Recopila registros de IOC de Crowdstrike
En este documento, se explica cómo recopilar registros de IOC de CrowdStrike con CrowdStrike Chronicle Intel Bridge, un contenedor de Docker que reenvía indicadores de inteligencia sobre amenazas de CrowdStrike Falcon Intelligence a Google Security Operations.
CrowdStrike Falcon Intelligence proporciona indicadores de inteligencia sobre amenazas, incluidos dominios, direcciones IP, hashes de archivos, URLs, direcciones de correo electrónico, rutas de acceso a archivos, nombres de archivos y nombres de mutex. El puente de Chronicle Intel sondea la API de CrowdStrike Intel y reenvía estos indicadores a Google Security Operations para la detección y el análisis de amenazas.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Acceso privilegiado a la consola de CrowdStrike Falcon con permisos para crear clientes de API
- Suscripción a CrowdStrike Falcon Intelligence
- Docker instalado en un sistema que puede ejecutarse de forma continua para sondear CrowdStrike y reenviar indicadores
- Todos los sistemas de la arquitectura de implementación están configurados en la zona horaria UTC.
Obtén credenciales de Google SecOps
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Descarga el archivo de la cuenta de servicio de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Haz clic en Descargar archivo de autenticación de transferencia.
- Guarda el archivo JSON en una ubicación segura del sistema en el que ejecutarás el contenedor de Docker (por ejemplo,
/path/to/service-account.json).
Configura el acceso a la API de CrowdStrike Falcon
Para permitir que Chronicle Intel Bridge recupere indicadores, debes crear un cliente de API con permisos de lectura para los indicadores de Falcon Intelligence.
Crea un cliente de API
- Accede a la consola de CrowdStrike Falcon.
- Ve a Asistencia y recursos > Recursos y herramientas > Clientes y claves de API.
- Haz clic en Agregar cliente de API nuevo.
- Proporciona los siguientes detalles de configuración:
- Nombre del cliente: Ingresa un nombre descriptivo (por ejemplo,
Chronicle Intel Bridge). - Descripción: Opcional: Ingresa
Integration with Google Chronicle for threat intelligence indicators.
- Nombre del cliente: Ingresa un nombre descriptivo (por ejemplo,
- En la sección Alcances de la API, selecciona la casilla de verificación Lectura junto a Indicadores (Falcon Intelligence).
- Haz clic en Crear.
Registra las credenciales de la API
Después de crear el cliente de API, aparecerá un diálogo con tus credenciales:
- ID de cliente: Es tu identificador de cliente único (por ejemplo,
a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6). - Secreto del cliente: Es tu clave secreta de la API.
- URL base: Es el nombre de dominio completamente calificado para tu región (por ejemplo,
api.us-2.crowdstrike.com).
- ID de cliente: Es tu identificador de cliente único (por ejemplo,
Extremos regionales
CrowdStrike Falcon usa diferentes extremos de API según tu región de la nube:
| Región | URL base | URL de la consola |
|---|---|---|
| US-1 | api.crowdstrike.com |
https://falcon.crowdstrike.com |
| US-2 | api.us-2.crowdstrike.com |
https://falcon.us-2.crowdstrike.com |
| EU-1 | api.eu-1.crowdstrike.com |
https://falcon.eu-1.crowdstrike.com |
| US-GOV-1 | api.laggar.gcw.crowdstrike.com |
https://falcon.laggar.gcw.crowdstrike.com |
| US-GOV-2 | api.us-gov-2.crowdstrike.com |
https://falcon.us-gov-2.crowdstrike.com |
Usa la URL base que corresponde a la región de tu instancia de CrowdStrike Falcon. El código de región (por ejemplo, us-1, us-2, eu-1) se usa en la configuración de Docker.
Implementa el puente de CrowdStrike Chronicle Intel
Chronicle Intel Bridge es un contenedor de Docker que se ejecuta de forma continua para sondear CrowdStrike Falcon Intelligence en busca de indicadores y reenviarlos a Google Security Operations.
Configura las variables de entorno
Antes de ejecutar el contenedor de Docker, configura las siguientes variables de entorno con las credenciales que recopilaste:
export FALCON_CLIENT_ID="your-client-id" export FALCON_CLIENT_SECRET="your-client-secret" export FALCON_CLOUD_REGION="your-cloud-region" export CHRONICLE_CUSTOMER_ID="your-customer-id" export CHRONICLE_REGION="your-chronicle-region"Reemplaza los valores de marcador de posición:
your-client-id: Es el ID de cliente del cliente de la API de CrowdStrike.your-client-secret: El secreto del cliente de la API de CrowdStrikeyour-cloud-region: Tu región de la nube de CrowdStrike (por ejemplo,us-1,us-2,eu-1,us-gov-1,us-gov-2)your-customer-id: Tu ID de cliente de Google SecOpsyour-chronicle-region: Tu región de Google SecOps (consulta la configuración de la región de Chronicle a continuación)
Configuración de la región de Chronicle
La variable de entorno CHRONICLE_REGION especifica qué extremo regional de Google SecOps se debe usar. Se admiten los siguientes valores:
Códigos de región heredados:
US(valor predeterminado si no se especifica)EUUKILAUSG
Códigos de regiones de Google Cloud:
EUROPEEUROPE-WEST2EUROPE-WEST3EUROPE-WEST6EUROPE-WEST9EUROPE-WEST12ME-WEST1ME-CENTRAL1ME-CENTRAL2ASIA-SOUTH1ASIA-SOUTHEAST1ASIA-NORTHEAST1AUSTRALIA-SOUTHEAST1SOUTHAMERICA-EAST1NORTHAMERICA-NORTHEAST2
Ejecuta el contenedor de Docker
Elige uno de los siguientes métodos de implementación:
Modo interactivo (en primer plano):
Usa este modo para realizar pruebas y solucionar problemas:
docker run -it --rm \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latestModo separado (segundo plano con política de reinicio):
Usa este modo para la implementación de producción:
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latestReemplaza
/path/to/your/service-account.jsonpor la ruta de acceso real al archivo JSON de la cuenta de servicio de Google SecOps que descargaste anteriormente.
Verifica la implementación
Después de iniciar el contenedor, verifica que los indicadores se reenvíen a Google Security Operations:
Verifica los registros del contenedor:
docker logs chronicle-intel-bridgeEn la consola de Google SecOps, busca eventos con el tipo de registro
CROWDSTRIKE_IOC.Verifica que los datos de los indicadores aparezcan en tu instancia de Google SecOps.
Configuración avanzada
Para obtener opciones de configuración avanzadas, puedes personalizar el comportamiento de Intel Bridge con un archivo de configuración.
- Descarga el archivo
config.inidel repositorio de CrowdStrike Chronicle Intel Bridge. - Modifica el archivo de configuración según tus requisitos.
Activa el archivo de configuración en el contenedor con la marca de volumen:
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ -v /path/to/your/config.ini:/ccib/config.ini:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latest
Tipos de indicadores admitidos
El analizador de indicadores de compromiso (IoC) de CrowdStrike admite los siguientes tipos de indicadores:
| Tipo de indicador | Descripción |
|---|---|
| dominio | Nombres de dominio asociados con actividad maliciosa |
| email_address | Direcciones de correo electrónico que se usan en los ataques |
| file_name | Nombres de archivos maliciosos |
| file_path | Rutas del sistema de archivos asociadas con amenazas |
| hash_md5 | Hashes MD5 de archivos |
| hash_sha1 | Hashes de archivos SHA-1 |
| hash_sha256 | Hashes de archivos SHA-256 |
| ip_address | Direcciones IP asociadas con actividad maliciosa |
| mutex_name | Nombres de exclusiones mutuas que usa el software malicioso |
| url | URLs asociadas con amenazas |
Administra el contenedor de Docker
Usa los siguientes comandos de Docker para administrar Chronicle Intel Bridge:
Cómo ver el estado del contenedor:
docker ps -a | grep chronicle-intel-bridgeCómo ver los registros del contenedor:
docker logs chronicle-intel-bridgeSigue los registros del contenedor en tiempo real:
docker logs -f chronicle-intel-bridgeDetén el contenedor:
docker stop chronicle-intel-bridgeInicia el contenedor:
docker start chronicle-intel-bridgeReinicia el contenedor:
docker restart chronicle-intel-bridgeQuita el contenedor:
docker stop chronicle-intel-bridge docker rm chronicle-intel-bridge
Soluciona problemas
Si tienes problemas con Chronicle Intel Bridge, haz lo siguiente:
- Verifica que las credenciales de la API de CrowdStrike sean correctas y tengan el alcance Indicators (Falcon Intelligence): READ.
- Verifica que el ID de cliente de Google SecOps sea correcto.
- Verifica que el archivo JSON de la cuenta de servicio de Google SecOps sea válido y accesible para el contenedor de Docker.
- Verifica que la región de la nube de CrowdStrike sea correcta (por ejemplo,
us-1,us-2,eu-1). - Verifica que la región de Google SecOps sea correcta.
Revisa los registros del contenedor en busca de mensajes de error:
docker logs chronicle-intel-bridgeVerifica la conectividad de red desde el host de Docker a los extremos de la API de CrowdStrike y a los extremos de transferencia de Google SecOps.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| cuando | metadata.event_timestamp | Valor copiado directamente |
| messageid | metadata.id | Valor copiado directamente |
| protocolo | network.ip_protocol | Valor copiado directamente |
| deviceName | principal.hostname | Valor copiado directamente |
| srcAddr | principal.ip | Valor copiado directamente |
| srcPort | principal.port | Valor copiado directamente |
| acción | security_result.action | Valor copiado directamente |
| dstAddr | target.ip | Valor copiado directamente |
| dstPort | target.port | Valor copiado directamente |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.