Crowdstrike IOC ログを収集する
このドキュメントでは、CrowdStrike Chronicle Intel Bridge を使用して CrowdStrike IOC ログを収集する方法について説明します。CrowdStrike Chronicle Intel Bridge は、CrowdStrike Falcon Intelligence から Google Security Operations に脅威インテリジェンス指標を転送する Docker コンテナです。
CrowdStrike Falcon Intelligence は、ドメイン、IP アドレス、ファイル ハッシュ、URL、メールアドレス、ファイルパス、ファイル名、mutex 名などの脅威インテリジェンス指標を提供します。Chronicle Intel Bridge は CrowdStrike Intel API をポーリングし、これらの指標を Google Security Operations に転送して、脅威の検出と分析を行います。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- API クライアントを作成する権限を持つ CrowdStrike Falcon コンソールへの特権アクセス
- CrowdStrike Falcon Intelligence サブスクリプション
- CrowdStrike をポーリングしてインジケーターを転送するために継続的に実行できるシステムにインストールされた Docker
- デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されている
Google SecOps の認証情報を取得する
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Google SecOps サービス アカウント ファイルをダウンロードする
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- [Ingestion Authentication File をダウンロード] をクリックします。
- JSON ファイルを、Docker コンテナを実行するシステムの安全な場所に保存します(例:
/path/to/service-account.json)。
CrowdStrike Falcon API アクセスを構成する
Chronicle Intel Bridge がインジケーターを取得できるようにするには、Falcon Intelligence Indicators の読み取り権限を持つ API クライアントを作成する必要があります。
API クライアントを作成する
- CrowdStrike Falcon Console にログインします。
- [サポートとリソース> リソースとツール> API クライアントとキー] に移動します。
- [新しい API クライアントを追加] をクリックします。
- 次の構成の詳細を入力します。
- クライアント名: わかりやすい名前を入力します(例:
Chronicle Intel Bridge)。 - 説明: 省略可: 「
Integration with Google Chronicle for threat intelligence indicators」と入力します。
- クライアント名: わかりやすい名前を入力します(例:
- [API スコープ] セクションで、[指標(Falcon Intelligence)] の横にある [読み取り] チェックボックスをオンにします。
- [作成] をクリックします。
API 認証情報を記録する
API クライアントを作成すると、認証情報がダイアログに表示されます。
- クライアント ID: 一意のクライアント ID(例:
a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6) - Client Secret: API シークレット キー
- ベース URL: リージョンの完全修飾ドメイン名(例:
api.us-2.crowdstrike.com)
- クライアント ID: 一意のクライアント ID(例:
リージョン エンドポイント
CrowdStrike Falcon は、クラウド リージョンに応じて異なる API エンドポイントを使用します。
| 地域 | ベース URL | コンソールの URL |
|---|---|---|
| US-1 | api.crowdstrike.com |
https://falcon.crowdstrike.com |
| US-2 | api.us-2.crowdstrike.com |
https://falcon.us-2.crowdstrike.com |
| EU-1 | api.eu-1.crowdstrike.com |
https://falcon.eu-1.crowdstrike.com |
| US-GOV-1 | api.laggar.gcw.crowdstrike.com |
https://falcon.laggar.gcw.crowdstrike.com |
| US-GOV-2 | api.us-gov-2.crowdstrike.com |
https://falcon.us-gov-2.crowdstrike.com |
CrowdStrike Falcon インスタンスのリージョンに対応するベース URL を使用します。リージョン コード(us-1、us-2、eu-1 など)は、Docker 構成で使用されます。
CrowdStrike Chronicle Intel Bridge をデプロイする
Chronicle Intel Bridge は、継続的に実行されて CrowdStrike Falcon Intelligence から指標をポーリングし、それらを Google Security Operations に転送する Docker コンテナです。
環境変数を設定する
Docker コンテナを実行する前に、収集した認証情報を使用して次の環境変数を設定します。
export FALCON_CLIENT_ID="your-client-id" export FALCON_CLIENT_SECRET="your-client-secret" export FALCON_CLOUD_REGION="your-cloud-region" export CHRONICLE_CUSTOMER_ID="your-customer-id" export CHRONICLE_REGION="your-chronicle-region"プレースホルダの値を置き換えます。
your-client-id: CrowdStrike API クライアントのクライアント IDyour-client-secret: CrowdStrike API クライアントのクライアント シークレットyour-cloud-region: CrowdStrike クラウド リージョン(us-1、us-2、eu-1、us-gov-1、us-gov-2など)your-customer-id: Google SecOps のお客様 IDyour-chronicle-region: Google SecOps リージョン(下記の Chronicle リージョン構成を参照)
Chronicle リージョンの構成
CHRONICLE_REGION 環境変数で、使用する Google SecOps リージョン エンドポイントを指定します。次の値を使用できます。
以前の地域コード:
US(指定されていない場合のデフォルト)EUUKILAUSG
Google Cloud リージョン コード:
EUROPEEUROPE-WEST2EUROPE-WEST3EUROPE-WEST6EUROPE-WEST9EUROPE-WEST12ME-WEST1ME-CENTRAL1ME-CENTRAL2ASIA-SOUTH1ASIA-SOUTHEAST1ASIA-NORTHEAST1AUSTRALIA-SOUTHEAST1SOUTHAMERICA-EAST1NORTHAMERICA-NORTHEAST2
Docker コンテナを実行する
次のいずれかのデプロイ方法を選択します。
インタラクティブ モード(フォアグラウンド):
テストとトラブルシューティングには、次のモードを使用します。
docker run -it --rm \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latest切り離しモード(再起動ポリシーを含むバックグラウンド):
本番環境のデプロイには、このモードを使用します。
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latest/path/to/your/service-account.jsonは、前にダウンロードした Google SecOps サービス アカウントの JSON ファイルの実際のパスに置き換えます。
デプロイを確認する
コンテナを起動したら、インジケーターが Google Security Operations に転送されていることを確認します。
コンテナログを確認します。
docker logs chronicle-intel-bridgeGoogle SecOps コンソールで、ログタイプ
CROWDSTRIKE_IOCのイベントを検索します。インジケーター データが Google SecOps インスタンスに表示されていることを確認します。
詳細構成
高度な構成オプションについては、構成ファイルを使用して Intel Bridge の動作をカスタマイズできます。
- CrowdStrike Chronicle Intel Bridge リポジトリから
config.iniファイルをダウンロードします。 - 要件に応じて構成ファイルを変更します。
ボリューム フラグを使用して構成ファイルをコンテナにマウントします。
docker run -d --restart unless-stopped \ --name chronicle-intel-bridge \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e CHRONICLE_REGION="$CHRONICLE_REGION" \ -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \ -v /path/to/your/service-account.json:/gcloud/sa.json:ro \ -v /path/to/your/config.ini:/ccib/config.ini:ro \ quay.io/crowdstrike/chronicle-intel-bridge:latest
サポートされている指標タイプ
CrowdStrike の侵害の指標(IoC)パーサーは、次の指標タイプをサポートしています。
| インジケーターのタイプ | 説明 |
|---|---|
| domain | 悪意のある行為に関連付けられているドメイン名 |
| email_address | 攻撃で使用されたメールアドレス |
| file_name | 悪意のあるファイル名 |
| file_path | 脅威に関連付けられたファイル システム パス |
| hash_md5 | MD5 ファイル ハッシュ |
| hash_sha1 | SHA-1 ファイル ハッシュ |
| hash_sha256 | SHA-256 ファイル ハッシュ |
| ip_address | 悪意のあるアクティビティに関連付けられた IP アドレス |
| mutex_name | マルウェアで使用される Mutex 名 |
| url | 脅威に関連付けられた URL |
Docker コンテナを管理する
次の Docker コマンドを使用して、Chronicle Intel Bridge を管理します。
コンテナのステータスを表示する:
docker ps -a | grep chronicle-intel-bridgeコンテナログを表示する:
docker logs chronicle-intel-bridgeコンテナログをリアルタイムで追跡する:
docker logs -f chronicle-intel-bridgeコンテナを停止します。
docker stop chronicle-intel-bridgeコンテナを起動します。
docker start chronicle-intel-bridgeコンテナを再起動します。
docker restart chronicle-intel-bridgeコンテナを削除します。
docker stop chronicle-intel-bridge docker rm chronicle-intel-bridge
トラブルシューティング
Chronicle Intel Bridge に関する問題が発生した場合は、次の手順を行います。
- CrowdStrike API 認証情報が正しく、Indicators (Falcon Intelligence): READ スコープがあることを確認します。
- Google SecOps のお客様 ID が正しいことを確認します。
- Google SecOps サービス アカウントの JSON ファイルが有効で、Docker コンテナからアクセスできることを確認します。
- CrowdStrike クラウド リージョンが正しいこと(
us-1、us-2、eu-1など)を確認します。 - Google SecOps リージョンが正しいことを確認します。
コンテナログでエラー メッセージを確認します。
docker logs chronicle-intel-bridgeDocker ホストから CrowdStrike API エンドポイントと Google SecOps 取り込みエンドポイントの両方へのネットワーク接続を確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| when | metadata.event_timestamp | 値を直接コピーしました |
| messageid | metadata.id | 値を直接コピーしました |
| プロトコル | network.ip_protocol | 値を直接コピーしました |
| deviceName | principal.hostname | 値を直接コピーしました |
| srcAddr | principal.ip | 値を直接コピーしました |
| srcPort | principal.port | 値を直接コピーしました |
| アクション | security_result.action | 値を直接コピーしました |
| dstAddr | target.ip | 値を直接コピーしました |
| dstPort | target.port | 値を直接コピーしました |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。