CrowdStrike Falcon-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie CrowdStrike Falcon-Logs in Google Security Operations aufnehmen. Sie können verschiedene Arten von CrowdStrike Falcon-Logs aufnehmen. In diesem Dokument wird die spezifische Konfiguration für jede Art beschrieben.

Eine allgemeine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Unterstützte CrowdStrike Falcon-Logtypen

Google Security Operations unterstützt die folgenden CrowdStrike Falcon-Logtypen über die Parser mit den folgenden Ingestion-Labels:

  • Endpoint Detection and Response (EDR): CS_EDR. Dieser Parser analysiert Telemetriedaten, die nahezu in Echtzeit vom CrowdStrike Falcon Data Replicator (FDR) stammen, z. B. Datei- und Registrierungsänderungen. Daten werden in der Regel aus einem S3- oder Cloud Storage-Bucket aufgenommen.

  • Erkennungen: CS_DETECTS. Dieser Parser analysiert Ereignisse vom Typ „Detection Summary“ von CrowdStrike mithilfe der Detect API. CS_DETECTS bezieht sich zwar auf Endpunktaktivitäten, bietet aber im Vergleich zu den mit CS_EDR geparsten Rohdaten der Telemetrie Zusammenfassungen auf höherer Ebene.

  • Benachrichtigungen: CS_ALERTS. Dieser Parser parst Warnungen von CrowdStrike mithilfe der Alerts API. Der CrowdStrike Alerts-Parser unterstützt die folgenden Produkttypen:

    • epp
    • idp
    • overwatch
    • xdr
    • mobile
    • cwpp
    • ngsiem

  • Kompromittierungsindikatoren (Indicators of Compromise, IoC): CS_IOC. Dieser Parser parst IoCs und Indicators of Attack (IOAs) aus CrowdStrike Threat Intelligence mithilfe der CrowdStrike Chronicle Intel Bridge. Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:

    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Google SecOps empfiehlt, Feeds für CS_EDR, CS_DETECTS und CS_IOC zu verwenden, um umfassende Daten von CrowdStrike aufzunehmen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
  • Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
  • Das Zielgerät wird auf einem unterstützten Betriebssystem ausgeführt.
    • Muss ein 64-Bit-Server sein
    • Microsoft Windows Server 2008 R2 SP1 wird für den CrowdStrike Falcon Host-Sensor ab Version 6.51 unterstützt.
    • Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
  • Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
  • Content Hub > Content-Pakete > Erste Schritte

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

CrowdStrike Falcon-Logs aufnehmen

In diesem Abschnitt wird beschrieben, wie Sie die Erfassung für die verschiedenen Arten von CrowdStrike Falcon-Logs konfigurieren.

EDR-Logs aufnehmen (CS_EDR)

Sie können CrowdStrike Falcon EDR-Logs mit einer der folgenden Methoden aufnehmen, je nachdem, wohin Sie die Logs von CrowdStrike senden möchten:

  • Amazon SQS: Verwenden eines Falcon Data Replicator-Feeds.
  • Amazon S3: Verwenden eines Google Security Operations-Feeds, der für einen S3-Bucket konfiguriert ist.
  • Google Cloud Storage: CrowdStrike kann Logs in einen Cloud Storage-Bucket übertragen.

Wählen Sie eine der folgenden Methoden aus.

Option 1: EDR-Logs aus Amazon SQS aufnehmen

Bei dieser Methode wird der CrowdStrike Falcon Data Replicator verwendet, um EDR-Protokolle an eine Amazon SQS-Warteschlange zu senden, die dann von Google Security Operations abgefragt wird.

  1. Klicken Sie auf das Paket CrowdStrike.

  2. Geben Sie für den Protokolltyp CrowdStrike Falcon Werte für die folgenden Felder an:

    • Quelle: Amazon SQS
    • Region: Die S3-Region, die dem URI zugeordnet ist.
    • Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
    • S3-URI: Der Quell-URI des S3-Buckets.
    • Kontonummer: Die SQS-Kontonummer.
    • Warteschlangen-Zugriffsschlüssel-ID: 20-stellige Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
    • Queue Secret Access Key (geheimer Zugriffsschlüssel für die Warteschlange): 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    • Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
    • Labels für die Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  3. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Option 2: EDR-Protokolle aus einem Amazon S3-Bucket aufnehmen

Bei dieser Methode wird ein Google Security Operations-Feed eingerichtet, um EDR-Logs direkt aus einem Amazon S3-Bucket abzurufen.

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Logs.
  5. Wählen Sie unter Quelltyp die Option Amazon S3 aus.
  6. Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.
  7. Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
    Feld Beschreibung
    region S3-Regions-URI.
    S3 uri Quell-URI des S3-Buckets.
    uri is a Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
    source deletion option Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
    access key id Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen) Beispiel: AKIAOSFOODNN7EXAMPLE.
    secret access key Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Öffentliche OAuth-Client-ID.
    oauth client secret OAuth 2.0-Clientschlüssel.
    oauth secret refresh uri Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
    asset namespace Der mit dem Feed verknüpfte Namespace.
  8. Klicken Sie auf Weiter und dann auf Senden.

Option 3: EDR-Logs aus Cloud Storage aufnehmen

Sie können CrowdStrike so konfigurieren, dass EDR-Logs an einen Cloud Storage-Bucket gesendet werden. Anschließend können Sie diese Logs über einen Feed in Google Security Operations aufnehmen. Für diesen Vorgang ist eine Abstimmung mit dem CrowdStrike-Support erforderlich.

  1. CrowdStrike-Support kontaktieren:Erstellen Sie ein Support-Ticket bei CrowdStrike, um das Senden von EDR-Logs an Ihren Cloud Storage-Bucket zu aktivieren und zu konfigurieren. Sie erhalten dort Informationen zu den erforderlichen Konfigurationen.

  2. Cloud Storage-Bucket erstellen und Berechtigungen festlegen:

    1. Erstellen Sie in der Google Cloud -Konsole einen neuen Cloud Storage-Bucket. Notieren Sie sich den Bucket-Namen (z. B. gs://my-crowdstrike-edr-logs/).
    2. Gewähren Sie dem von CrowdStrike bereitgestellten Dienstkonto Schreibberechtigungen. Folgen Sie der Anleitung des CrowdStrike-Supports.

  3. Google SecOps-Feed konfigurieren:

    1. Rufen Sie in Ihrer Google SecOps-Instanz Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
    2. Geben Sie einen aussagekräftigen Feednamen ein, z. B. CS-EDR-GCS.
    3. Wählen Sie als Quelltyp die Option Google Cloud Storage V2 aus.
    4. Wählen Sie als Logtyp die Option CrowdStrike Falcon aus.
    5. Klicken Sie im Abschnitt „Dienstkonto“ auf Dienstkonto abrufen. Kopieren Sie die angezeigte eindeutige E‑Mail-Adresse des Dienstkontos.
    6. Rufen Sie in der Google Cloud -Konsole Ihren Cloud Storage-Bucket auf und weisen Sie der kopierten E-Mail-Adresse des Dienstkontos die IAM-Rolle Storage Object Viewer zu. Dadurch kann der Feed die Logdateien lesen.
    7. Kehren Sie zur Seite für die Konfiguration des Google SecOps-Feeds zurück.
    8. Geben Sie die Storage-Bucket-URL ein, z. B. gs://my-crowdstrike-edr-logs/. Diese URL muss mit einem abschließenden Schrägstrich (/) enden.
    9. Wählen Sie eine Option zum Löschen der Quelle aus. Die Option Dateien nie löschen wird empfohlen.
    10. Klicken Sie auf Weiter, prüfen Sie die Einstellungen und klicken Sie dann auf Senden.

  4. Log-Aufnahme prüfen:Nachdem CrowdStrike bestätigt hat, dass Logs übertragen werden, suchen Sie in Google SecOps nach eingehenden Logs mit dem Logtyp CROWDSTRIKE_EDR.

Logs für Benachrichtigungen aufnehmen (CS_ALERTS)

Wenn Sie CrowdStrike Falcon-Benachrichtigungen aufnehmen möchten, konfigurieren Sie einen Feed, der die CrowdStrike API verwendet.

  1. In der CrowdStrike Falcon Console:

    1. Melden Sie sich in der CrowdStrike Falcon Console an.
    2. Rufen Sie Support und Ressourcen > Ressourcen und Tools > API-Clients und ‑Schlüssel auf und klicken Sie auf API-Client erstellen.
    3. Geben Sie einen Client-Namen und eine Beschreibung ein.
    4. Wählen Sie unter API-Bereiche die Kästchen Lesen und Schreiben für Benachrichtigungen aus.
    5. Klicken Sie auf Erstellen. Notieren Sie sich die generierte Client-ID, den Clientschlüssel und die Basis-URL.

  2. In Google Security Operations:

    1. Rufen Sie Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
    2. Wählen Sie als Quelltyp die Option Drittanbieter-API aus.
    3. Wählen Sie für Log type (Protokolltyp) die Option CrowdStrike Alerts API aus.
    4. Klicken Sie auf Weiter und füllen Sie die folgenden Felder mit den Werten aus dem CrowdStrike API-Client aus:
      • OAuth-Token-Endpunkt
      • OAuth-Client-ID
      • OAuth-Clientschlüssel
      • Basis-URL
    5. Klicken Sie auf Weiter und dann auf Senden.

Erkennungslogs aufnehmen (CS_DETECTS)

Zum Erfassen von CrowdStrike Falcon-Erkennungslogs verwenden Sie ebenfalls die CrowdStrike API.

  1. In der CrowdStrike Falcon Console:

    1. Melden Sie sich in der CrowdStrike Falcon Console an.
    2. Klicken Sie auf Support Apps > API Clients and Keys (Support-Apps > API-Clients und ‑Schlüssel).
    3. Erstellen Sie ein neues API-Clientschlüsselpaar. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections haben.

  2. In Google Security Operations:

    1. Rufen Sie Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
    2. Wählen Sie als Quelltyp die Option Drittanbieter-API aus.
    3. Wählen Sie CrowdStrike Detection Monitoring als Log type (Protokolltyp) aus.
    4. Klicken Sie auf Weiter und dann auf Senden. Sie werden aufgefordert, die von Ihnen erstellten API-Anmeldedaten einzugeben.

IoC-Logs aufnehmen (CS_IOC)

Wenn Sie IoC-Logs (Indicator of Compromise) von CrowdStrike aufnehmen möchten, verwenden Sie die Google SecOps Intel Bridge.

  1. Erstellen Sie in der CrowdStrike Falcon Console ein neues API-Client-Schlüsselpaar. Dieses Schlüsselpaar muss die Berechtigung READ für Indicators (Falcon Intelligence) haben.
  2. Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

  3. Führen Sie die folgenden Docker-Befehle aus, um die Protokolle von CrowdStrike an Google SecOps zu senden. sa.json ist die Datei Ihres Google SecOps-Dienstkontos.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  4. Sobald der Container ausgeführt wird, werden IoC-Logs in Google SecOps gestreamt.

Wenn Sie Probleme mit einer dieser Konfigurationen haben, wenden Sie sich an das Google SecOps-Supportteam.

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten