收集 CrowdStrike IOC 記錄

支援的國家/地區:

本文說明如何使用 CrowdStrike Chronicle Intel Bridge 收集 CrowdStrike IOC 記錄。CrowdStrike Chronicle Intel Bridge 是 Docker 容器,可將 CrowdStrike Falcon Intelligence 的威脅情報指標轉送至 Google Security Operations。

CrowdStrike Falcon Intelligence 提供威脅情報指標,包括網域、IP 位址、檔案雜湊值、網址、電子郵件地址、檔案路徑、檔案名稱和互斥鎖名稱。Chronicle Intel Bridge 會輪詢 CrowdStrike Intel API,並將這些指標轉送至 Google Security Operations,以進行威脅偵測和分析。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 有權建立 API 用戶端的 CrowdStrike Falcon 控制台專屬存取權
  • CrowdStrike Falcon Intelligence 訂閱
  • 在可持續執行的系統上安裝 Docker,以便輪詢 CrowdStrike 並轉送指標
  • 部署架構中的所有系統都以世界標準時間設定時區

取得 Google SecOps 憑證

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

下載 Google SecOps 服務帳戶檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 按一下「下載擷取驗證檔案」
  4. 將 JSON 檔案儲存至系統中安全的位置,您將在該系統中執行 Docker 容器 (例如 /path/to/service-account.json)。

設定 CrowdStrike Falcon API 存取權

如要讓 Chronicle Intel Bridge 擷取指標,您必須建立 API 用戶端,並授予 Falcon Intelligence Indicators 的讀取權限。

建立 API 用戶端

  1. 登入 CrowdStrike Falcon Console
  2. 依序前往「支援與資源」>「資源與工具」>「API 用戶端和金鑰」
  3. 按一下「新增 API 用戶端」
  4. 請提供下列設定詳細資料:
    • 用戶端名稱:輸入描述性名稱 (例如 Chronicle Intel Bridge)。
    • 說明:選用:輸入 Integration with Google Chronicle for threat intelligence indicators
  5. 在「API 範圍」部分,選取「指標 (Falcon Intelligence)」旁的「讀取」核取方塊。
  6. 點選「建立」

記錄 API 憑證

  • 建立 API 用戶端後,對話方塊會顯示您的憑證:

    • 用戶端 ID:您的專屬用戶端 ID (例如 a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)
    • 用戶端密鑰:您的 API 密鑰
    • 基礎網址:您所在區域的完整網域名稱 (例如 api.us-2.crowdstrike.com)

地區端點

CrowdStrike Falcon 會根據雲端區域使用不同的 API 端點:

區域 基準網址 控制台網址
US-1 api.crowdstrike.com https://falcon.crowdstrike.com
US-2 api.us-2.crowdstrike.com https://falcon.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com https://falcon.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com https://falcon.laggar.gcw.crowdstrike.com
US-GOV-2 api.us-gov-2.crowdstrike.com https://falcon.us-gov-2.crowdstrike.com

請使用與 CrowdStrike Falcon 執行個體區域對應的網址。Docker 設定會使用區域代碼 (例如 us-1us-2eu-1)。

部署 CrowdStrike Chronicle Intel Bridge

Chronicle Intel Bridge 是持續執行的 Docker 容器,會輪詢 CrowdStrike Falcon Intelligence 的指標,並將指標轉送至 Google Security Operations。

設定環境變數

  1. 執行 Docker 容器前,請使用您收集的憑證設定下列環境變數:

    export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_CLOUD_REGION="your-cloud-region"
export CHRONICLE_CUSTOMER_ID="your-customer-id"
export CHRONICLE_REGION="your-chronicle-region"

  2. 替換預留位置值:

    • your-client-id:CrowdStrike API 用戶端的用戶端 ID
    • your-client-secret:CrowdStrike API 用戶端的用戶端密鑰
    • your-cloud-region:您的 CrowdStrike 雲端區域 (例如 us-1us-2eu-1us-gov-1us-gov-2)
    • your-customer-id:您的 Google SecOps 客戶 ID
    • your-chronicle-region:您的 Google SecOps 區域 (請參閱下方的 Chronicle 區域設定)

設定 Chronicle 區域

CHRONICLE_REGION 環境變數會指定要使用的 Google SecOps 地區端點。支援的值如下:

  • 舊版區域代碼:

    • US (如果未指定,則為預設值)
    • EU
    • UK
    • IL
    • AU
    • SG

  • Google Cloud 區域代碼:

    • EUROPE
    • EUROPE-WEST2
    • EUROPE-WEST3
    • EUROPE-WEST6
    • EUROPE-WEST9
    • EUROPE-WEST12
    • ME-WEST1
    • ME-CENTRAL1
    • ME-CENTRAL2
    • ASIA-SOUTH1
    • ASIA-SOUTHEAST1
    • ASIA-NORTHEAST1
    • AUSTRALIA-SOUTHEAST1
    • SOUTHAMERICA-EAST1
    • NORTHAMERICA-NORTHEAST2

執行 Docker 容器

選擇下列其中一種部署方式:

  • 互動模式 (前景):

    使用這個模式進行測試和疑難排解:

    docker run -it --rm \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

  • 分離模式 (背景執行並採用重新啟動政策):

    將這個模式用於正式環境部署:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

    /path/to/your/service-account.json 替換為您先前下載的 Google SecOps 服務帳戶 JSON 檔案實際路徑。

驗證 Deployment

啟動容器後,請確認指標已轉送至 Google Security Operations:

  1. 檢查容器記錄:

    docker logs chronicle-intel-bridge

  2. 在 Google SecOps 控制台中,搜尋記錄類型為 CROWDSTRIKE_IOC 的事件。

  3. 確認指標資料是否顯示在 Google SecOps 執行個體中。

進階設定

如需進階設定選項,您可以使用設定檔自訂 Intel Bridge 行為。

  1. CrowdStrike Chronicle Intel Bridge 存放區下載 config.ini 檔案。
  2. 根據需求修改設定檔。

  3. 使用磁碟區標記將設定檔掛接至容器:

    docker run -d --restart unless-stopped \
  --name chronicle-intel-bridge \
  -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \
  -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \
  -e FALCON_CLOUD_REGION="$FALCON_CLOUD_REGION" \
  -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \
  -e CHRONICLE_REGION="$CHRONICLE_REGION" \
  -e GOOGLE_SERVICE_ACCOUNT_FILE=/gcloud/sa.json \
  -v /path/to/your/service-account.json:/gcloud/sa.json:ro \
  -v /path/to/your/config.ini:/ccib/config.ini:ro \
  quay.io/crowdstrike/chronicle-intel-bridge:latest

支援的指標類型

CrowdStrike 入侵指標 (IoC) 剖析器支援下列指標類型:

指標類型 說明
網域 與惡意活動相關聯的網域名稱
email_address 攻擊中使用的電子郵件地址
file_name 惡意檔案名稱
file_path 與威脅相關聯的檔案系統路徑
hash_md5 MD5 檔案雜湊
hash_sha1 SHA-1 檔案雜湊
hash_sha256 SHA-256 檔案雜湊
ip_address 與惡意活動相關聯的 IP 位址
mutex_name 惡意軟體使用的互斥鎖名稱
url 與威脅相關的網址

管理 Docker 容器

使用下列 Docker 指令管理 Chronicle Intel Bridge:

  • 查看容器狀態:

    docker ps -a | grep chronicle-intel-bridge

  • 查看容器記錄:

    docker logs chronicle-intel-bridge

  • 即時追蹤容器記錄:

    docker logs -f chronicle-intel-bridge

  • 停止容器:

    docker stop chronicle-intel-bridge

  • 啟動容器:

    docker start chronicle-intel-bridge

  • 重新啟動容器:

    docker restart chronicle-intel-bridge

  • 移除容器:

    docker stop chronicle-intel-bridge
docker rm chronicle-intel-bridge

疑難排解

如果 Chronicle Intel Bridge 發生問題,請按照下列步驟操作:

  1. 確認 CrowdStrike API 憑證正確無誤,且具有「指標 (Falcon Intelligence):讀取」範圍。
  2. 確認 Google SecOps 客戶 ID 正確無誤。
  3. 確認 Google SecOps 服務帳戶 JSON 檔案有效,且 Docker 容器可存取該檔案。
  4. 確認 CrowdStrike 雲端區域正確無誤 (例如 us-1us-2eu-1)。
  5. 確認 Google SecOps 區域是否正確。

  6. 檢查容器記錄檔中是否有錯誤訊息:

    docker logs chronicle-intel-bridge

  7. 確認 Docker 主機與 CrowdStrike API 端點和 Google SecOps 擷取端點的網路連線。

UDM 對應表

記錄欄位 UDM 對應 邏輯
時間 metadata.event_timestamp 直接複製值
messageid metadata.id 直接複製值
通訊協定 network.ip_protocol 直接複製值
deviceName principal.hostname 直接複製值
srcAddr principal.ip 直接複製值
srcPort principal.port 直接複製值
動作 security_result.action 直接複製值
dstAddr target.ip 直接複製值
dstPort target.port 直接複製值

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。