Mengumpulkan log IOC Crowdstrike
Dokumen ini menjelaskan cara mengumpulkan log IOC CrowdStrike menggunakan CrowdStrike Chronicle Intel Bridge, yaitu penampung Docker yang meneruskan indikator intelijen ancaman dari CrowdStrike Falcon Intelligence ke Google Security Operations.
CrowdStrike Falcon Intelligence menyediakan indikator intelijen ancaman, termasuk domain, alamat IP, hash file, URL, alamat email, jalur file, nama file, dan nama mutex. Chronicle Intel Bridge melakukan polling CrowdStrike Intel API dan meneruskan indikator ini ke Google Security Operations untuk deteksi dan analisis ancaman.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke Konsol CrowdStrike Falcon dengan izin untuk membuat klien API
- Langganan CrowdStrike Falcon Intelligence
- Docker diinstal pada sistem yang dapat berjalan terus-menerus untuk melakukan polling CrowdStrike dan meneruskan indikator
- Semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC
Mendapatkan kredensial Google SecOps
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Mendownload file akun layanan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Klik Download File Autentikasi Penyerapan.
- Simpan file JSON ke lokasi yang aman di sistem tempat Anda akan menjalankan container Docker (misalnya,
/path/to/service-account.json).
Mengonfigurasi akses API CrowdStrike Falcon
Untuk mengaktifkan Chronicle Intel Bridge agar dapat mengambil indikator, Anda perlu membuat klien API dengan izin baca untuk Falcon Intelligence Indicators.
Buat klien API
- Login ke Konsol CrowdStrike Falcon.
- Buka Dukungan dan sumber daya > Sumber daya dan alat > Klien dan Kunci API.
- Klik Tambahkan klien API baru.
- Berikan detail konfigurasi berikut:
- Nama klien: Masukkan nama deskriptif (misalnya,
Chronicle Intel Bridge). - Deskripsi: Opsional: Masukkan
Integration with Google Chronicle for threat intelligence indicators.
- Nama klien: Masukkan nama deskriptif (misalnya,
- Di bagian API scopes, centang kotak Read di samping Indicators (Falcon Intelligence).
- Klik Create.
Mencatat kredensial API
Setelah membuat klien API, dialog akan menampilkan kredensial Anda:
- Client ID: ID klien unik Anda (misalnya,
a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6) - Rahasia Klien: Kunci rahasia API Anda
- URL Dasar: Nama domain yang memenuhi syarat untuk wilayah Anda (misalnya,
api.us-2.crowdstrike.com)
- Client ID: ID klien unik Anda (misalnya,
Endpoint regional
CrowdStrike Falcon menggunakan endpoint API yang berbeda berdasarkan region cloud Anda:
| Wilayah | URL Dasar | URL Konsol |
|---|---|---|
| US-1 | api.crowdstrike.com |
https://falcon.crowdstrike.com |
| US-2 | api.us-2.crowdstrike.com |
https://falcon.us-2.crowdstrike.com |
| EU-1 | api.eu-1.crowdstrike.com |
https://falcon.eu-1.crowdstrike.com |
| US-GOV-1 | api.laggar.gcw.crowdstrike.com |
https://falcon.laggar.gcw.crowdstrike.com |
| US-GOV-2 | api.us-gov-2.crowdstrike.com |
https://falcon.us-gov-2.crowdstrike.com |
Gunakan URL dasar yang sesuai dengan region instance CrowdStrike Falcon Anda. Kode region (misalnya, us-1, us-2, eu-1) digunakan dalam konfigurasi Docker.
Men-deploy CrowdStrike Chronicle Intel Bridge
Chronicle Intel Bridge adalah penampung Docker yang berjalan terus-menerus untuk melakukan polling pada CrowdStrike Falcon Intelligence guna mendapatkan indikator dan meneruskannya ke Google Security Operations.
Menetapkan variabel lingkungan
Sebelum menjalankan container Docker, tetapkan variabel lingkungan berikut dengan kredensial yang Anda kumpulkan:
export FALCON_CLIENT_ID="your-client-id" export FALCON_CLIENT_SECRET="your-client-secret" export FALCON_CLOUD_REGION="your-cloud-region" export CHRONICLE_CUSTOMER_ID="your-customer-id" export CHRONICLE_REGION="your-chronicle-region"Ganti nilai placeholder:
your-client-id: ID Klien dari klien CrowdStrike APIyour-client-secret: Rahasia Klien dari klien CrowdStrike APIyour-cloud-region: Region cloud CrowdStrike Anda (misalnya,us-1,us-2,eu-1,us-gov-1,us-gov-2)your-customer-id: ID Pelanggan Google SecOps Andayour-chronicle-region: Region Google SecOps Anda (lihat konfigurasi region Chronicle di bawah)
Konfigurasi region Chronicle
Variabel lingkungan CHRONICLE_REGION menentukan endpoint regional Google SecOps yang akan digunakan. Nilai-nilai berikut didukung:
Kode wilayah lama:
US(default jika tidak ditentukan)EUUKILAUSG
Kode region Google Cloud:
EUROPEEUROPE-WEST2EUROPE-WEST3EUROPE-WEST6EUROPE-WEST9EUROPE-WEST12ME-WEST1ME-CENTRAL1ME-CENTRAL2ASIA-SOUTH1ASIA-SOUTHEAST1ASIA-NORTHEAST1AUSTRALIA-SOUTHEAST1SOUTHAMERICA-EAST1NORTHAMERICA-NORTHEAST2
Menjalankan container Docker
Pilih salah satu metode deployment berikut:
Mode interaktif (latar depan):
Gunakan mode ini untuk pengujian dan pemecahan masalah:
docker run -it --rm \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latestMode terpisah (latar belakang dengan kebijakan mulai ulang):
Gunakan mode ini untuk deployment produksi:
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latestGanti
/path/to/your/service-account.jsondengan jalur sebenarnya ke file JSON akun layanan Google SecOps yang Anda download sebelumnya.
Memverifikasi deployment
Setelah memulai penampung, pastikan indikator diteruskan ke Google Security Operations:
Periksa log container:
docker logs chronicle-intel-bridgeDi konsol Google SecOps, cari peristiwa dengan jenis log
CROWDSTRIKE_IOC.Pastikan data indikator muncul di instance Google SecOps Anda.
Konfigurasi lanjutan
Untuk opsi konfigurasi lanjutan, Anda dapat menyesuaikan perilaku Intel Bridge menggunakan file konfigurasi.
- Download file
config.inidari repositori CrowdStrike Chronicle Intel Bridge. - Ubah file konfigurasi sesuai dengan persyaratan Anda.
Pasang file konfigurasi ke container menggunakan tanda volume:
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ -v /path/to/your/config.ini:/ccib/config.ini:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latest
Jenis indikator yang didukung
Parser Indikator Gangguan (IoC) CrowdStrike mendukung jenis indikator berikut:
| Jenis Indikator | Deskripsi |
|---|---|
| domain | Nama domain yang terkait dengan aktivitas berbahaya |
| email_address | Alamat email yang digunakan dalam serangan |
| file_name | Nama file berbahaya |
| file_path | Jalur sistem file yang terkait dengan ancaman |
| hash_md5 | Hash file MD5 |
| hash_sha1 | Hash file SHA-1 |
| hash_sha256 | Hash file SHA-256 |
| ip_address | Alamat IP yang terkait dengan aktivitas berbahaya |
| mutex_name | Nama mutex yang digunakan oleh malware |
| url | URL yang terkait dengan ancaman |
Mengelola container Docker
Gunakan perintah Docker berikut untuk mengelola Chronicle Intel Bridge:
Melihat status penampung:
docker ps -a | grep chronicle-intel-bridgeMelihat log container:
docker logs chronicle-intel-bridgeIkuti log container secara real-time:
docker logs -f chronicle-intel-bridgeHentikan container:
docker stop chronicle-intel-bridgeMulai penampung:
docker start chronicle-intel-bridgeMulai ulang penampung:
docker restart chronicle-intel-bridgeHapus container:
docker stop chronicle-intel-bridge docker rm chronicle-intel-bridge
Pemecahan masalah
Jika Anda mengalami masalah dengan Chronicle Intel Bridge:
- Pastikan kredensial CrowdStrike API sudah benar dan memiliki cakupan Indicators (Falcon Intelligence): READ.
- Pastikan ID Pelanggan Google SecOps sudah benar.
- Pastikan file JSON akun layanan Google SecOps valid dan dapat diakses oleh penampung Docker.
- Pastikan region cloud CrowdStrike sudah benar (misalnya,
us-1,us-2,eu-1). - Pastikan region Google SecOps sudah benar.
Periksa log penampung untuk melihat pesan error:
docker logs chronicle-intel-bridgeVerifikasi konektivitas jaringan dari host Docker ke endpoint API CrowdStrike dan endpoint penyerapan Google SecOps.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| kapan | metadata.event_timestamp | Nilai disalin secara langsung |
| messageid | metadata.id | Nilai disalin secara langsung |
| protokol | network.ip_protocol | Nilai disalin secara langsung |
| deviceName | principal.hostname | Nilai disalin secara langsung |
| srcAddr | principal.ip | Nilai disalin secara langsung |
| srcPort | principal.port | Nilai disalin secara langsung |
| tindakan | security_result.action | Nilai disalin secara langsung |
| dstAddr | target.ip | Nilai disalin secara langsung |
| dstPort | target.port | Nilai disalin secara langsung |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.