收集 CrowdStrike Falcon 日志

本文档提供了有关如何将 CrowdStrike Falcon 日志注入 Google Security Operations 的指南,具体如下:

  • 通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
  • 将 CrowdStrike Falcon 日志字段映射到 Google SecOps 统一数据模型 (UDM) 字段。
  • 了解受支持的 CrowdStrike Falcon 日志类型和事件类型。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

准备工作

确保您满足以下前提条件:

  • CrowdStrike 实例的管理员权限,用于安装 CrowdStrike Falcon Host 传感器
  • 部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
  • 目标设备运行在受支持的操作系统上
    • 必须是 64 位服务器
    • CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 旧版操作系统版本必须支持 SHA-2 代码签名。
  • Google SecOps 服务账号文件和您的客户 ID(来自 Google SecOps 支持团队

通过 Google SecOps Feed 集成部署 CrowdStrike Falcon

典型的部署包括发送日志的 CrowdStrike Falcon 和提取日志的 Google SecOps Feed。您的部署可能会因设置而略有不同。

部署通常包含以下组件:

  • CrowdStrike Falcon Intelligence:您从中收集日志的 CrowdStrike 产品。
  • CrowdStrike Feed。从 CrowdStrike 获取日志并将其写入 Google SecOps 的 CrowdStrike Feed。
  • CrowdStrike Intel Bridge:CrowdStrike 产品,用于从数据源收集威胁指标并将其转发给 Google SecOps。
  • Google SecOps:用于保留、规范化和分析 CrowdStrike 检测日志的平台。
  • 一种将原始日志数据标准化为 UDM 格式的注入标签解析器。本文档中的信息适用于具有以下注入标签的 CrowdStrike Falcon 解析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

为 CrowdStrike EDR 日志配置 Google SecOps Feed

您需要执行以下程序来配置 Feed。

如何配置 CrowdStrike

如需设置 Falcon Data Replicator Feed,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次前往支持应用 > Falcon Data Replicator
  3. 点击添加以创建新的 Falcon Data Replicator Feed 并生成以下值:
    • Feed
    • S3 标识符
    • SQS 网址
  4. 客户端密钥。 请保留这些值,以便在 Google SecOps 中设置 Feed。

如需了解详情,请参阅如何设置 Falcon Data Replicator Feed

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 CrowdStrike Falcon Feed

  1. 点击 CrowdStrike 包。

  2. CrowdStrike Falcon 日志类型中,为以下字段指定值:

    • 来源:Amazon SQS V2
    • 队列名称:要从中读取日志数据的 SQS 队列的名称。
    • S3 URI:S3 存储桶源 URI。
    • 源删除选项:用于在转移数据后删除文件和目录的选项。
    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
    • SQS 队列访问密钥 ID:20 字符的账号访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE
    • SQS 队列私有访问密钥:40 字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资产命名空间与 Feed 关联的命名空间
    • 注入标签 - 应用于此 Feed 中所有事件的标签。

  3. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

设置使用 Amazon S3 存储桶的注入 Feed

如需使用 S3 存储桶设置提取 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志
  5. 来源类型中,选择 Amazon S3
  6. 日志类型中,选择 CrowdStrike Falcon
  7. 根据您创建的服务账号和 Amazon S3 存储桶配置,为以下字段指定值:
    字段 说明
    region S3 区域 URI。
    S3 uri S3 存储桶来源 URI。
    uri is a URI 指向的对象类型(例如,文件或文件夹)。
    source deletion option 用于在转移数据后删除文件和目录的选项。
    access key id 访问密钥(20 个字符的字母数字字符串)。例如 AKIAOSFOODNN7EXAMPLE
    secret access key 私有访问密钥(40 个字符的字母数字字符串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公开 OAuth 客户端 ID。
    oauth client secret OAuth 2.0 客户端密钥。
    oauth secret refresh uri OAuth 2.0 客户端密钥刷新 URI。
    asset namespace 与 Feed 关联的命名空间。

为 CrowdStrike 日志配置 Google SecOps Feed

如需转发 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 前往 Support Apps > API Clients and Keys
  3. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对必须具有 CrowdStrike Falcon 的 DetectionsAlerts 权限。READ

如需接收 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录您的 Google SecOps 实例。
  2. 依次前往 SIEM 设置> Feed
  3. 点击添加新 Feed
  4. 在下一页上,点击配置单个 Feed
  5. Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志
  6. 来源类型中,选择第三方 API
  7. 日志类型中,选择 CrowdStrike 检测监控

如果您遇到问题,请与 Google SecOps 支持团队联系。

将 CrowdStrike IoC 日志注入到 Google SecOps

如需配置从 CrowdStrike 到 Google SecOps 的日志提取,以提取 IoC 日志,请完成以下步骤:

  1. 在 CrowdStrike Falcon 控制台中创建新的 API 客户端密钥对。借助此密钥对,Google SecOps Intel Bridge 可以访问和读取 CrowdStrike Falcon 中的事件和补充信息。如需查看设置说明,请参阅 CrowdStrike to Google SecOps Intel Bridge
  2. 创建密钥对时,向 Indicators (Falcon Intelligence) 提供 READ 权限。
  3. 按照 CrowdStrike 到 Google SecOps Intel Bridge 中的步骤设置 Google SecOps Intel Bridge。

  4. 运行以下 Docker 命令,将 CrowdStrike 中的日志发送到 Google SecOps,其中 sa.json 是 Google SecOps 服务账号文件:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 容器成功运行后,IoC 日志将开始流式传输到 Google SecOps。

支持的 CrowdStrike 日志格式

CrowdStrike 解析器支持 JSON 格式的日志。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。