Raccogli i log di CrowdStrike Falcon

Questo documento descrive come importare i log di CrowdStrike Falcon in Google Security Operations. Puoi importare diversi tipi di log di CrowdStrike Falcon e questo documento descrive la configurazione specifica per ciascuno.

Per una panoramica generale dell'importazione dei dati in Google Security Operations, consulta Importazione dei dati in Google Security Operations.

Tipi di log CrowdStrike Falcon supportati

Google Security Operations supporta i seguenti tipi di log CrowdStrike Falcon tramite i parser con le seguenti etichette di importazione:

  • Endpoint Detection and Response (EDR): CS_EDR. Questo parser analizza i dati di telemetria quasi in tempo reale di CrowdStrike Falcon Data Replicator (FDR), ad esempio l'accesso ai file e le modifiche al registro. I dati vengono in genere importati da un bucket S3 o Cloud Storage.

  • Rilevamenti: CS_DETECTS. Questo parser analizza gli eventi di riepilogo del rilevamento di CrowdStrike utilizzando l'API Detect. Sebbene correlato all'attività dell'endpoint, CS_DETECTS fornisce riepiloghi di rilevamento di livello superiore rispetto alla telemetria non elaborata analizzata utilizzando CS_EDR.

  • Avvisi: CS_ALERTS. Questo parser analizza gli avvisi di CrowdStrike utilizzando l'API Alerts. Il parser degli avvisi di CrowdStrike supporta i seguenti tipi di prodotti:

    • epp
    • idp
    • overwatch
    • xdr
    • mobile
    • cwpp
    • ngsiem

  • Indicatori di compromissione (IoC): CS_IOC. Questo parser analizza gli indicatori di compromissione (IoC) e gli indicatori di attacco (IOA) di CrowdStrike Threat Intelligence utilizzando CrowdStrike Chronicle Intel Bridge. Il parser dell'indicatore di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:

    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Google SecOps consiglia di utilizzare i feed per CS_EDR, CS_DETECTS e CS_IOC per l'importazione completa dei dati da CrowdStrike.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Diritti di amministratore sull'istanza di CrowdStrike per installare il sensore CrowdStrike Falcon Host
  • Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
  • Il dispositivo di destinazione esegue un sistema operativo supportato
    • Deve essere un server a 64 bit
    • Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
    • Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
  • File account di servizio Google SecOps e ID cliente del team di assistenza Google SecOps

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Importare i log di CrowdStrike Falcon

Questa sezione descrive come configurare l'importazione per i diversi tipi di log di CrowdStrike Falcon.

Importare i log EDR (CS_EDR)

Puoi importare i log di CrowdStrike Falcon EDR utilizzando uno dei seguenti metodi, a seconda della posizione da cui vuoi inviare i log di CrowdStrike:

  • Amazon SQS: utilizzo di un feed Falcon Data Replicator.
  • Amazon S3: utilizzo di un feed Google Security Operations configurato per un bucket S3.
  • Google Cloud Storage: CrowdStrike invia i log a un bucket Cloud Storage.

Scegli una delle seguenti procedure.

Opzione 1: importa i log EDR da Amazon SQS

Questo metodo utilizza CrowdStrike Falcon Data Replicator per inviare i log EDR a una coda Amazon SQS, che viene poi sottoposta a polling da Google Security Operations.

  1. Fai clic sul pacchetto CrowdStrike.

  2. Nel tipo di log CrowdStrike Falcon, specifica i valori per i seguenti campi:

    • Fonte: Amazon SQS
    • Regione: la regione S3 associata all'URI.
    • Nome coda: nome della coda SQS da cui leggere i dati di log.
    • URI S3: l'URI di origine del bucket S3.
    • Numero di conto: il numero di conto SQS.
    • ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
    • Chiave di accesso segreta della coda: chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    • Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  3. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Opzione 2: importa i log EDR da un bucket Amazon S3

Questo metodo prevede la configurazione di un feed Google Security Operations per estrarre i log EDR direttamente da un bucket Amazon S3.

Per configurare un feed di importazione utilizzando un bucket S3:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
  5. In Tipo di origine, seleziona Amazon S3.
  6. In Tipo di log, seleziona CrowdStrike Falcon.
  7. In base al account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region URI della regione S3.
    S3 uri URI di origine del bucket S3.
    uri is a Tipo di oggetto a cui punta l'URI (ad esempio, file o cartella).
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    access key id Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, AKIAOSFOODNN7EXAMPLE.
    secret access key Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth pubblico.
    oauth client secret Client secret OAuth 2.0.
    oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0.
    asset namespace Lo spazio dei nomi associato al feed.
  8. Fai clic su Avanti, quindi su Invia.

Opzione 3: importa i log EDR da Cloud Storage

Puoi configurare CrowdStrike per inviare i log EDR a un bucket Cloud Storage e poi importarli in Google Security Operations utilizzando un feed. Questa procedura richiede il coordinamento con l'assistenza CrowdStrike.

  1. Contatta l'assistenza CrowdStrike:apri un ticket di assistenza con CrowdStrike per attivare e configurare il push dei log EDR nel tuo bucket Cloud Storage. Ti forniranno indicazioni sulle configurazioni richieste.

  2. Crea e autorizza il bucket Cloud Storage:

    1. Nella console Google Cloud , crea un nuovo bucket Cloud Storage. Prendi nota del nome del bucket (ad esempio, gs://my-crowdstrike-edr-logs/).
    2. Concedi le autorizzazioni di scrittura al account di servizio fornito da CrowdStrike. Segui le istruzioni dell'assistenza CrowdStrike.

  3. Configura il feed Google SecOps:

    1. Nella tua istanza di Google SecOps, vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
    2. Inserisci un Nome feed descrittivo (ad esempio, CS-EDR-GCS).
    3. Per Tipo di origine, seleziona Google Cloud Storage V2.
    4. Per Tipo di log, seleziona CrowdStrike Falcon.
    5. Nella sezione del account di servizio, fai clic su Ottieni service account. Copia l'indirizzo email univoco del account di servizio visualizzato.
    6. Nella console Google Cloud , vai al bucket Cloud Storage e concedi il ruolo IAM Storage Object Viewer all'indirizzo email del account di servizio che hai copiato. In questo modo, il feed può leggere i file di log.
    7. Torna alla pagina di configurazione del feed Google SecOps.
    8. Inserisci l'URL del bucket di archiviazione (ad esempio, gs://my-crowdstrike-edr-logs/). Questo URL deve terminare con una barra non rovesciata finale (/).
    9. Seleziona un'opzione di eliminazione dell'origine. È consigliabile selezionare l'opzione Non cancellare mai i file.
    10. Fai clic su Avanti, rivedi le impostazioni e poi fai clic su Invia.

  4. Verifica l'importazione dei log:dopo che CrowdStrike conferma che i log vengono inviati, controlla la presenza di log in entrata in Google SecOps con il tipo di log CROWDSTRIKE_EDR.

Log di avvisi di importazione (CS_ALERTS)

Per importare gli avvisi di CrowdStrike Falcon, configura un feed che utilizza l'API CrowdStrike.

  1. Nella console CrowdStrike Falcon:

    1. Accedi alla console CrowdStrike Falcon.
    2. Vai a Assistenza e risorse > Risorse e strumenti > Client e chiavi API e fai clic su Crea client API.
    3. Inserisci un Nome cliente e una Descrizione.
    4. Per Ambiti API, seleziona le caselle Lettura e Scrittura per Avvisi.
    5. Fai clic su Crea. Prendi nota di ID client, client secret e URL di base generati.

  2. In Google Security Operations:

    1. Vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
    2. Seleziona API di terze parti per Tipo di origine.
    3. Seleziona API CrowdStrike Alerts per Tipo di log.
    4. Fai clic su Avanti e compila i seguenti campi utilizzando i valori del client API CrowdStrike:
      • Endpoint del token OAuth
      • ID client OAuth
      • Client secret OAuth
      • URL di base
    5. Fai clic su Avanti, quindi su Invia.

Importa log di rilevamento (CS_DETECTS)

Per importare i log di rilevamento di CrowdStrike Falcon, utilizzi anche l'API CrowdStrike.

  1. Nella console CrowdStrike Falcon:

    1. Accedi alla console CrowdStrike Falcon.
    2. Vai ad App di assistenza > Client e chiavi API.
    3. Crea una nuova coppia di chiavi client API. Questa coppia di chiavi deve disporre delle autorizzazioni READ per Detections.

  2. In Google Security Operations:

    1. Vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
    2. Seleziona API di terze parti per Tipo di origine.
    3. Seleziona CrowdStrike Detection Monitoring (Monitoraggio rilevamento CrowdStrike) per Tipo di log.
    4. Fai clic su Avanti, quindi su Invia. Ti verranno richieste le credenziali API che hai creato.

Importare i log IoC (CS_IOC)

Per importare i log Indicator of Compromise (IoC) da CrowdStrike, utilizza Google SecOps Intel Bridge.

  1. Nella console CrowdStrike Falcon, crea una nuova coppia di chiavi client API. Questa coppia di chiavi deve disporre dell'autorizzazione READ per Indicators (Falcon Intelligence).
  2. Configura Google SecOps Intel Bridge seguendo le istruzioni riportate in CrowdStrike to Google SecOps Intel Bridge.

  3. Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps. sa.json è il file dell'account di servizio Google SecOps.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  4. Una volta in esecuzione, il contenitore inizierà a trasmettere i log IoC in Google SecOps.

Se riscontri problemi con una di queste configurazioni, contatta il team di assistenza di Google SecOps.

Formati di log CrowdStrike supportati

Il parser CrowdStrike supporta i log in formato JSON.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.