收集 CrowdStrike Falcon 日志

本文档提供了有关如何将 CrowdStrike Falcon 日志注入 Google Security Operations 的指南,具体如下:

  • 通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
  • 将 CrowdStrike Falcon 日志字段映射到 Google SecOps 统一数据模型 (UDM) 字段。
  • 了解受支持的 CrowdStrike Falcon 日志类型和事件类型。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

准备工作

确保您满足以下前提条件:

  • CrowdStrike 实例的管理员权限,用于安装 CrowdStrike Falcon Host 传感器
  • 部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
  • 目标设备运行在受支持的操作系统上
    • 必须是 64 位服务器
    • CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 旧版操作系统版本必须支持 SHA-2 代码签名。
  • Google SecOps 服务账号文件和您的客户 ID(来自 Google SecOps 支持团队

通过 Google SecOps Feed 集成部署 CrowdStrike Falcon

典型的部署包括发送日志的 CrowdStrike Falcon 和提取日志的 Google SecOps Feed。您的部署可能会因设置而略有不同。

部署通常包含以下组件:

  • CrowdStrike Falcon Intelligence:您从中收集日志的 CrowdStrike 产品。
  • CrowdStrike Feed。从 CrowdStrike 获取日志并将其写入 Google SecOps 的 CrowdStrike Feed。
  • CrowdStrike Intel Bridge:CrowdStrike 产品,用于从数据源收集威胁指标并将其转发给 Google SecOps。
  • Google SecOps:用于保留、规范化和分析 CrowdStrike 检测日志的平台。
  • 一种将原始日志数据标准化为 UDM 格式的注入标签解析器。本文档中的信息适用于具有以下注入标签的 CrowdStrike Falcon 解析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

为 CrowdStrike EDR 日志配置 Google SecOps Feed

您需要执行以下程序来配置 Feed。

如何配置 CrowdStrike

如需设置 Falcon Data Replicator Feed,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次前往支持应用 > Falcon Data Replicator
  3. 点击添加以创建新的 Falcon Data Replicator Feed 并生成以下值:
    • Feed
    • S3 标识符
    • SQS 网址
  4. 客户端密钥。 请保留这些值,以便在 Google SecOps 中设置 Feed。

如需了解详情,请参阅如何设置 Falcon Data Replicator Feed

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

通过 Amazon SQS 设置提取 Feed

您可以使用 Amazon SQS(首选)或 Amazon S3 在 Google SecOps 中设置提取 Feed。

如需使用 Amazon SQS 设置提取 Feed,请完成以下步骤:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志
  5. 来源类型中,选择 Amazon SQS
  6. 日志类型中,选择 CrowdStrike Falcon
  7. 根据您创建的服务账号和 Amazon SQS 配置,为以下字段指定值:
    字段 说明
    region 与 SQS 队列关联的区域。
    QUEUE NAME 要从中读取数据的 SQS 队列的名称。
    ACCOUNT NUMBER 拥有 SQS 队列的账号。
    source deletion option 用于在转移数据后删除文件和目录的选项。
    QUEUE ACCESS KEY ID 20 字符的访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 40 字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace 与 Feed 关联的命名空间。
    submit 向 Google SecOps 提交并保存 Feed 配置。

如果您遇到问题,请与 Google SecOps 支持团队联系。

设置使用 Amazon S3 存储桶的注入 Feed

如需使用 S3 存储桶设置提取 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志
  5. 来源类型中,选择 Amazon S3
  6. 日志类型中,选择 CrowdStrike Falcon
  7. 根据您创建的服务账号和 Amazon S3 存储桶配置,为以下字段指定值:
    字段 说明
    region S3 区域 URI。
    S3 uri S3 存储桶来源 URI。
    uri is a URI 指向的对象类型(例如,文件或文件夹)。
    source deletion option 用于在转移数据后删除文件和目录的选项。
    access key id 访问密钥(20 个字符的字母数字字符串)。例如 AKIAOSFOODNN7EXAMPLE
    secret access key 私有访问密钥(40 个字符的字母数字字符串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公开 OAuth 客户端 ID。
    oauth client secret OAuth 2.0 客户端密钥。
    oauth secret refresh uri OAuth 2.0 客户端密钥刷新 URI。
    asset namespace 与 Feed 关联的命名空间。

设置来自内容中心的 Feed

您可以使用 Amazon SQS(首选)或 Amazon S3 在 Google SecOps 中配置提取 Feed。

为以下字段指定值:

  • 区域:S3 存储桶或 SQS 队列托管的区域。
  • 队列名称:要从中读取日志数据的 SQS 队列的名称。
  • 账号:拥有 SQS 队列的账号。
  • 队列访问密钥 ID:20 字符的账号访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE
  • 队列私有访问密钥:40 字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • 源删除选项:用于在转移数据后删除文件和目录的选项。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 注入标签 - 应用于此 Feed 中所有事件的标签。

为 CrowdStrike 日志配置 Google SecOps Feed

如需转发 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 前往 Support Apps > API Clients and Keys
  3. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对必须具有 CrowdStrike Falcon 的 DetectionsAlerts 权限。READ

如需接收 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录您的 Google SecOps 实例。
  2. 依次前往 SIEM 设置> Feed
  3. 点击添加新 Feed
  4. 在下一页上,点击配置单个 Feed
  5. Feed 名称字段中,输入 Feed 的名称,例如 Crowdstrike Falcon 日志
  6. 来源类型中,选择第三方 API
  7. 日志类型中,选择 CrowdStrike 检测监控

如果您遇到问题,请与 Google SecOps 支持团队联系。

将 CrowdStrike IoC 日志注入到 Google SecOps

如需配置从 CrowdStrike 到 Google SecOps 的日志提取,以提取 IoC 日志,请完成以下步骤:

  1. 在 CrowdStrike Falcon 控制台中创建新的 API 客户端密钥对。借助此密钥对,Google SecOps Intel Bridge 可以访问和读取 CrowdStrike Falcon 中的事件和补充信息。如需查看设置说明,请参阅 CrowdStrike to Google SecOps Intel Bridge
  2. 创建密钥对时,向 Indicators (Falcon Intelligence) 提供 READ 权限。
  3. 按照 CrowdStrike 到 Google SecOps Intel Bridge 中的步骤设置 Google SecOps Intel Bridge。

  4. 运行以下 Docker 命令,将 CrowdStrike 中的日志发送到 Google SecOps,其中 sa.json 是 Google SecOps 服务账号文件:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 容器成功运行后,IoC 日志将开始流式传输到 Google SecOps。

支持的 CrowdStrike 日志格式

CrowdStrike 解析器支持 JSON 格式的日志。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。