON.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.