Collecter les journaux d'IOC Crowdstrike

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux d'IOC CrowdStrike à l'aide de CrowdStrike Chronicle Intel Bridge, un conteneur Docker qui transfère les indicateurs de renseignements sur les menaces de CrowdStrike Falcon Intelligence vers Google Security Operations.

CrowdStrike Falcon Intelligence fournit des indicateurs de renseignements sur les menaces, y compris des domaines, des adresses IP, des hachages de fichiers, des URL, des adresses e-mail, des chemins d'accès aux fichiers, des noms de fichiers et des noms de mutex. Le Chronicle Intel Bridge interroge l'API CrowdStrike Intel et transmet ces indicateurs à Google Security Operations pour la détection et l'analyse des menaces.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Accès privilégié à la console CrowdStrike Falcon avec les autorisations nécessaires pour créer des clients API
Abonnement CrowdStrike Falcon Intelligence
Docker installé sur un système pouvant s'exécuter en continu pour interroger CrowdStrike et transférer les indicateurs
Tous les systèmes de l'architecture de déploiement sont configurés sur le fuseau horaire UTC.

Obtenir les identifiants Google SecOps

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Télécharger le fichier du compte de service Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Cliquez sur Télécharger le fichier d'authentification d'ingestion.
Enregistrez le fichier JSON dans un emplacement sécurisé du système sur lequel vous exécuterez le conteneur Docker (par exemple, /path/to/service-account.json).

Configurer l'accès à l'API CrowdStrike Falcon

Pour permettre à Chronicle Intel Bridge de récupérer des indicateurs, vous devez créer un client API disposant d'autorisations de lecture pour les indicateurs Falcon Intelligence.

Créer un client API

Connectez-vous à la console CrowdStrike Falcon.
Accédez à Assistance et ressources > Ressources et outils > Clés et clients API.
Cliquez sur Ajouter un client API.
Fournissez les informations de configuration suivantes :
- Nom du client : saisissez un nom descriptif (par exemple, Chronicle Intel Bridge).
- Description : facultatif. Saisissez Integration with Google Chronicle for threat intelligence indicators.
Dans la section Étendues de l'API, cochez la case Lire à côté de Indicateurs (Falcon Intelligence).
Cliquez sur Créer.

Enregistrer les identifiants de l'API

Une fois le client API créé, une boîte de dialogue affiche vos identifiants :
- ID client : votre identifiant client unique (par exemple, a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)
- Code secret du client : votre clé secrète de l'API
- URL de base : nom de domaine complet pour votre région (par exemple, api.us-2.crowdstrike.com)
Important : Copiez et enregistrez immédiatement le code secret du client. Vous ne pourrez plus le récupérer après avoir fermé cette boîte de dialogue.
Remarque : Votre URL de base varie en fonction de votre région cloud CrowdStrike. Utilisez l'URL de base correcte affichée dans la boîte de dialogue.

Points de terminaison régionaux

CrowdStrike Falcon utilise différents points de terminaison d'API en fonction de votre région cloud :

Région	URL de base	URL de la console
US-1	`api.crowdstrike.com`	`https://falcon.crowdstrike.com`
US-2	`api.us-2.crowdstrike.com`	`https://falcon.us-2.crowdstrike.com`
EU-1	`api.eu-1.crowdstrike.com`	`https://falcon.eu-1.crowdstrike.com`
US-GOV-1	`api.laggar.gcw.crowdstrike.com`	`https://falcon.laggar.gcw.crowdstrike.com`
US-GOV-2	`api.us-gov-2.crowdstrike.com`	`https://falcon.us-gov-2.crowdstrike.com`

Utilisez l'URL de base qui correspond à la région de votre instance CrowdStrike Falcon. Le code de région (par exemple, us-1, us-2, eu-1) est utilisé dans la configuration Docker.

Déployer le pont CrowdStrike Chronicle Intel

Chronicle Intel Bridge est un conteneur Docker qui s'exécute en continu pour interroger CrowdStrike Falcon Intelligence afin d'obtenir des indicateurs et les transférer vers Google Security Operations.

Définir des variables d'environnement

Avant d'exécuter le conteneur Docker, définissez les variables d'environnement suivantes avec les identifiants que vous avez collectés :

export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_CLOUD_REGION="your-cloud-region"
export CHRONICLE_CUSTOMER_ID="your-customer-id"
export CHRONICLE_REGION="your-chronicle-region"

Remplacez les valeurs d'espace réservé :
- your-client-id : ID client du client de l'API CrowdStrike
- your-client-secret : code secret du client de l'API CrowdStrike
- your-cloud-region : région cloud CrowdStrike (par exemple, us-1, us-2, eu-1, us-gov-1, us-gov-2)
- your-customer-id : votre numéro client Google SecOps
- your-chronicle-region : votre région Google SecOps (voir la configuration de la région Chronicle ci-dessous)

Configuration de la région Chronicle

La variable d'environnement CHRONICLE_REGION spécifie le point de terminaison régional Google SecOps à utiliser. Les valeurs suivantes sont acceptées :

Anciens codes régionaux :
- US (valeur par défaut si aucune valeur n'est spécifiée)
- EU
- UK
- IL
- AU
- SG
Codes de région Google Cloud :
- EUROPE
- EUROPE-WEST2
- EUROPE-WEST3
- EUROPE-WEST6
- EUROPE-WEST9
- EUROPE-WEST12
- ME-WEST1
- ME-CENTRAL1
- ME-CENTRAL2
- ASIA-SOUTH1
- ASIA-SOUTHEAST1
- ASIA-NORTHEAST1
- AUSTRALIA-SOUTHEAST1
- SOUTHAMERICA-EAST1
- NORTHAMERICA-NORTHEAST2
Remarque : Les codes régionaux ne sont pas sensibles à la casse. Si aucune valeur n'est spécifiée ou si une valeur non reconnue est fournie, le point de terminaison multirégional des États-Unis est utilisé par défaut.

Exécuter le conteneur Docker

Choisissez l'une des méthodes de déploiement suivantes :

Mode interactif (premier plan) :

Utilisez ce mode pour les tests et le dépannage :

docker run -it --rm \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

Mode détaché (arrière-plan avec règle de redémarrage) :

Utilisez ce mode pour le déploiement en production :

docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

Remplacez /path/to/your/service-account.json par le chemin d'accès réel au fichier JSON du compte de service Google SecOps que vous avez téléchargé précédemment.

Vérifier le déploiement

Après avoir démarré le conteneur, vérifiez que les indicateurs sont transférés vers Google Security Operations :

Vérifiez les journaux du conteneur :
```
docker logs chronicle-intel-bridge
```
Dans la console Google SecOps, recherchez les événements dont le type de journal est CROWDSTRIKE_IOC.
Vérifiez que les données d'indicateur s'affichent dans votre instance Google SecOps.

Configuration avancée

Pour des options de configuration avancées, vous pouvez personnaliser le comportement d'Intel Bridge à l'aide d'un fichier de configuration.

Téléchargez le fichier config.ini depuis le dépôt CrowdStrike Chronicle Intel Bridge.
Modifiez le fichier de configuration en fonction de vos besoins.

Installez le fichier de configuration dans le conteneur à l'aide de l'indicateur de volume :

docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  -v /path/to/your/config.ini:/ccib/config.ini:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

Types d'indicateurs acceptés

L'analyseur d'indicateurs de compromission (IoC) CrowdStrike est compatible avec les types d'indicateurs suivants :

Type d'indicateur	Description
domaine	Noms de domaine associés à une activité malveillante
email_address	Adresses e-mail utilisées lors d'attaques
file_name	Noms de fichiers malveillants
file_path	Chemins d'accès au système de fichiers associés aux menaces
hash_md5	Hachages MD5 des fichiers
hash_sha1	Hachages de fichiers SHA-1
hash_sha256	Hachages SHA-256 des fichiers
ip_address	Adresses IP associées à une activité malveillante
mutex_name	Noms de mutex utilisés par les logiciels malveillants
url	URL associées aux menaces

Gérer le conteneur Docker

Utilisez les commandes Docker suivantes pour gérer Chronicle Intel Bridge :

Afficher l'état du conteneur :

docker ps -a | grep chronicle-intel-bridge

Afficher les journaux de conteneur :
```
docker logs chronicle-intel-bridge
```
Suivez les journaux de conteneur en temps réel :
```
docker logs -f chronicle-intel-bridge
```
Arrêtez le conteneur :
```
docker stop chronicle-intel-bridge
```
Démarrez le conteneur :
```
docker start chronicle-intel-bridge
```
Redémarrez le conteneur :
```
docker restart chronicle-intel-bridge
```

Supprimez le conteneur :

docker stop chronicle-intel-bridge
docker rm chronicle-intel-bridge

Dépannage

Si vous rencontrez des problèmes avec Chronicle Intel Bridge :

Vérifiez que les identifiants de l'API CrowdStrike sont corrects et qu'ils disposent du champ d'application Indicators (Falcon Intelligence): READ.
Vérifiez que le numéro client Google SecOps est correct.
Vérifiez que le fichier JSON du compte de service Google SecOps est valide et accessible au conteneur Docker.
Vérifiez que la région cloud CrowdStrike est correcte (par exemple, us-1, us-2, eu-1).
Vérifiez que la région Google SecOps est correcte.
Recherchez les messages d'erreur dans les journaux du conteneur :
```
docker logs chronicle-intel-bridge
```
Vérifiez la connectivité réseau entre l'hôte Docker et les points de terminaison de l'API CrowdStrike et d'ingestion Google SecOps.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
date	metadata.event_timestamp	Valeur copiée directement
messageid	metadata.id	Valeur copiée directement
protocol	network.ip_protocol	Valeur copiée directement
deviceName	principal.hostname	Valeur copiée directement
srcAddr	principal.ip	Valeur copiée directement
srcPort	principal.port	Valeur copiée directement
action	security_result.action	Valeur copiée directement
dstAddr	target.ip	Valeur copiée directement
dstPort	target.port	Valeur copiée directement

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.