Recolha registos do CrowdStrike Falcon

Este documento descreve como carregar registos do CrowdStrike Falcon para o Google Security Operations. Pode carregar vários tipos de registos do CrowdStrike Falcon, e este documento descreve a configuração específica para cada um.

Para uma vista geral de alto nível do carregamento de dados no Google Security Operations, consulte o artigo Carregamento de dados para o Google Security Operations.

Tipos de registos do CrowdStrike Falcon suportados

O Google Security Operations suporta os seguintes tipos de registos do CrowdStrike Falcon através dos analisadores com as seguintes etiquetas de carregamento:

Deteção e resposta de pontos finais (EDR): CS_EDR. Este analisador analisa dados de telemetria quase em tempo real do CrowdStrike Falcon Data Replicator (FDR), como o acesso a ficheiros e as modificações do registo. Normalmente, os dados são carregados a partir de um contentor do S3 ou do Cloud Storage.
Deteções: CS_DETECTS. Este analisador analisa eventos de resumo de deteção do CrowdStrike através da API Detect. Embora esteja relacionada com a atividade dos endpoints, a CS_DETECTS fornece resumos de deteção de nível superior em comparação com a telemetria não processada analisada através da CS_EDR.

Nota: a CrowdStrike descontinuou o ponto final "Detects". Em alternativa, recomendamos que use CS_ALERTS para carregar registos de deteção.
Alertas: CS_ALERTS. Este analisador analisa alertas do CrowdStrike através da API Alerts. O analisador de alertas do CrowdStrike suporta os seguintes tipos de produtos:
- epp
- idp
- overwatch
- xdr
- mobile
- cwpp
- ngsiem
Indicadores de comprometimento (IoC): CS_IOC. Este analisador analisa IoCs e indicadores de ataque (IOAs) da CrowdStrike Threat Intelligence através da CrowdStrike Chronicle Intel Bridge. O analisador de indicadores de comprometimento (IoC) da CrowdStrike suporta os seguintes tipos de indicadores:
- domain
- email_address
- file_name
- file_path
- hash_md5
- hash_sha1
- hash_sha256
- ip_address
- mutex_name
- url

O Google SecOps recomenda a utilização de feeds para CS_EDR, CS_DETECTS e CS_IOC para uma ingestão de dados abrangente do CrowdStrike.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Direitos de administrador na instância do CrowdStrike para instalar o sensor CrowdStrike Falcon Host
Todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
O dispositivo de destino é executado num sistema operativo compatível
- Tem de ser um servidor de 64 bits
- O Microsoft Windows Server 2008 R2 SP1 é suportado para a versão 6.51 ou posterior do sensor CrowdStrike Falcon Host.
- As versões antigas do SO têm de suportar a assinatura de código SHA-2.
Ficheiro da conta de serviço do Google SecOps e o seu ID de cliente da equipa de apoio técnico do Google SecOps

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

Definições do SIEM > Feeds > Adicionar novo feed
Content Hub > Pacotes de conteúdo > Começar

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Carregue registos do CrowdStrike Falcon

Esta secção descreve como configurar o carregamento para os diferentes tipos de registos do CrowdStrike Falcon.

Carregue registos de EDR (`CS_EDR`)

Pode carregar registos do CrowdStrike Falcon EDR através de um dos seguintes métodos, consoante o local para onde quer enviar os registos do CrowdStrike:

Amazon SQS: usar um feed do Falcon Data Replicator.
Amazon S3: usar um feed do Google Security Operations configurado para um contentor do S3.
Google Cloud Storage: através do envio de registos do CrowdStrike para um contentor do Cloud Storage.

Escolha um dos seguintes procedimentos.

Opção 1: carregue registos de EDR do Amazon SQS

Este método usa o CrowdStrike Falcon Data Replicator para enviar registos de EDR para uma fila do Amazon SQS, que o Google Security Operations consulta.

Clique no pacote CrowdStrike.
No tipo de registo CrowdStrike Falcon, especifique valores para os seguintes campos:
- Origem: Amazon SQS
- Região: a região do S3 associada ao URI.
- Nome da fila: nome da fila SQS a partir da qual os dados de registo são lidos.
- URI do S3: o URI de origem do contentor do S3.
- Número de conta: o número de conta do SQS.
- ID da chave de acesso à fila: ID da chave de acesso à conta de 20 carateres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
- Chave de acesso secreta da fila: chave de acesso secreta de 40 carateres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
- Opção de eliminação da origem: opção para eliminar ficheiros e diretórios após a transferência dos dados.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Opção 2: carregue registos de EDR a partir de um contentor do Amazon S3

Este método envolve a configuração de um feed do Google Security Operations para extrair registos de EDR diretamente de um contentor do Amazon S3.

Para configurar um feed de carregamento através de um contentor do S3, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
Em Tipo de origem, selecione Amazon S3.
Em Tipo de registo, selecione CrowdStrike Falcon.

Com base na conta de serviço e na configuração do contentor do Amazon S3 que criou, especifique os valores dos seguintes campos:

Campo	Descrição
`region`	URI da região do S3.
`S3 uri`	URI de origem do contentor do S3.
`uri is a`	Tipo de objeto para o qual o URI aponta (por exemplo, ficheiro ou pasta).
`source deletion option`	Opção para eliminar ficheiros e diretórios após a transferência dos dados.
`access key id`	Chave de acesso (string alfanumérica de 20 carateres). Por exemplo, `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Chave de acesso secreta (string alfanumérica de 40 carateres). Por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	ID de cliente OAuth público.
`oauth client secret`	Segredo do cliente OAuth 2.0.
`oauth secret refresh uri`	URI de atualização do segredo do cliente OAuth 2.0.
`asset namespace`	O espaço de nomes associado ao feed.

Clique em Seguinte e, de seguida, em Enviar.

Opção 3: carregue registos de EDR a partir do Cloud Storage

Pode configurar o CrowdStrike para enviar registos de EDR para um contentor do Cloud Storage e, em seguida, carregar estes registos para o Google Security Operations através de um feed. Este processo requer a coordenação com o apoio técnico da CrowdStrike.

Contacte o apoio técnico da CrowdStrike: abra um pedido de apoio técnico junto da CrowdStrike para ativar e configurar o envio de registos de EDR para o seu contentor do Cloud Storage. O seu fornecedor vai dar-lhe orientações sobre as configurações necessárias.
Crie e conceda autorizações ao contentor do Cloud Storage:
1. Na Google Cloud consola, crie um novo contentor do Cloud Storage. Tome nota do nome do contentor (por exemplo, gs://my-crowdstrike-edr-logs/).
2. Conceda autorizações de escrita à conta de serviço fornecida pela CrowdStrike. Siga as instruções do apoio técnico da CrowdStrike.
Configure o feed do Google SecOps:
1. Na instância do Google SecOps, aceda a Definições > Feeds e clique em Adicionar novo.
2. Introduza um Nome do feed descritivo (por exemplo, CS-EDR-GCS).
3. Em Tipo de origem, selecione Google Cloud Storage V2.
4. Em Tipo de registo, selecione CrowdStrike Falcon.
5. Na secção Conta de serviço, clique em Obter conta de serviço. Copie o endereço de email exclusivo da conta de serviço apresentado.
6. Na Google Cloud consola, navegue para o seu contentor do Cloud Storage e conceda a função do Storage Object Viewer IAM ao endereço de email da conta de serviço que copiou. Isto permite que o feed leia os ficheiros de registo.
7. Volte à página de configuração do feed do Google SecOps.
8. Introduza o URL do contentor de armazenamento (por exemplo, gs://my-crowdstrike-edr-logs/). Este URL tem de terminar com uma barra (/).
9. Selecione uma opção de eliminação da origem. Recomendamos que nunca elimine ficheiros.
10. Clique em Seguinte, reveja as definições e, de seguida, clique em Enviar.
Verifique o carregamento de registos: depois de a CrowdStrike confirmar que os registos estão a ser enviados, verifique se existem registos recebidos no Google SecOps com o tipo de registo CROWDSTRIKE_EDR.

Carregue registos de alertas (`CS_ALERTS`)

Para carregar alertas do CrowdStrike Falcon, configure um feed que use a API CrowdStrike.

Na CrowdStrike Falcon Console:
1. Inicie sessão na CrowdStrike Falcon Console.
2. Aceda a Apoio técnico e recursos > Recursos e ferramentas > Clientes e chaves da API e clique em Criar cliente da API.
3. Introduza um Nome do cliente e uma Descrição.
4. Para Âmbitos da API, selecione as caixas Ler e Escrever para Alertas.
5. Clique em Criar. Tome nota do ID de cliente, do segredo do cliente e do URL base gerados.
No Google Security Operations:
1. Aceda a Definições > Feeds e clique em Adicionar novo.
2. Selecione API de terceiros para Tipo de origem.
3. Selecione API CrowdStrike Alerts para Tipo de registo.
4. Clique em Seguinte e preencha os seguintes campos com os valores do cliente da API CrowdStrike:
  - Ponto final do símbolo OAuth
  - ID de cliente OAuth
  - Segredo do cliente OAuth
  - URL base
5. Clique em Seguinte e, de seguida, em Enviar.

Carregue registos de deteções (`CS_DETECTS`)

Para carregar registos de deteção do CrowdStrike Falcon, também usa a API CrowdStrike.

Na CrowdStrike Falcon Console:
1. Inicie sessão na CrowdStrike Falcon Console.
2. Aceda a Apps de apoio técnico > Clientes e chaves da API.
3. Crie um novo par de chaves de cliente da API. Este par de chaves tem de ter autorizações READ para Detections.
No Google Security Operations:
1. Aceda a Definições > Feeds e clique em Adicionar novo.
2. Selecione API de terceiros para Tipo de origem.
3. Selecione Monitorização de deteção do CrowdStrike para Tipo de registo.
4. Clique em Seguinte e, de seguida, em Enviar. Ser-lhe-ão pedidas as credenciais da API que criou.

Carregue registos de IoC (`CS_IOC`)

Para carregar registos de indicadores de comprometimento (IoC) do CrowdStrike, usa a Google SecOps Intel Bridge.

Na CrowdStrike Falcon Console, crie um novo par de chaves de cliente da API. Este par de chaves tem de ter a autorização READ para Indicators (Falcon Intelligence).
Configure a Intel Bridge do Google SecOps seguindo as instruções em CrowdStrike para Google SecOps Intel Bridge.

Execute os seguintes comandos do Docker para enviar os registos do CrowdStrike para o Google SecOps. sa.json é o ficheiro da conta de serviço do Google SecOps.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Depois de o contentor estar em execução, os registos de IoC começam a ser transmitidos em fluxo contínuo para o Google SecOps.

Se tiver problemas com alguma destas configurações, contacte a equipa de apoio técnico do Google SecOps.

Formatos de registos do CrowdStrike suportados

O analisador do CrowdStrike suporta registos no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.