收集 Crowdstrike IOC 日志

支持的平台:

本文档介绍了如何使用 CrowdStrike Chronicle Intel Bridge(一种 Docker 容器,可将 CrowdStrike Falcon Intelligence 中的威胁情报指标转发到 Google Security Operations)收集 CrowdStrike IOC 日志。

CrowdStrike Falcon Intelligence 提供威胁情报指标,包括网域、IP 地址、文件哈希、网址、电子邮件地址、文件路径、文件名和互斥对象名称。Chronicle Intel Bridge 会轮询 CrowdStrike Intel API,并将这些指标转发给 Google Security Operations 以进行威胁检测和分析。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 CrowdStrike Falcon 控制台的特权访问权限,并具有创建 API 客户端的权限
  • CrowdStrike Falcon Intelligence 订阅
  • 在可持续运行的系统上安装 Docker,以轮询 CrowdStrike 并转发指示器
  • 部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置

获取 Google SecOps 凭据

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

下载 Google SecOps 服务账号文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 点击下载注入身份验证文件
  4. 将 JSON 文件保存到您将运行 Docker 容器的系统上的安全位置(例如 /path/to/service-account.json)。

配置 CrowdStrike Falcon API 访问权限

如需使 Chronicle Intel Bridge 能够检索指示器,您需要创建一个对 Falcon Intelligence 指示器具有读取权限的 API 客户端。

创建 API 客户端

  1. 登录 CrowdStrike Falcon 控制台
  2. 依次前往支持和资源 > 资源和工具 > API 客户端和密钥
  3. 点击添加新的 API 客户端
  4. 提供以下配置详细信息:
    • 客户端名称:输入一个描述性名称(例如 Chronicle Intel Bridge)。
    • 说明:可选:输入 Integration with Google Chronicle for threat intelligence indicators
  5. API 范围部分中,选中指标(Falcon Intelligence)旁边的读取复选框。
  6. 点击创建

记录 API 凭据

  • 创建 API 客户端后,系统会显示一个对话框,其中包含您的凭据:

    • 客户端 ID:您的唯一客户端标识符(例如 a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6
    • 客户端密钥:您的 API 密钥
    • 基本网址:您所在区域的完全限定域名(例如 api.us-2.crowdstrike.com

区域端点

CrowdStrike Falcon 会根据您的云区域使用不同的 API 端点:

区域 基准网址 控制台网址
US-1 api.crowdstrike.com https://falcon.crowdstrike.com
US-2 api.us-2.crowdstrike.com https://falcon.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com https://falcon.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com https://falcon.laggar.gcw.crowdstrike.com
US-GOV-2 api.us-gov-2.crowdstrike.com https://falcon.us-gov-2.crowdstrike.com

使用与 CrowdStrike Falcon 实例区域相对应的基本网址。区域代码(例如 us-1us-2eu-1)用于 Docker 配置中。

部署 CrowdStrike Chronicle Intel Bridge

Chronicle Intel Bridge 是一个持续运行的 Docker 容器,用于轮询 CrowdStrike Falcon Intelligence 以获取指标,并将这些指标转发给 Google Security Operations。

设置环境变量

  1. 在运行 Docker 容器之前,请使用您收集的凭据设置以下环境变量:

    export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_CLOUD_REGION="your-cloud-region"
export CHRONICLE_CUSTOMER_ID="your-customer-id"
export CHRONICLE_REGION="your-chronicle-region"

  2. 替换占位值:

    • your-client-id:CrowdStrike API 客户端中的客户端 ID
    • your-client-secret:CrowdStrike API 客户端中的客户端密钥
    • your-cloud-region:您的 CrowdStrike 云区域(例如 us-1us-2eu-1us-gov-1us-gov-2
    • your-customer-id:您的 Google SecOps 客户 ID
    • your-chronicle-region:您的 Google SecOps 区域(请参阅下文中的 Chronicle 区域配置)

Chronicle 区域配置

CHRONICLE_REGION 环境变量用于指定要使用的 Google SecOps 区域级端点。支持以下值:

  • 旧版区域代码

    • US(如果未指定,则为默认值)
    • EU
    • UK
    • IL
    • AU
    • SG

  • Google Cloud 区域代码

    • EUROPE
    • EUROPE-WEST2
    • EUROPE-WEST3
    • EUROPE-WEST6
    • EUROPE-WEST9
    • EUROPE-WEST12
    • ME-WEST1
    • ME-CENTRAL1
    • ME-CENTRAL2
    • ASIA-SOUTH1
    • ASIA-SOUTHEAST1
    • ASIA-NORTHEAST1
    • AUSTRALIA-SOUTHEAST1
    • SOUTHAMERICA-EAST1
    • NORTHAMERICA-NORTHEAST2

运行 Docker 容器

选择以下部署方法之一:

  • 互动模式(前台)

    使用此模式进行测试和问题排查:

    docker run -it --rm \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

  • 分离模式(具有重启政策的后台模式)

    此模式用于生产环境部署:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

    /path/to/your/service-account.json 替换为您之前下载的 Google SecOps 服务账号 JSON 文件的实际路径。

验证 Deployment

启动容器后,验证指标是否已转发到 Google Security Operations:

  1. 检查容器日志:

    docker logs chronicle-intel-bridge

  2. 在 Google SecOps 控制台中,搜索日志类型为 CROWDSTRIKE_IOC 的事件。

  3. 验证您的 Google SecOps 实例中是否显示了指示器数据。

高级配置

对于高级配置选项,您可以使用配置文件自定义 Intel Bridge 行为。

  1. CrowdStrike Chronicle Intel Bridge 代码库下载 config.ini 文件。
  2. 根据您的要求修改配置文件。

  3. 使用卷标志将配置文件装载到容器:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  -v /path/to/your/config.ini:/ccib/config.ini:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

支持的指标类型

CrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型:

指示器类型 说明
网域 与恶意活动相关联的域名
email_address 攻击中使用的电子邮件地址
file_name 恶意文件名
file_path 与威胁关联的文件系统路径
hash_md5 MD5 文件哈希值
hash_sha1 SHA-1 文件哈希值
hash_sha256 SHA-256 文件哈希
ip_address 与恶意活动相关联的 IP 地址
mutex_name 恶意软件使用的互斥锁名称
网址 与威胁关联的网址

管理 Docker 容器

使用以下 Docker 命令管理 Chronicle Intel Bridge:

  • 查看容器状态

    docker ps -a | grep chronicle-intel-bridge

  • 查看容器日志

    docker logs chronicle-intel-bridge

  • 实时跟踪容器日志

    docker logs -f chronicle-intel-bridge

  • 停止容器

    docker stop chronicle-intel-bridge

  • 启动容器

    docker start chronicle-intel-bridge

  • 重启容器

    docker restart chronicle-intel-bridge

  • 移除容器

    docker stop chronicle-intel-bridge
docker rm chronicle-intel-bridge

问题排查

如果您遇到 Chronicle Intel Bridge 问题,请执行以下操作:

  1. 验证 CrowdStrike API 凭证是否正确,并且是否具有指标 (Falcon Intelligence):读取范围。
  2. 验证 Google SecOps 客户 ID 是否正确。
  3. 验证 Google SecOps 服务账号 JSON 文件是否有效,以及 Docker 容器是否可以访问该文件。
  4. 验证 CrowdStrike 云区域是否正确(例如 us-1us-2eu-1)。
  5. 验证 Google SecOps 区域是否正确。

  6. 检查容器日志中是否有错误消息:

    docker logs chronicle-intel-bridge

  7. 验证从 Docker 主机到 CrowdStrike API 端点和 Google SecOps 提取端点的网络连接。

UDM 映射表

日志字段 UDM 映射 逻辑
when metadata.event_timestamp 直接复制值
messageid metadata.id 直接复制值
协议 network.ip_protocol 直接复制值
deviceName principal.hostname 直接复制值
srcAddr principal.ip 直接复制值
srcPort principal.port 直接复制值
操作 security_result.action 直接复制值
dstAddr target.ip 直接复制值
dstPort target.port 直接复制值

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。