Raccogliere i log IOC di Crowdstrike

Supportato in:

Questo documento spiega come raccogliere i log IOC di CrowdStrike utilizzando CrowdStrike Chronicle Intel Bridge, un container Docker che inoltra gli indicatori di intelligence sulle minacce da CrowdStrike Falcon Intelligence a Google Security Operations.

CrowdStrike Falcon Intelligence fornisce indicatori di intelligence sulle minacce, tra cui domini, indirizzi IP, hash di file, URL, indirizzi email, percorsi di file, nomi di file e nomi di mutex. Chronicle Intel Bridge esegue il polling dell'API CrowdStrike Intel e inoltra questi indicatori a Google Security Operations per il rilevamento e l'analisi delle minacce.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Accesso con privilegi alla console CrowdStrike Falcon con autorizzazioni per creare client API
  • Abbonamento a CrowdStrike Falcon Intelligence
  • Docker installato su un sistema in grado di funzionare ininterrottamente per eseguire il polling di CrowdStrike e inoltrare gli indicatori
  • Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC

Ottenere le credenziali Google SecOps

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Scarica il file del account di servizio Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Fai clic su Scarica file di autenticazione importazione.
  4. Salva il file JSON in una posizione sicura del sistema in cui eseguirai il container Docker (ad esempio /path/to/service-account.json).

Configurare l'accesso all'API CrowdStrike Falcon

Per consentire a Chronicle Intel Bridge di recuperare gli indicatori, devi creare un client API con autorizzazioni di lettura per gli indicatori di Falcon Intelligence.

Crea client API

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai a Assistenza e risorse > Risorse e strumenti > Client e chiavi API.
  3. Fai clic su Aggiungi nuovo client API.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome client: inserisci un nome descrittivo (ad esempio, Chronicle Intel Bridge).
    • Descrizione: (facoltativo) inserisci Integration with Google Chronicle for threat intelligence indicators.
  5. Nella sezione Ambiti API, seleziona la casella di controllo Lettura accanto a Indicatori (Falcon Intelligence).
  6. Fai clic su Crea.

Registra le credenziali API

  • Dopo aver creato il client API, viene visualizzata una finestra di dialogo con le credenziali:

    • ID client: il tuo identificatore client univoco (ad esempio, a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)
    • Client secret: la tua chiave segreta API
    • URL di base: il nome di dominio completo qualificato per la tua regione (ad esempio, api.us-2.crowdstrike.com)

Endpoint regionali

CrowdStrike Falcon utilizza endpoint API diversi in base alla regione cloud:

Regione URL di base URL della console
US-1 api.crowdstrike.com https://falcon.crowdstrike.com
US-2 api.us-2.crowdstrike.com https://falcon.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com https://falcon.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com https://falcon.laggar.gcw.crowdstrike.com
US-GOV-2 api.us-gov-2.crowdstrike.com https://falcon.us-gov-2.crowdstrike.com

Utilizza l'URL di base corrispondente alla regione dell'istanza di CrowdStrike Falcon. Il codice regione (ad esempio us-1, us-2, eu-1) viene utilizzato nella configurazione Docker.

Implementare CrowdStrike Chronicle Intel Bridge

Chronicle Intel Bridge è un container Docker che viene eseguito continuamente per eseguire il polling di CrowdStrike Falcon Intelligence per gli indicatori e inoltrarli a Google Security Operations.

Imposta le variabili di ambiente

  1. Prima di eseguire il container Docker, imposta le seguenti variabili di ambiente con le credenziali che hai raccolto:

    export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_CLOUD_REGION="your-cloud-region"
export CHRONICLE_CUSTOMER_ID="your-customer-id"
export CHRONICLE_REGION="your-chronicle-region"

  2. Sostituisci i valori segnaposto:

    • your-client-id: l'ID client del client API di CrowdStrike
    • your-client-secret: il client secret del client API di CrowdStrike
    • your-cloud-region: la regione cloud di CrowdStrike (ad esempio us-1, us-2, eu-1, us-gov-1, us-gov-2)
    • your-customer-id: il tuo ID cliente Google SecOps
    • your-chronicle-region: la tua regione Google SecOps (vedi la configurazione della regione Chronicle di seguito)

Configurazione della regione Chronicle

La variabile di ambiente CHRONICLE_REGION specifica quale endpoint regionale di Google SecOps utilizzare. Sono supportati i seguenti valori:

  • Codici regione legacy:

    • US (valore predefinito se non specificato)
    • EU
    • UK
    • IL
    • AU
    • SG

  • Codici regione Google Cloud:

    • EUROPE
    • EUROPE-WEST2
    • EUROPE-WEST3
    • EUROPE-WEST6
    • EUROPE-WEST9
    • EUROPE-WEST12
    • ME-WEST1
    • ME-CENTRAL1
    • ME-CENTRAL2
    • ASIA-SOUTH1
    • ASIA-SOUTHEAST1
    • ASIA-NORTHEAST1
    • AUSTRALIA-SOUTHEAST1
    • SOUTHAMERICA-EAST1
    • NORTHAMERICA-NORTHEAST2

Esegui il container Docker

Scegli uno dei seguenti metodi di deployment:

  • Modalità interattiva (in primo piano):

    Utilizza questa modalità per i test e la risoluzione dei problemi:

    docker run -it --rm \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

  • Modalità detached (in background con criterio di riavvio):

    Utilizza questa modalità per il deployment di produzione:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

    Sostituisci /path/to/your/service-account.json con il percorso effettivo del file JSON del account di servizio Google SecOps che hai scaricato in precedenza.

Verifica il deployment

Dopo aver avviato il container, verifica che gli indicatori vengano inoltrati a Google Security Operations:

  1. Controlla i log dei container:

    docker logs chronicle-intel-bridge

  2. Nella console Google SecOps, cerca gli eventi con il tipo di log CROWDSTRIKE_IOC.

  3. Verifica che i dati degli indicatori vengano visualizzati nell'istanza Google SecOps.

Configurazione avanzata

Per le opzioni di configurazione avanzate, puoi personalizzare il comportamento di Intel Bridge utilizzando un file di configurazione.

  1. Scarica il file config.ini dal repository CrowdStrike Chronicle Intel Bridge.
  2. Modifica il file di configurazione in base ai tuoi requisiti.

  3. Monta il file di configurazione nel container utilizzando il flag del volume:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  -v /path/to/your/config.ini:/ccib/config.ini:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

Tipi di indicatori supportati

Il parser dell'indicatore di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:

Tipo di indicatore Descrizione
dominio Nomi di dominio associati ad attività dannose
email_address Indirizzi email utilizzati negli attacchi
file_name Nomi di file dannosi
file_path Percorsi del file system associati alle minacce
hash_md5 Hash MD5 dei file
hash_sha1 Hash dei file SHA-1
hash_sha256 Hash SHA-256 dei file
ip_address Indirizzi IP associati ad attività dannose
mutex_name Nomi di mutex utilizzati dal malware
url URL associati alle minacce

Gestisci il container Docker

Utilizza i seguenti comandi Docker per gestire Chronicle Intel Bridge:

  • Visualizza lo stato del contenitore:

    docker ps -a | grep chronicle-intel-bridge

  • Visualizza i log dei container:

    docker logs chronicle-intel-bridge

  • Segui i log dei container in tempo reale:

    docker logs -f chronicle-intel-bridge

  • Interrompi il container:

    docker stop chronicle-intel-bridge

  • Avvia il container:

    docker start chronicle-intel-bridge

  • Riavvia il container:

    docker restart chronicle-intel-bridge

  • Rimuovere il container:

    docker stop chronicle-intel-bridge
docker rm chronicle-intel-bridge

Risoluzione dei problemi

Se riscontri problemi con Chronicle Intel Bridge:

  1. Verifica che le credenziali dell'API CrowdStrike siano corrette e che abbiano l'ambito Indicators (Falcon Intelligence): READ.
  2. Verifica che l'ID cliente Google SecOps sia corretto.
  3. Verifica che il file JSON dell'account di servizio Google SecOps sia valido e accessibile al container Docker.
  4. Verifica che la regione cloud di CrowdStrike sia corretta (ad esempio, us-1, us-2, eu-1).
  5. Verifica che la regione Google SecOps sia corretta.

  6. Controlla i log dei container per individuare messaggi di errore:

    docker logs chronicle-intel-bridge

  7. Verifica la connettività di rete dall'host Docker sia agli endpoint API di CrowdStrike sia agli endpoint di importazione di Google SecOps.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
quando metadata.event_timestamp Valore copiato direttamente
messageid metadata.id Valore copiato direttamente
protocollo network.ip_protocol Valore copiato direttamente
deviceName principal.hostname Valore copiato direttamente
srcAddr principal.ip Valore copiato direttamente
srcPort principal.port Valore copiato direttamente
azione security_result.action Valore copiato direttamente
dstAddr target.ip Valore copiato direttamente
dstPort target.port Valore copiato direttamente

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.