收集 CrowdStrike Falcon 記錄

本文提供相關指引,說明如何將 CrowdStrike Falcon 記錄擷取至 Google Security Operations:

  • 設定 Google Security Operations 資訊提供,即可收集 CrowdStrike Falcon 記錄。
  • 將 CrowdStrike Falcon 記錄欄位對應至 Google SecOps 統合資料模型 (UDM) 欄位。
  • 瞭解支援的 CrowdStrike Falcon 記錄類型和事件類型。

詳情請參閱「將資料擷取至 Google SecOps 總覽」。

事前準備

請確認您已完成下列事前準備事項:

  • CrowdStrike 執行個體的管理員權限,可安裝 CrowdStrike Falcon Host 感應器
  • 部署架構中的所有系統都以世界標準時間設定時區。
  • 目標裝置搭載支援的作業系統
    • 必須是 64 位元伺服器
    • CrowdStrike Falcon Host 感應器 6.51 以上版本支援 Microsoft Windows Server 2008 R2 SP1。
    • 舊版作業系統必須支援 SHA-2 程式碼簽署。
  • Google SecOps 服務帳戶檔案,以及 Google SecOps 支援團隊提供的客戶 ID

部署 CrowdStrike Falcon,並整合 Google SecOps 資訊提供

一般部署作業包含 CrowdStrike Falcon (負責傳送記錄) 和 Google SecOps 動態饋給 (負責擷取記錄)。實際部署方式可能因設定而異。

部署作業通常包含下列元件:

  • CrowdStrike Falcon Intelligence:您要從中收集記錄的 CrowdStrike 產品。
  • CrowdStrike 動態饋給。從 CrowdStrike 擷取記錄並寫入 Google SecOps 的 CrowdStrike 動態饋給。
  • CrowdStrike Intel Bridge:CrowdStrike 產品,可從資料來源收集威脅指標,並轉送至 Google SecOps。
  • Google SecOps:這個平台會保留、正規化及分析 CrowdStrike 偵測記錄。
  • 擷取標籤剖析器,可將原始記錄資料正規化為 UDM 格式。本文資訊適用於具有下列擷取標籤的 CrowdStrike Falcon 剖析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 入侵指標 (IoC) 剖析器支援下列指標類型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

設定 Google SecOps 資訊提供,以接收 CrowdStrike EDR 記錄

如要設定動態饋給,請按照下列程序操作。

如何設定 CrowdStrike

如要設定 Falcon Data Replicator 動態饋給,請按照下列步驟操作:

  1. 登入 CrowdStrike Falcon Console。
  2. 依序前往「支援應用程式」 >「Falcon Data Replicator」
  3. 按一下「新增」,建立新的 Falcon Data Replicator 動態饋給,並產生下列值:
    • 動態消息
    • S3 ID
    • SQS 網址
  4. 用戶端密鑰。 請保留這些值,以便在 Google SecOps 中設定動態饋給。

詳情請參閱「如何設定 Falcon 資料複製器動態饋給」。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態消息」,設定動態消息

如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

使用 Amazon SQS 設定擷取動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3,在 Google SecOps 中設定擷取動態饋給。

如要使用 Amazon SQS 設定擷取動態饋給,請完成下列步驟:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態消息名稱」欄位中輸入動態消息名稱,例如「Crowdstrike Falcon Logs」
  5. 在「Source type」(來源類型) 中,選取「Amazon SQS」
  6. 在「記錄類型」中,選取「CrowdStrike Falcon」
  7. 根據您建立的服務帳戶和 Amazon SQS 設定,為下列欄位指定值:
    欄位 說明
    region 與 SQS 佇列相關聯的區域。
    QUEUE NAME 要讀取的 SQS 佇列名稱。
    ACCOUNT NUMBER 擁有 SQS 佇列的帳號。
    source deletion option 資料移轉後可選擇刪除檔案和目錄。
    QUEUE ACCESS KEY ID 20 個字元的存取金鑰 ID。例如 AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 40 個字元的存取密鑰。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace 與動態消息相關聯的命名空間。
    submit 將動態饋給設定提交並儲存至 Google SecOps。

如有任何問題,請與 Google SecOps 支援團隊聯絡。

使用 Amazon S3 儲存空間設定擷取動態饋給

如要使用 S3 bucket 設定擷取動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態消息名稱」欄位中輸入動態消息名稱,例如「Crowdstrike Falcon Logs」
  5. 在「來源類型」中,選取「Amazon S3」
  6. 在「記錄類型」中,選取「CrowdStrike Falcon」
  7. 根據您建立的服務帳戶和 Amazon S3 值區設定,指定下列欄位的值:
    欄位 說明
    region S3 區域 URI。
    S3 uri S3 值區來源 URI。
    uri is a URI 指向的物件類型 (例如檔案或資料夾)。
    source deletion option 資料移轉後可選擇刪除檔案和目錄。
    access key id 存取金鑰 (20 個字元的英數字串)。例如 AKIAOSFOODNN7EXAMPLE
    secret access key 存取密鑰 (40 個字元的英數字串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公開 OAuth 用戶端 ID。
    oauth client secret OAuth 2.0 用戶端密鑰。
    oauth secret refresh uri OAuth 2.0 用戶端密鑰重新整理 URI。
    asset namespace 與動態消息相關聯的命名空間。

從內容中心設定動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3,在 Google SecOps 中設定擷取動態饋給。

為下列欄位指定值:

  • 區域:S3 bucket 或 SQS 佇列的代管區域。
  • 佇列名稱:要從中讀取記錄資料的 SQS 佇列名稱。
  • 帳號:擁有 SQS 佇列的帳號。
  • 佇列存取金鑰 ID:20 個字元的帳戶存取金鑰 ID。例如:AKIAOSFOODNN7EXAMPLE
  • 佇列存取密鑰:40 個字元的存取密鑰。例如:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • 來源刪除選項:在轉移資料後刪除檔案和目錄的選項。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

設定 CrowdStrike 記錄的 Google SecOps 資訊提供

如要轉送 CrowdStrike 偵測監控記錄,請按照下列步驟操作:

  1. 登入 CrowdStrike Falcon Console。
  2. 依序前往「支援應用程式」 >「API 用戶端和金鑰」
  3. 在 CrowdStrike Falcon 建立新的 API 用戶端金鑰組。這個金鑰組必須具備 CrowdStrike Falcon 的 READDetections 權限。Alerts

如要接收 CrowdStrike 偵測監控記錄,請按照下列步驟操作:

  1. 登入 Google SecOps 執行個體。
  2. 依序前往「SIEM 設定」>「動態饋給」
  3. 按一下「新增動態消息」
  4. 在下一個頁面中,按一下「設定單一動態饋給」
  5. 在「動態消息名稱」欄位中輸入動態消息名稱,例如「Crowdstrike Falcon Logs」
  6. 在「來源類型」中,選取「第三方 API」
  7. 在「記錄類型」中,選取「CrowdStrike 偵測監控」

如有任何問題,請與 Google SecOps 支援團隊聯絡。

將 CrowdStrike IoC 記錄擷取至 Google SecOps

如要設定從 CrowdStrike 擷取記錄到 Google SecOps,請完成下列步驟:

  1. 在 CrowdStrike Falcon 控制台中建立新的 API 用戶端金鑰配對。Google SecOps Intel Bridge 可透過這組金鑰存取及讀取 CrowdStrike Falcon 的事件和補充資訊。如需設定操作說明,請參閱「CrowdStrike to Google SecOps Intel Bridge」。
  2. 建立金鑰組時,請將 READ 權限提供給 Indicators (Falcon Intelligence)
  3. 按照「CrowdStrike to Google SecOps Intel Bridge」中的步驟,設定 Google SecOps Intel Bridge。

  4. 執行下列 Docker 指令,將 CrowdStrike 的記錄傳送至 Google SecOps,其中 sa.json 是 Google SecOps 服務帳戶檔案:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 容器順利執行後,IoC 記錄就會開始串流至 Google SecOps。

支援的 CrowdStrike 記錄格式

CrowdStrike 剖析器支援 JSON 格式的記錄。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。