Coletar registros de IOC da Crowdstrike

Compatível com:

Este documento explica como coletar registros de IOC do CrowdStrike usando o CrowdStrike Chronicle Intel Bridge, um contêiner do Docker que encaminha indicadores de inteligência contra ameaças do CrowdStrike Falcon Intelligence para o Google Security Operations.

O CrowdStrike Falcon Intelligence fornece indicadores de inteligência de ameaças, incluindo domínios, endereços IP, hashes de arquivos, URLs, endereços de e-mail, caminhos de arquivos, nomes de arquivos e nomes de mutex. A Chronicle Intel Bridge pesquisa a API CrowdStrike Intel e encaminha esses indicadores para o Google Security Operations para detecção e análise de ameaças.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao console do CrowdStrike Falcon com permissões para criar clientes de API
  • Assinatura do CrowdStrike Falcon Intelligence
  • Docker instalado em um sistema que pode ser executado continuamente para fazer polling do CrowdStrike e encaminhar indicadores
  • Todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

Receber credenciais do Google SecOps

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Baixar o arquivo da conta de serviço do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Clique em Fazer o download do arquivo de autenticação de ingestão.
  4. Salve o arquivo JSON em um local seguro no sistema em que você vai executar o contêiner do Docker (por exemplo, /path/to/service-account.json).

Configurar o acesso à API do CrowdStrike Falcon

Para permitir que o Chronicle Intel Bridge recupere indicadores, crie um cliente de API com permissões de leitura para os indicadores do Falcon Intelligence.

Criar cliente de API

  1. Faça login no CrowdStrike Falcon Console (em inglês).
  2. Acesse Suporte e recursos > Recursos e ferramentas > Clientes e chaves de API.
  3. Clique em Adicionar novo cliente de API.
  4. Informe os seguintes detalhes de configuração:
    • Nome do cliente: insira um nome descritivo (por exemplo, Chronicle Intel Bridge).
    • Descrição: opcional. Insira Integration with Google Chronicle for threat intelligence indicators.
  5. Na seção Escopos da API, marque a caixa de seleção Leitura ao lado de Indicadores (Falcon Intelligence).
  6. Clique em Criar.

Registrar credenciais de API

  • Depois de criar o cliente de API, uma caixa de diálogo vai mostrar suas credenciais:

    • ID do cliente: seu identificador exclusivo do cliente (por exemplo, a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)
    • Chave secreta do cliente: sua chave secreta da API
    • URL base: o nome de domínio totalmente qualificado da sua região (por exemplo, api.us-2.crowdstrike.com)

Endpoints regionais

O CrowdStrike Falcon usa diferentes endpoints de API com base na sua região da nuvem:

Região URL de base URL do console
US-1 api.crowdstrike.com https://falcon.crowdstrike.com
US-2 api.us-2.crowdstrike.com https://falcon.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com https://falcon.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com https://falcon.laggar.gcw.crowdstrike.com
US-GOV-2 api.us-gov-2.crowdstrike.com https://falcon.us-gov-2.crowdstrike.com

Use o URL base que corresponde à região da sua instância do CrowdStrike Falcon. O código da região (por exemplo, us-1, us-2, eu-1) é usado na configuração do Docker.

Implante a CrowdStrike Chronicle Intel Bridge

A Chronicle Intel Bridge é um contêiner do Docker que é executado continuamente para consultar a CrowdStrike Falcon Intelligence em busca de indicadores e encaminhá-los para o Google Security Operations.

Defina as variáveis de ambiente

  1. Antes de executar o contêiner do Docker, defina as seguintes variáveis de ambiente com as credenciais coletadas:

    export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_CLOUD_REGION="your-cloud-region"
export CHRONICLE_CUSTOMER_ID="your-customer-id"
export CHRONICLE_REGION="your-chronicle-region"

  2. Substitua os valores do marcador:

    • your-client-id: o ID do cliente do cliente da API CrowdStrike
    • your-client-secret: a chave secreta do cliente da API CrowdStrike
    • your-cloud-region: sua região de nuvem do CrowdStrike (por exemplo, us-1, us-2, eu-1, us-gov-1, us-gov-2)
    • your-customer-id: seu ID de cliente do Google SecOps
    • your-chronicle-region: sua região do Google SecOps (consulte a configuração de região do Chronicle abaixo)

Configuração da região do Chronicle

A variável de ambiente CHRONICLE_REGION especifica qual endpoint regional do Google SecOps será usado. Os valores a seguir são compatíveis:

  • Códigos de região legados:

    • US (padrão, caso não seja especificado)
    • EU
    • UK
    • IL
    • AU
    • SG

  • Códigos de região do Google Cloud:

    • EUROPE
    • EUROPE-WEST2
    • EUROPE-WEST3
    • EUROPE-WEST6
    • EUROPE-WEST9
    • EUROPE-WEST12
    • ME-WEST1
    • ME-CENTRAL1
    • ME-CENTRAL2
    • ASIA-SOUTH1
    • ASIA-SOUTHEAST1
    • ASIA-NORTHEAST1
    • AUSTRALIA-SOUTHEAST1
    • SOUTHAMERICA-EAST1
    • NORTHAMERICA-NORTHEAST2

Executar o contêiner do Docker

Escolha um dos seguintes métodos de implantação:

  • Modo interativo (em primeiro plano):

    Use este modo para testes e resolução de problemas:

    docker run -it --rm \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

  • Modo independente (segundo plano com política de reinicialização):

    Use este modo para implantação em produção:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

    Substitua /path/to/your/service-account.json pelo caminho real do arquivo JSON da conta de serviço do Google SecOps que você baixou anteriormente.

Verificar a implantação

Depois de iniciar o contêiner, verifique se os indicadores estão sendo encaminhados para o Google Security Operations:

  1. Verifique os registros do contêiner:

    docker logs chronicle-intel-bridge

  2. No console do Google SecOps, pesquise eventos com o tipo de registro CROWDSTRIKE_IOC.

  3. Verifique se os dados do indicador estão aparecendo na sua instância do Google SecOps.

Configuração avançada

Para opções de configuração avançadas, é possível personalizar o comportamento do Intel Bridge usando um arquivo de configuração.

  1. Faça o download do arquivo config.ini do repositório da CrowdStrike Chronicle Intel Bridge.
  2. Modifique o arquivo de configuração de acordo com seus requisitos.

  3. Monte o arquivo de configuração no contêiner usando a flag de volume:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  -v /path/to/your/config.ini:/ccib/config.ini:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

Tipos de indicadores compatíveis

O analisador de indicadores de comprometimento (IoC) da CrowdStrike é compatível com os seguintes tipos de indicadores:

Tipo de indicador Descrição
domínio Nomes de domínio associados a atividades maliciosas
email_address Endereços de e-mail usados em ataques
file_name Nomes de arquivos maliciosos
file_path Caminhos do sistema de arquivos associados a ameaças
hash_md5 Hashes de arquivo MD5
hash_sha1 Hashes de arquivo SHA-1
hash_sha256 Hashes de arquivo SHA-256
ip_address Endereços IP associados a atividades maliciosas
mutex_name Nomes de mutex usados por malware
url URLs associados a ameaças

Gerenciar o contêiner do Docker

Use os seguintes comandos do Docker para gerenciar o Chronicle Intel Bridge:

  • Ver o status do contêiner:

    docker ps -a | grep chronicle-intel-bridge

  • Ver registros de contêineres:

    docker logs chronicle-intel-bridge

  • Acompanhe os registros de contêiner em tempo real:

    docker logs -f chronicle-intel-bridge

  • Pare o contêiner:

    docker stop chronicle-intel-bridge

  • Inicie o contêiner:

    docker start chronicle-intel-bridge

  • Reinicie o contêiner:

    docker restart chronicle-intel-bridge

  • Remova o contêiner:

    docker stop chronicle-intel-bridge
docker rm chronicle-intel-bridge

Solução de problemas

Se você tiver problemas com a Chronicle Intel Bridge:

  1. Verifique se as credenciais da API CrowdStrike estão corretas e têm o escopo Indicadores (Falcon Intelligence): LEITURA.
  2. Verifique se o ID de cliente do Google SecOps está correto.
  3. Verifique se o arquivo JSON da conta de serviço do Google SecOps é válido e acessível ao contêiner do Docker.
  4. Verifique se a região da nuvem da CrowdStrike está correta (por exemplo, us-1, us-2, eu-1).
  5. Verifique se a região do Google SecOps está correta.

  6. Verifique se há mensagens de erro nos registros do contêiner:

    docker logs chronicle-intel-bridge

  7. Verifique a conectividade de rede do host do Docker com os endpoints da API do CrowdStrike e os endpoints de ingestão do Google SecOps.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
quando metadata.event_timestamp Valor copiado diretamente
ID da mensagem metadata.id Valor copiado diretamente
protocolo network.ip_protocol Valor copiado diretamente
deviceName principal.hostname Valor copiado diretamente
srcAddr principal.ip Valor copiado diretamente
srcPort principal.port Valor copiado diretamente
ação security_result.action Valor copiado diretamente
dstAddr target.ip Valor copiado diretamente
dstPort target.port Valor copiado diretamente

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.