Collecter les journaux CrowdStrike Falcon

Ce document explique comment ingérer les journaux CrowdStrike Falcon dans Google Security Operations. Vous pouvez ingérer plusieurs types de journaux CrowdStrike Falcon. Ce document décrit la configuration spécifique pour chacun d'eux.

Pour obtenir une vue d'ensemble de l'ingestion de données dans Google Security Operations, consultez Ingestion de données dans Google Security Operations.

Types de journaux CrowdStrike Falcon acceptés

Google Security Operations est compatible avec les types de journaux CrowdStrike Falcon suivants via les analyseurs avec les libellés d'ingestion suivants :

  • Endpoint Detection and Response (EDR) : CS_EDR. Ce parseur analyse les données de télémétrie en temps quasi réel provenant de CrowdStrike Falcon Data Replicator (FDR), telles que les accès aux fichiers et les modifications du registre. Les données sont généralement ingérées à partir d'un bucket S3 ou Cloud Storage.

  • Détections : CS_DETECTS. Ce parseur analyse les événements de résumé de détection de CrowdStrike à l'aide de l'API Detect. Bien qu'elles soient liées à l'activité des points de terminaison, les CS_DETECTS fournissent des résumés de détection de niveau supérieur par rapport à la télémétrie brute analysée à l'aide de CS_EDR.

  • Alertes : CS_ALERTS. Ce parseur analyse les alertes de CrowdStrike à l'aide de l'API Alerts. L'analyseur d'alertes CrowdStrike est compatible avec les types de produits suivants :

    • epp
    • idp
    • overwatch
    • xdr
    • mobile
    • cwpp
    • ngsiem

  • Indicateurs de compromission (IoC) : CS_IOC. Ce parseur analyse les IoC et les indicateurs d'attaque (IOA) à partir des renseignements sur les menaces CrowdStrike à l'aide de CrowdStrike Chronicle Intel Bridge. L'analyseur d'indicateurs de compromission (IoC) CrowdStrike est compatible avec les types d'indicateurs suivants :

    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Google SecOps recommande d'utiliser des flux pour CS_EDR, CS_DETECTS et CS_IOC afin d'ingérer des données complètes à partir de CrowdStrike.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Droits d'administrateur sur l'instance CrowdStrike pour installer le capteur CrowdStrike Falcon Host
  • Tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
  • L'appareil cible exécute un système d'exploitation compatible.
    • Doit être un serveur 64 bits
    • Microsoft Windows Server 2008 R2 SP1 est compatible avec le capteur CrowdStrike Falcon Host version 6.51 ou ultérieure.
    • Les anciennes versions de l'OS doivent être compatibles avec la signature de code SHA-2.
  • Fichier du compte de service Google SecOps et votre numéro client fourni par l'équipe d'assistance Google SecOps

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux > Ajouter un flux
  • Plate-forme de contenu> Packs de contenu> Premiers pas

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Ingérer les journaux CrowdStrike Falcon

Cette section explique comment configurer l'ingestion pour les différents types de journaux CrowdStrike Falcon.

Ingérer les journaux EDR (CS_EDR)

Vous pouvez ingérer les journaux CrowdStrike Falcon EDR à l'aide de l'une des méthodes suivantes, selon l'endroit où vous souhaitez envoyer les journaux depuis CrowdStrike :

  • Amazon SQS : utilisation d'un flux Falcon Data Replicator.
  • Amazon S3 : utilisation d'un flux Google Security Operations configuré pour un bucket S3.
  • Google Cloud Storage : CrowdStrike envoie les journaux à un bucket Cloud Storage.

Choisissez l'une des procédures suivantes.

Option 1 : Ingérer les journaux EDR depuis Amazon SQS

Cette méthode utilise CrowdStrike Falcon Data Replicator pour envoyer les journaux EDR à une file d'attente Amazon SQS, que Google Security Operations interroge ensuite.

  1. Cliquez sur le pack CrowdStrike.

  2. Dans le type de journal CrowdStrike Falcon, spécifiez les valeurs des champs suivants :

    • Source : Amazon SQS
    • Région : région S3 associée à l'URI.
    • Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données de journaux.
    • URI S3 : URI source du bucket S3.
    • Numéro de compte : numéro de compte SQS.
    • ID de clé d'accès à la file d'attente : ID de clé d'accès au compte de 20 caractères. Exemple :AKIAOSFOODNN7EXAMPLE
    • Clé d'accès secrète de la file d'attente : clé d'accès secrète de 40 caractères. Exemple :wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    • Option de suppression de la source : permet de supprimer les fichiers et les répertoires après le transfert des données.

    Options avancées

    • Nom du flux : valeur préremplie qui identifie le flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Étiquettes d'ingestion : étiquettes appliquées à tous les événements de ce flux.

  3. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Option 2 : Ingérer les journaux EDR à partir d'un bucket Amazon S3

Cette méthode consiste à configurer un flux Google Security Operations pour extraire les journaux EDR directement depuis un bucket Amazon S3.

Pour configurer un flux d'ingestion à l'aide d'un bucket S3, procédez comme suit :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Crowdstrike Falcon).
  5. Dans Type de source, sélectionnez Amazon S3.
  6. Dans Type de journal, sélectionnez CrowdStrike Falcon.
  7. En fonction du compte de service et de la configuration du bucket Amazon S3 que vous avez créés, spécifiez des valeurs pour les champs suivants :
    Champ Description
    region URI de la région S3.
    S3 uri URI de la source du bucket S3.
    uri is a Type d'objet vers lequel pointe l'URI (par exemple, fichier ou dossier).
    source deletion option Possibilité de supprimer les fichiers et les répertoires après le transfert des données.
    access key id Clé d'accès (chaîne alphanumérique de 20 caractères). Par exemple, AKIAOSFOODNN7EXAMPLE.
    secret access key Clé d'accès secrète (chaîne alphanumérique de 40 caractères). Par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth public.
    oauth client secret Code secret du client OAuth 2.0.
    oauth secret refresh uri URI d'actualisation du code secret du client OAuth 2.0.
    asset namespace Espace de noms associé au flux.
  8. Cliquez sur Suivant, puis sur Envoyer.

Option 3 : Ingérer les journaux EDR depuis Cloud Storage

Vous pouvez configurer CrowdStrike pour qu'il envoie les journaux EDR à un bucket Cloud Storage, puis ingérer ces journaux dans Google Security Operations à l'aide d'un flux. Ce processus nécessite une coordination avec l'assistance CrowdStrike.

  1. Contactez l'assistance CrowdStrike : ouvrez une demande d'assistance auprès de CrowdStrike pour activer et configurer l'envoi des journaux EDR vers votre bucket Cloud Storage. Il vous guidera pour les configurations requises.

  2. Créez et autorisez le bucket Cloud Storage :

    1. Dans la console Google Cloud , créez un bucket Cloud Storage. Notez le nom du bucket (par exemple, gs://my-crowdstrike-edr-logs/).
    2. Accordez des autorisations d'écriture au compte de service fourni par CrowdStrike. Suivez les instructions de l'assistance CrowdStrike.

  3. Configurez le flux Google SecOps :

    1. Dans votre instance Google SecOps, accédez à Settings > Feeds (Paramètres > Flux), puis cliquez sur Add New (Ajouter).
    2. Saisissez un nom de flux descriptif (par exemple, CS-EDR-GCS).
    3. Pour Type de source, sélectionnez Google Cloud Storage V2.
    4. Pour Type de journal, sélectionnez CrowdStrike Falcon.
    5. Dans la section "Compte de service", cliquez sur Obtenir un compte de service. Copiez l'adresse e-mail unique du compte de service affichée.
    6. Dans la console Google Cloud , accédez à votre bucket Cloud Storage et accordez le rôle IAM Storage Object Viewer à l'adresse e-mail du compte de service que vous avez copiée. Cela permet au flux de lire les fichiers journaux.
    7. Revenez à la page de configuration du flux Google SecOps.
    8. Saisissez l'URL du bucket Storage (par exemple, gs://my-crowdstrike-edr-logs/). Cette URL doit se terminer par une barre oblique (/).
    9. Sélectionnez une option de suppression de la source. Nous vous recommandons de sélectionner Ne jamais supprimer les fichiers.
    10. Cliquez sur Suivant, vérifiez les paramètres, puis cliquez sur Envoyer.

  4. Vérifiez l'ingestion des journaux : une fois que CrowdStrike a confirmé que les journaux sont transférés, recherchez les journaux entrants dans Google SecOps avec le type de journal CROWDSTRIKE_EDR.

Ingérer les journaux des alertes (CS_ALERTS)

Pour ingérer les alertes CrowdStrike Falcon, configurez un flux qui utilise l'API CrowdStrike.

  1. Dans la console CrowdStrike Falcon :

    1. Connectez-vous à la console CrowdStrike Falcon.
    2. Accédez à Assistance et ressources > Ressources et outils > Clients et clés API, puis cliquez sur Créer un client API.
    3. Saisissez un nom de client et une description.
    4. Pour Niveaux d'accès aux API, cochez les cases Lecture et Écriture pour Alertes.
    5. Cliquez sur Créer. Notez l'ID client, le code secret du client et l'URL de base générés.

  2. Dans Google Security Operations :

    1. Accédez à Settings > Feeds (Paramètres > Flux), puis cliquez sur Add New (Ajouter).
    2. Sélectionnez API tierce pour Type de source.
    3. Sélectionnez API CrowdStrike Alerts pour Type de journal.
    4. Cliquez sur Suivant et renseignez les champs suivants à l'aide des valeurs du client API CrowdStrike :
      • Point de terminaison des jetons OAuth
      • ID client OAuth
      • Code secret du client OAuth
      • URL de base
    5. Cliquez sur Suivant, puis sur Envoyer.

Ingérer les journaux de détection (CS_DETECTS)

Pour ingérer les journaux de détection CrowdStrike Falcon, vous devez également utiliser l'API CrowdStrike.

  1. Dans la console CrowdStrike Falcon :

    1. Connectez-vous à la console CrowdStrike Falcon.
    2. Accédez à Applications d'assistance > Clients et clés API.
    3. Créez une paire de clés client API. Cette paire de clés doit disposer des autorisations READ pour Detections.

  2. Dans Google Security Operations :

    1. Accédez à Settings > Feeds (Paramètres > Flux), puis cliquez sur Add New (Ajouter).
    2. Sélectionnez API tierce pour Type de source.
    3. Sélectionnez Surveillance des détections CrowdStrike pour Type de journal.
    4. Cliquez sur Suivant, puis sur Envoyer. Vous serez invité à fournir les identifiants d'API que vous avez créés.

Ingérer les journaux d'IoC (CS_IOC)

Pour ingérer les journaux d'indicateurs de compromission (IoC) de CrowdStrike, vous utilisez Google SecOps Intel Bridge.

  1. Dans la console CrowdStrike Falcon, créez une paire de clés client API. Cette paire de clés doit disposer de l'autorisation READ pour Indicators (Falcon Intelligence).
  2. Configurez Google SecOps Intel Bridge en suivant les instructions de la page CrowdStrike to Google SecOps Intel Bridge.

  3. Exécutez les commandes Docker suivantes pour envoyer les journaux de CrowdStrike à Google SecOps. sa.json est le fichier de votre compte de service Google SecOps.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  4. Une fois le conteneur en cours d'exécution, les journaux d'IoC commencent à être diffusés dans Google SecOps.

Si vous rencontrez des problèmes avec l'une de ces configurations, contactez l'équipe d'assistance Google SecOps.

Formats de journaux CrowdStrike acceptés

L'analyseur CrowdStrike est compatible avec les journaux au format JSON.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.