CrowdStrike Falcon のログを収集する

このドキュメントでは、CrowdStrike Falcon ログを Google Security Operations に取り込む方法について説明します。複数のタイプの CrowdStrike Falcon ログを取り込むことができます。このドキュメントでは、それぞれの構成について説明します。

Google Security Operations へのデータ取り込みの概要については、Google Security Operations へのデータの取り込みをご覧ください。

サポートされている CrowdStrike Falcon ログタイプ

Google Security Operations は、次の取り込みラベルを持つパーサーを介して、次の CrowdStrike Falcon ログタイプをサポートしています。

  • エンドポイント検出と対応(EDR): CS_EDR。このパーサーは、ファイル アクセスやレジストリの変更など、CrowdStrike Falcon Data Replicator(FDR)からほぼリアルタイムのテレメトリー データを解析します。通常、データは S3 バケットまたは Cloud Storage バケットから取り込まれます。

  • 検出: CS_DETECTS。このパーサーは、Detect API を使用して CrowdStrike から検出サマリー イベントを解析します。CS_DETECTS はエンドポイント アクティビティに関連していますが、CS_EDR を使用して解析された未加工のテレメトリーと比較して、より上位の検出概要を提供します。

  • アラート: CS_ALERTS。このパーサーは、Alerts API を使用して CrowdStrike からアラートを解析します。CrowdStrike Alerts パーサーは、次のプロダクト タイプをサポートしています。

    • epp
    • idp
    • overwatch
    • xdr
    • mobile
    • cwpp
    • ngsiem

  • セキュリティ侵害インジケーター(IoC): CS_IOC。このパーサーは、CrowdStrike Chronicle Intel Bridge を使用して、CrowdStrike Threat Intelligence から IoC と攻撃インジケーター(IOA)を解析します。CrowdStrike の侵害の指標(IoC)パーサーは、次の指標タイプをサポートしています。

    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Google SecOps では、CrowdStrike から包括的にデータを取り込むために、CS_EDRCS_DETECTSCS_IOC にフィードを使用することをおすすめします。

始める前に

次の前提条件を満たしていることを確認します。

  • CrowdStrike Falcon Host センサーをインストールするための CrowdStrike インスタンスの管理者権限
  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されている。
  • ターゲット デバイスがサポートされているオペレーティング システムで実行されている
    • 64 ビットサーバーである必要があります
    • Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon Host センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョンは SHA-2 コード署名をサポートしている必要があります。
  • Google SecOps サービス アカウント ファイルと、Google SecOps サポートチームから提供されたお客様 ID

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード] > [新しいフィードを追加]
  • Content Hub > Content Packs > Get Started

このプロダクト ファミリー内のさまざまなログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

CrowdStrike Falcon ログを取り込む

このセクションでは、さまざまなタイプの CrowdStrike Falcon ログの取り込みを構成する方法について説明します。

EDR ログを取り込む(CS_EDR

CrowdStrike からログを送信する場所に応じて、次のいずれかの方法で CrowdStrike Falcon EDR ログを取り込むことができます。

  • Amazon SQS: Falcon Data Replicator フィードを使用します。
  • Amazon S3: S3 バケット用に構成された Google Security Operations フィードを使用します。
  • Google Cloud Storage: CrowdStrike がログを Cloud Storage バケットに push するように設定します。

次のいずれかの手順を選択します。

オプション 1: Amazon SQS から EDR ログを取り込む

この方法では、CrowdStrike Falcon Data Replicator を使用して EDR ログを Amazon SQS キューに送信し、Google Security Operations がそのキューをポーリングします。

  1. [CrowdStrike] パックをクリックします。

  2. [CrowdStrike Falcon] ログタイプで、次のフィールドの値を指定します。

    • ソース: Amazon SQS
    • リージョン: URI に関連付けられている S3 リージョン。
    • キュー名: ログデータの読み取り元となる SQS キューの名前。
    • S3 URI: S3 バケットのソース URI。
    • アカウント番号: SQS アカウント番号。
    • Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
    • Queue Secret Access Key: 40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    • ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。

    詳細オプション

    • フィード名: フィードを識別する値が事前入力されています。
    • Asset Namespace: フィードに関連付けられた名前空間
    • Ingestion Labels - このフィードのすべてのイベントに適用されるラベル。

  3. [フィードを作成] をクリックします。

このプロダクト ファミリー内のさまざまなログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

オプション 2: Amazon S3 バケットから EDR ログを取り込む

この方法では、Amazon S3 バケットから EDR ログを直接取得するように Google Security Operations フィードを設定します。

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Crowdstrike Falcon Logs)。
  5. [Source type] で [Amazon S3] を選択します。
  6. [Log type] で [CrowdStrike Falcon] を選択します。
  7. 作成したサービス アカウントと Amazon S3 バケットの構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region S3 リージョン URI。
    S3 uri S3 バケットのソース URI。
    uri is a URI が指すオブジェクトのタイプ(ファイルやフォルダなど)。
    source deletion option データの転送後にファイルとディレクトリを削除するオプション。
    access key id アクセスキー(20 文字の英数字の文字列)。例: AKIAOSFOODNN7EXAMPLE
    secret access key シークレット アクセスキー(40 文字の英数字文字列)。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公開 OAuth クライアント ID。
    oauth client secret OAuth 2.0 クライアント シークレット
    oauth secret refresh uri OAuth 2.0 クライアント シークレットの更新 URI。
    asset namespace フィードに関連付けられた名前空間。
  8. [次へ]、[送信] の順にクリックします。

オプション 3: Cloud Storage から EDR ログを取り込む

CrowdStrike を構成して EDR ログを Cloud Storage バケットに送信し、フィードを使用してこれらのログを Google Security Operations に取り込むことができます。このプロセスでは、CrowdStrike サポートとの連携が必要です。

  1. CrowdStrike サポートに連絡する: CrowdStrike にサポート チケットを送信して、EDR ログを Cloud Storage バケットに push する操作を有効にして構成します。必要な構成については、プロバイダにお問い合わせください。

  2. Cloud Storage バケットを作成して権限を付与します。

    1. Google Cloud コンソールで、新しい Cloud Storage バケットを作成します。バケット名(例: gs://my-crowdstrike-edr-logs/)をメモします。
    2. CrowdStrike が提供するサービス アカウントに書き込み権限を付与します。CrowdStrike サポートの手順に沿って操作します。

  3. Google SecOps フィードを構成します。

    1. Google SecOps インスタンスで、[設定] > [フィード] に移動し、[新規追加] をクリックします。
    2. わかりやすいフィード名を入力します(例: CS-EDR-GCS)。
    3. [ソースタイプ] で、[Google Cloud Storage V2] を選択します。
    4. [Log type] で [CrowdStrike Falcon] を選択します。
    5. [サービス アカウント] セクションで、[サービス アカウントを取得] をクリックします。表示された一意のサービス アカウントのメールアドレスをコピーします。
    6. Google Cloud コンソールで、Cloud Storage バケットに移動し、コピーしたサービス アカウントのメールアドレスに Storage Object Viewer IAM ロールを付与します。これにより、フィードでログファイルを読み取ることができます。
    7. Google SecOps のフィード構成ページに戻ります。
    8. [Storage Bucket URL](例: gs://my-crowdstrike-edr-logs/)を入力します。この URL は、末尾にスラッシュ(/)が付いている必要があります。
    9. [ソース削除オプション] を選択します。ファイルを削除しないことをおすすめします。
    10. [次へ] をクリックし、設定を確認して、[送信] をクリックします。

  4. ログの取り込みを確認する: CrowdStrike がログのプッシュを確認したら、ログタイプ CROWDSTRIKE_EDR を使用して Google SecOps で受信ログを確認します。

アラートログを取り込む(CS_ALERTS

CrowdStrike Falcon アラートを取り込むには、CrowdStrike API を使用するフィードを構成します。

  1. CrowdStrike Falcon コンソールで次の操作を行います。

    1. CrowdStrike Falcon コンソールにログインします。
    2. [サポートとリソース] > [リソースとツール] > [API クライアントとキー] に移動し、[API クライアントを作成] をクリックします。
    3. [クライアント名] と [説明] を入力します。
    4. [API スコープ] で、[アラート] の [読み取り] と [書き込み] のチェックボックスをオンにします。
    5. [作成] をクリックします。生成されたクライアント IDクライアント シークレットベース URL をメモします。

  2. Google Security Operations の場合:

    1. [設定] > [フィード] に移動し、[新規追加] をクリックします。
    2. [ソースタイプ] で [サードパーティ API] を選択します。
    3. [ログタイプ] で [CrowdStrike Alerts API] を選択します。
    4. [次へ] をクリックし、CrowdStrike API クライアントの値を使用して次のフィールドに入力します。
      • OAuth トークン エンドポイント
      • OAuth クライアント ID
      • OAuth クライアント シークレット
      • ベース URL
    5. [次へ]、[送信] の順にクリックします。

検出ログを取り込む(CS_DETECTS

CrowdStrike Falcon 検出ログを取り込む場合も、CrowdStrike API を使用します。

  1. CrowdStrike Falcon コンソールで次の操作を行います。

    1. CrowdStrike Falcon コンソールにログインします。
    2. [Support Apps] > [API Clients and Keys] に移動します。
    3. 新しい API クライアント鍵ペアを作成します。このキーペアには、Detections に対する READ 権限が必要です。

  2. Google Security Operations の場合:

    1. [設定] > [フィード] に移動し、[新規追加] をクリックします。
    2. [ソースタイプ] で [サードパーティ API] を選択します。
    3. [Log type] で [CrowdStrike Detection Monitoring] を選択します。
    4. [次へ]、[送信] の順にクリックします。作成した API 認証情報の入力を求められます。

IoC ログを取り込む(CS_IOC

CrowdStrike からセキュリティ侵害インジケータ(IoC)ログを取り込むには、Google SecOps Intel Bridge を使用します。

  1. CrowdStrike Falcon コンソールで、新しい API クライアント鍵ペアを作成します。このキーペアには、Indicators (Falcon Intelligence) に対する READ 権限が必要です。
  2. CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。

  3. 次の Docker コマンドを実行して、CrowdStrike から Google SecOps にログを送信します。sa.json は Google SecOps サービス アカウント ファイルです。

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  4. コンテナが実行されると、IoC ログが Google SecOps にストリーミングされ始めます。

これらの構成で問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

サポートされている CrowdStrike ログ形式

CrowdStrike パーサーは JSON 形式のログをサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。