Crowdstrike-IOC-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie CrowdStrike-IOC-Logs mit der CrowdStrike Chronicle Intel Bridge erfassen. Die CrowdStrike Chronicle Intel Bridge ist ein Docker-Container, der Informationen zu Sicherheitsrisiken von CrowdStrike Falcon Intelligence an Google Security Operations weiterleitet.

CrowdStrike Falcon Intelligence bietet Indikatoren für Cyberbedrohungen, darunter Domains, IP-Adressen, Dateihashes, URLs, E-Mail-Adressen, Dateipfade, Dateinamen und Mutex-Namen. Die Chronicle Intel Bridge fragt die CrowdStrike Intel API ab und leitet diese Indikatoren zur Bedrohungserkennung und -analyse an Google Security Operations weiter.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Privilegierter Zugriff auf die CrowdStrike Falcon Console mit Berechtigungen zum Erstellen von API-Clients
• CrowdStrike Falcon Intelligence-Abo
• Docker ist auf einem System installiert, das kontinuierlich ausgeführt werden kann, um CrowdStrike abzufragen und Indikatoren weiterzuleiten.
• Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.

Google SecOps-Anmeldedaten abrufen

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Google SecOps-Dienstkontodatei herunterladen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
3. Klicken Sie auf Authentifizierungsdatei für die Aufnahme herunterladen.
4. Speichern Sie die JSON-Datei an einem sicheren Ort auf dem System, auf dem Sie den Docker-Container ausführen (z. B. /path/to/service-account.json).

CrowdStrike Falcon-API-Zugriff konfigurieren

Damit die Chronicle Intel Bridge Indikatoren abrufen kann, müssen Sie einen API-Client mit Leseberechtigungen für Falcon Intelligence Indicators erstellen.

API-Client erstellen

1. Melden Sie sich in der CrowdStrike Falcon Console an.
2. Rufen Sie Support und Ressourcen > Ressourcen und Tools> API-Clients und ‑Schlüssel auf.
3. Klicken Sie auf Neuen API-Client hinzufügen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Clientname: Geben Sie einen aussagekräftigen Namen ein, z. B. Chronicle Intel Bridge.
   • Beschreibung: Optional: Geben Sie Integration with Google Chronicle for threat intelligence indicators ein.
5. Aktivieren Sie im Bereich API-Bereiche das Kästchen Lesen neben Indikatoren (Falcon Intelligence).
6. Klicken Sie auf Erstellen.

API-Anmeldedaten aufzeichnen

• Nachdem Sie den API-Client erstellt haben, werden Ihre Anmeldedaten in einem Dialogfeld angezeigt:

  • Client-ID: Ihre eindeutige Client-Kennung (z. B. a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)
  • Clientschlüssel: Ihr API-Secret-Schlüssel
  • Basis-URL: Der vollständig qualifizierte Domainname für Ihre Region, z. B. api.us-2.crowdstrike.com.

Regionale Endpunkte

CrowdStrike Falcon verwendet je nach Cloud-Region unterschiedliche API-Endpunkte:

Region	Basis-URL	Console-URL
US-1	api.crowdstrike.com	https://falcon.crowdstrike.com
US-2	api.us-2.crowdstrike.com	https://falcon.us-2.crowdstrike.com
EU-1	api.eu-1.crowdstrike.com	https://falcon.eu-1.crowdstrike.com
US-GOV-1	api.laggar.gcw.crowdstrike.com	https://falcon.laggar.gcw.crowdstrike.com
US-GOV-2	api.us-gov-2.crowdstrike.com	https://falcon.us-gov-2.crowdstrike.com

Verwenden Sie die Basis-URL, die der Region Ihrer CrowdStrike Falcon-Instanz entspricht. Der Ländercode (z. B. us-1, us-2, eu-1) wird in der Docker-Konfiguration verwendet.

CrowdStrike Chronicle Intel Bridge bereitstellen

Die Chronicle Intel Bridge ist ein Docker-Container, der kontinuierlich ausgeführt wird, um CrowdStrike Falcon Intelligence nach Indikatoren abzufragen und sie an Google Security Operations weiterzuleiten.

Umgebungsvariablen festlegen

1. Bevor Sie den Docker-Container ausführen, legen Sie die folgenden Umgebungsvariablen mit den Anmeldedaten fest, die Sie gesammelt haben:

   export FALCON_CLIENT_ID="your-client-id"
   export FALCON_CLIENT_SECRET="your-client-secret"
   export FALCON_CLOUD_REGION="your-cloud-region"
   export CHRONICLE_CUSTOMER_ID="your-customer-id"
   export CHRONICLE_REGION="your-chronicle-region"
   

2. Ersetzen Sie die Platzhalterwerte:

   • your-client-id: Die Client-ID des CrowdStrike API-Clients.
   • your-client-secret: Der Clientschlüssel des CrowdStrike API-Clients
   • your-cloud-region: Ihre CrowdStrike-Cloud-Region (z. B. us-1, us-2, eu-1, us-gov-1, us-gov-2)
   • your-customer-id: Ihre Google SecOps-Kunden-ID
   • your-chronicle-region: Ihre Google SecOps-Region (siehe „Chronicle-Region konfigurieren“ unten)

Chronicle-Region konfigurieren

Die Umgebungsvariable CHRONICLE_REGION gibt an, welcher regionale Google SecOps-Endpunkt verwendet werden soll. Folgende Werte werden unterstützt:

• Alte Regionscodes:

  • US (Standardwert, wenn nicht angegeben)
  • EU
  • UK
  • IL
  • AU
  • SG

• Google Cloud-Regionscodes:

  • EUROPE
  • EUROPE-WEST2
  • EUROPE-WEST3
  • EUROPE-WEST6
  • EUROPE-WEST9
  • EUROPE-WEST12
  • ME-WEST1
  • ME-CENTRAL1
  • ME-CENTRAL2
  • ASIA-SOUTH1
  • ASIA-SOUTHEAST1
  • ASIA-NORTHEAST1
  • AUSTRALIA-SOUTHEAST1
  • SOUTHAMERICA-EAST1
  • NORTHAMERICA-NORTHEAST2

Docker-Container ausführen

Wählen Sie eine der folgenden Bereitstellungsmethoden aus:

• Interaktiver Modus (Vordergrund):

  Verwenden Sie diesen Modus für Tests und zur Fehlerbehebung:

  docker run -it --rm \
    --name chronicle-intel-bridge \
    -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
    -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
    -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
    -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
    -e CHRONICLE_REGION="$CHRONICLE_REGION" \
    -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
    -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
    quay.io/crowdstrike/chronicle-intel-bridge:latest
  

• Abgelöster Modus (Hintergrund mit Neustartrichtlinie):

  Verwenden Sie diesen Modus für die Produktionsbereitstellung:

  docker run -d --restart unless-stopped \
    --name chronicle-intel-bridge \
    -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
    -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
    -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
    -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
    -e CHRONICLE_REGION="$CHRONICLE_REGION" \
    -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
    -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
    quay.io/crowdstrike/chronicle-intel-bridge:latest
  

  Ersetzen Sie /path/to/your/service-account.json durch den tatsächlichen Pfad zur JSON-Datei des Google SecOps-Dienstkontos, die Sie zuvor heruntergeladen haben.

Deployment prüfen

Prüfen Sie nach dem Starten des Containers, ob Indikatoren an Google Security Operations weitergeleitet werden:

1. Containerlogs prüfen:

   docker logs chronicle-intel-bridge
   

2. Suchen Sie in der Google SecOps-Konsole nach Ereignissen mit dem Protokolltyp CROWDSTRIKE_IOC.

3. Prüfen Sie, ob Indikatordaten in Ihrer Google SecOps-Instanz angezeigt werden.

Erweiterte Konfiguration

Für erweiterte Konfigurationsoptionen können Sie das Intel Bridge-Verhalten mithilfe einer Konfigurationsdatei anpassen.

1. Laden Sie die Datei config.ini aus dem CrowdStrike Chronicle Intel Bridge-Repository herunter.
2. Ändern Sie die Konfigurationsdatei entsprechend Ihren Anforderungen.

3. Stellen Sie die Konfigurationsdatei mit dem Volume-Flag im Container bereit:

   docker run -d --restart unless-stopped \
     --name chronicle-intel-bridge \
     -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
     -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
     -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
     -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
     -e CHRONICLE_REGION="$CHRONICLE_REGION" \
     -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
     -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
     -v /path/to/your/config.ini:/ccib/config.ini:ro \
     quay.io/crowdstrike/chronicle-intel-bridge:latest
   

Unterstützte Indikatortypen

Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:

Indikatortyp	Beschreibung
domain	Domainnamen, die mit schädlichen Aktivitäten in Verbindung gebracht werden
email_address	In Angriffen verwendete E‑Mail-Adressen
file_name	Namen schädlicher Dateien
file_path	Dateisystempfade, die mit Bedrohungen verknüpft sind
hash_md5	MD5-Datei-Hashes
hash_sha1	SHA-1-Datei-Hashes
hash_sha256	SHA-256-Datei-Hashes
ip_address	IP-Adressen, die mit schädlichen Aktivitäten in Verbindung gebracht werden
mutex_name	Von Malware verwendete Mutex-Namen
url	Mit Bedrohungen verknüpfte URLs

Docker-Container verwalten

Verwenden Sie die folgenden Docker-Befehle, um die Chronicle Intel Bridge zu verwalten:

• Containerstatus ansehen:

  docker ps -a | grep chronicle-intel-bridge
  

• Containerlogs ansehen:

  docker logs chronicle-intel-bridge
  

• Containerlogs in Echtzeit verfolgen:

  docker logs -f chronicle-intel-bridge
  

• Container beenden:

  docker stop chronicle-intel-bridge
  

• Container starten:

  docker start chronicle-intel-bridge
  

• Container neu starten:

  docker restart chronicle-intel-bridge
  

• Container entfernen:

  docker stop chronicle-intel-bridge
  docker rm chronicle-intel-bridge
  

Fehlerbehebung

Wenn Probleme mit der Chronicle Intel Bridge auftreten:

1. Prüfen Sie, ob die CrowdStrike API-Anmeldedaten korrekt sind und den Bereich Indicators (Falcon Intelligence): READ haben.
2. Prüfen Sie, ob die Google SecOps-Kundennummer korrekt ist.
3. Prüfen Sie, ob die JSON-Datei des Google SecOps-Dienstkontos gültig ist und auf den Docker-Container zugegriffen werden kann.
4. Prüfen Sie, ob die CrowdStrike-Cloud-Region korrekt ist (z. B. us-1, us-2, eu-1).
5. Prüfen Sie, ob die Google SecOps-Region korrekt ist.

6. Prüfen Sie die Containerlogs auf Fehlermeldungen:

   docker logs chronicle-intel-bridge
   

7. Prüfen Sie die Netzwerkverbindung vom Docker-Host zu den CrowdStrike API-Endpunkten und den Google SecOps-Aufnahmeendpunkten.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Wann?	metadata.event_timestamp	Wert direkt kopiert
messageid	metadata.id	Wert direkt kopiert
Protokoll	network.ip_protocol	Wert direkt kopiert
deviceName	principal.hostname	Wert direkt kopiert
srcAddr	principal.ip	Wert direkt kopiert
srcPort	principal.port	Wert direkt kopiert
Aktion	security_result.action	Wert direkt kopiert
dstAddr	target.ip	Wert direkt kopiert
dstPort	target.port	Wert direkt kopiert

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten