Diese Seite wurde von der Cloud Translation API übersetzt.

CrowdStrike Falcon-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie CrowdStrike Falcon-Logs in Google Security Operations aufnehmen. Sie können verschiedene Arten von CrowdStrike Falcon-Logs aufnehmen. In diesem Dokument wird die spezifische Konfiguration für jede Art beschrieben.

Eine allgemeine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Unterstützte CrowdStrike Falcon-Logtypen

Google Security Operations unterstützt die folgenden CrowdStrike Falcon-Logtypen über die Parser mit den folgenden Ingestion-Labels:

Endpoint Detection and Response (EDR): CS_EDR. Mit diesem Parser werden Telemetriedaten nahezu in Echtzeit aus CrowdStrike Falcon Data Replicator (FDR) geparst, z. B. Datei- und Registrierungsänderungen. Daten werden in der Regel aus einem S3- oder Cloud Storage-Bucket aufgenommen.
Erkennungen: CS_DETECTS. Dieser Parser analysiert Ereignisse vom Typ „Detection Summary“ von CrowdStrike mithilfe der Detect API. CS_DETECTS bezieht sich zwar auf Endpunktaktivitäten, bietet aber im Vergleich zu den mit CS_EDR geparsten Rohdaten der Telemetrie Zusammenfassungen auf höherer Ebene.

Hinweis :CrowdStrike hat den Endpunkt „Detects“ eingestellt. Wir empfehlen, stattdessen CS_ALERTS zum Erfassen von Erkennungslogs zu verwenden.
Benachrichtigungen: CS_ALERTS. Dieser Parser parst Warnungen von CrowdStrike mithilfe der Alerts API. Der CrowdStrike Alerts-Parser unterstützt die folgenden Produkttypen:
- epp
- idp
- overwatch
- xdr
- mobile
- cwpp
- ngsiem
Kompromittierungsindikatoren (Indicators of Compromise, IoC): CS_IOC. Dieser Parser analysiert IoCs und Indicators of Attack (IOAs) aus CrowdStrike Threat Intelligence mithilfe der CrowdStrike Chronicle Intel Bridge. Der CrowdStrike-Parser für Kompromittierungsindikatoren (IoC) unterstützt die folgenden Indikatortypen:
- domain
- email_address
- file_name
- file_path
- hash_md5
- hash_sha1
- hash_sha256
- ip_address
- mutex_name
- url

Google SecOps empfiehlt, Feeds für CS_EDR, CS_DETECTS und CS_IOC zu verwenden, um umfassende Daten von CrowdStrike aufzunehmen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon Host-Sensors
Alle Systeme in der Bereitstellungsarchitektur sind in der UTC-Zeitzone konfiguriert.
Das Zielgerät wird auf einem unterstützten Betriebssystem ausgeführt.
- Muss ein 64-Bit-Server sein
- Microsoft Windows Server 2008 R2 SP1 wird für die Version 6.51 oder höher des CrowdStrike Falcon Host-Sensors unterstützt.
- Ältere Betriebssystemversionen müssen die SHA-2-Codesignierung unterstützen.
Google SecOps-Dienstkontodatei und Ihre Kunden-ID vom Google SecOps-Supportteam

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
Content Hub > Content-Pakete > Erste Schritte

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

CrowdStrike Falcon-Logs aufnehmen

In diesem Abschnitt wird beschrieben, wie Sie die Erfassung für die verschiedenen Arten von CrowdStrike Falcon-Logs konfigurieren.

EDR-Logs aufnehmen (`CS_EDR`)

Sie haben folgende Möglichkeiten, CrowdStrike Falcon EDR-Logs aufzunehmen, je nachdem, von wo aus Sie die Logs von CrowdStrike senden möchten:

Amazon SQS: Verwenden eines Falcon Data Replicator-Feeds.
Amazon S3: Verwenden eines Google Security Operations-Feeds, der für einen S3-Bucket konfiguriert ist.
Google Cloud Storage: CrowdStrike kann Logs in einen Cloud Storage-Bucket übertragen.

Wählen Sie eine der folgenden Methoden aus.

Option 1: EDR-Logs aus Amazon SQS aufnehmen

Bei dieser Methode wird der CrowdStrike Falcon Data Replicator verwendet, um EDR-Protokolle an eine Amazon SQS-Warteschlange zu senden, die dann von Google Security Operations abgefragt wird.

Klicken Sie auf das CrowdStrike-Paket.
Geben Sie für den Protokolltyp CrowdStrike Falcon Werte für die folgenden Felder an:
- Quelle: Amazon SQS
- Region: Die S3-Region, die dem URI zugeordnet ist.
- Warteschlangenname: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
- S3-URI: Der Quell-URI des S3-Buckets.
- Kontonummer: Die SQS-Kontonummer.
- Warteschlangen-Zugriffsschlüssel-ID: 20-stellige Zugriffsschlüssel-ID für das Konto. Beispiel: AKIAOSFOODNN7EXAMPLE.
- Secret-Zugriffsschlüssel für die Warteschlange: 40 Zeichen langer geheimer Zugriffsschlüssel. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
- Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Labels für die Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Option 2: EDR-Protokolle aus einem Amazon S3-Bucket aufnehmen

Bei dieser Methode wird ein Google Security Operations-Feed eingerichtet, um EDR-Logs direkt aus einem Amazon S3-Bucket abzurufen.

So richten Sie einen Ingest-Feed mit einem S3-Bucket ein:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Logs.
Wählen Sie unter Quelltyp die Option Amazon S3 aus.
Wählen Sie unter Logtyp die Option CrowdStrike Falcon aus.

Geben Sie basierend auf dem von Ihnen erstellten Dienstkonto und der Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:

Feld	Beschreibung
`region`	S3-Regions-URI.
`S3 uri`	Quell-URI des S3-Buckets.
`uri is a`	Der Typ des Objekts, auf das der URI verweist, z. B. „file“ (Datei) oder „folder“ (Ordner).
`source deletion option`	Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
`access key id`	Zugriffsschlüssel (alphanumerischer String mit 20 Zeichen). Beispiel: `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Geheimer Zugriffsschlüssel (alphanumerischer String mit 40 Zeichen). Beispiel: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	Öffentliche OAuth-Client-ID.
`oauth client secret`	OAuth 2.0-Clientschlüssel.
`oauth secret refresh uri`	Aktualisierungs-URI für den OAuth 2.0-Clientschlüssel.
`asset namespace`	Der Namespace, der dem Feed zugeordnet ist.

Klicken Sie auf Weiter und dann auf Senden.

Option 3: EDR-Logs aus Cloud Storage aufnehmen

Sie können CrowdStrike so konfigurieren, dass EDR-Logs an einen Cloud Storage-Bucket gesendet werden. Anschließend können Sie diese Logs über einen Feed in Google Security Operations aufnehmen. Für diesen Vorgang ist eine Abstimmung mit dem CrowdStrike-Support erforderlich.

CrowdStrike-Support kontaktieren:Erstellen Sie ein Support-Ticket bei CrowdStrike, um das Senden von EDR-Logs an Ihren Cloud Storage-Bucket zu aktivieren und zu konfigurieren. Sie erhalten dort Informationen zu den erforderlichen Konfigurationen.
Cloud Storage-Bucket erstellen und Berechtigungen festlegen:
1. Erstellen Sie in der Google Cloud -Konsole einen neuen Cloud Storage-Bucket. Notieren Sie sich den Bucket-Namen (z. B. gs://my-crowdstrike-edr-logs/).
2. Gewähren Sie dem von CrowdStrike bereitgestellten Dienstkonto Schreibberechtigungen. Folgen Sie der Anleitung des CrowdStrike-Supports.
Google SecOps-Feed konfigurieren:
1. Rufen Sie in Ihrer Google SecOps-Instanz Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
2. Geben Sie einen aussagekräftigen Feednamen ein, z. B. CS-EDR-GCS.
3. Wählen Sie als Quelltyp die Option Google Cloud Storage V2 aus.
4. Wählen Sie als Logtyp die Option CrowdStrike Falcon aus.
5. Klicken Sie im Abschnitt „Dienstkonto“ auf Dienstkonto abrufen. Kopieren Sie die angezeigte eindeutige E‑Mail-Adresse des Dienstkontos.
6. Rufen Sie in der Google Cloud -Konsole Ihren Cloud Storage-Bucket auf und weisen Sie der kopierten E-Mail-Adresse des Dienstkontos die IAM-Rolle Storage Object Viewer zu. Dadurch kann der Feed die Logdateien lesen.
7. Kehren Sie zur Seite für die Konfiguration des Google SecOps-Feeds zurück.
8. Geben Sie die Storage-Bucket-URL ein, z. B. gs://my-crowdstrike-edr-logs/. Diese URL muss mit einem abschließenden Schrägstrich (/) enden.
9. Wählen Sie eine Option zum Löschen der Quelle aus. Die Option Dateien nie löschen wird empfohlen.
10. Klicken Sie auf Weiter, prüfen Sie die Einstellungen und klicken Sie dann auf Senden.
Log-Aufnahme prüfen:Nachdem CrowdStrike bestätigt hat, dass Logs übertragen werden, suchen Sie in Google SecOps nach eingehenden Logs mit dem Logtyp CROWDSTRIKE_EDR.

Logs für Benachrichtigungen aufnehmen (`CS_ALERTS`)

Wenn Sie CrowdStrike Falcon-Benachrichtigungen aufnehmen möchten, konfigurieren Sie einen Feed, der die CrowdStrike API verwendet.

In der CrowdStrike Falcon Console:
1. Melden Sie sich in der CrowdStrike Falcon Console an.
2. Rufen Sie Support und Ressourcen > Ressourcen und Tools > API-Clients und ‑Schlüssel auf und klicken Sie auf API-Client erstellen.
3. Geben Sie einen Client-Namen und eine Beschreibung ein.
4. Wählen Sie unter API-Bereiche die Kästchen Lesen und Schreiben für Benachrichtigungen aus.
5. Klicken Sie auf Erstellen. Notieren Sie sich die generierte Client-ID, das Client-Secret und die Basis-URL.
In Google Security Operations:
1. Rufen Sie Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
2. Wählen Sie als Quelltyp die Option Drittanbieter-API aus.
3. Wählen Sie für Log type (Protokolltyp) die Option CrowdStrike Alerts API aus.
4. Klicken Sie auf Weiter und füllen Sie die folgenden Felder mit den Werten aus dem CrowdStrike API-Client aus:
  - OAuth-Token-Endpunkt
  - OAuth-Client-ID
  - OAuth-Clientschlüssel
  - Basis-URL
5. Klicken Sie auf Weiter und dann auf Senden.

Erkennungslogs aufnehmen (`CS_DETECTS`)

Zum Erfassen von CrowdStrike Falcon-Erkennungslogs verwenden Sie ebenfalls die CrowdStrike API.

In der CrowdStrike Falcon Console:
1. Melden Sie sich in der CrowdStrike Falcon Console an.
2. Klicken Sie auf Support Apps > API Clients and Keys (Support-Apps > API-Clients und ‑Schlüssel).
3. Erstellen Sie ein neues API-Clientschlüsselpaar. Dieses Schlüsselpaar muss die Berechtigungen READ für Detections haben.
In Google Security Operations:
1. Rufen Sie Einstellungen > Feeds auf und klicken Sie auf Neu hinzufügen.
2. Wählen Sie als Quelltyp die Option Drittanbieter-API aus.
3. Wählen Sie CrowdStrike Detection Monitoring als Log type (Protokolltyp) aus.
4. Klicken Sie auf Weiter und dann auf Senden. Sie werden aufgefordert, die von Ihnen erstellten API-Anmeldedaten einzugeben.

IoC-Logs aufnehmen (`CS_IOC`)

Wenn Sie IoC-Logs (Indicator of Compromise) von CrowdStrike aufnehmen möchten, verwenden Sie die Google SecOps Intel Bridge.

Erstellen Sie in der CrowdStrike Falcon Console ein neues API-Client-Schlüsselpaar. Dieses Schlüsselpaar muss die Berechtigung READ für Indicators (Falcon Intelligence) haben.
Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike to Google SecOps Intel Bridge.

Führen Sie die folgenden Docker-Befehle aus, um die Protokolle von CrowdStrike an Google SecOps zu senden. sa.json ist die Datei Ihres Google SecOps-Dienstkontos.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Sobald der Container ausgeführt wird, werden IoC-Logs in Google SecOps gestreamt.

Wenn Sie Probleme mit einer dieser Konfigurationen haben, wenden Sie sich an das Google SecOps-Supportteam.

UDM-Zuordnungsdelta für CrowdStrike-Benachrichtigungslogs.

UDM-Zuordnungsdelta-Referenz: CS_ALERTS

In der folgenden Tabelle sind die Unterschiede zwischen dem Standardparser von CS ALERTS und der Premium-Version von CS ALERTS aufgeführt.

Default UDM Mapping	Log Field	Premium Mapping Delta
`about.resource.product_object_id`	`cid`	Removed mapping to avoid duplication, as the `cid` log field is also mapped to `metadata.product_deployment_id`.
`principal.asset.platform_software.platform`	`platform`	If the `device.platform_name` log field value is empty and the `platform` log field value is not empty and if the `platform` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `platform` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `platform` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `platform` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`.
`security_result.detection_fields[agent_id]`	`agent_id`	If the `device.device_id` log field value is empty and the `host_id` log field value is empty and the `mdm_device_id` log field value is empty then, `CS:%{agent_id}` log field is mapped to the `principal.asset_id` UDM field. Else, the `principal.asset.attribute.labels.key` UDM field is set to `agent_id` and `agent_id` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`security_result.detection_fields[idp_policy_account_event_type]`	`idp_policy_account_event_type`	`security_result.rule_labels[idp_policy_account_event_type]`
`security_result.detection_fields[idp_policy_mfa_factor_type]`	`idp_policy_mfa_factor_type`	`security_result.rule_labels[idp_policy_mfa_factor_type]`
`security_result.detection_fields[idp_policy_mfa_provider_name]`	`idp_policy_mfa_provider_name`	`security_result.rule_labels[idp_policy_mfa_provider_name]`
`security_result.detection_fields[idp_policy_mfa_provider]`	`idp_policy_mfa_provider`	`security_result.rule_labels[idp_policy_mfa_provider]`
`security_result.detection_fields[idp_policy_rule_action]`	`idp_policy_rule_action`	`security_result.rule_labels[idp_policy_rule_action]`
`security_result.detection_fields[idp_policy_rule_trigger]`	`idp_policy_rule_trigger`	`security_result.rule_labels[idp_policy_rule_trigger]`
`security_result.detection_fields[idp_policy_rule_id]`	`idp_policy_rule_id`	`security_result.rule_id`
`security_result.detection_fields[idp_policy_rule_name]`	`idp_policy_rule_name`	`security_result.rule_name`
`security_result.detection_fields[status]`	`status`	If the `status` log field value matches the regular expression pattern `(?i)new` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `NEW`. Else, if `status` log field value matches the regular expression pattern `(?i)closed` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `CLOSED`. Else, `status` log field is mapped to the `security_result.detection_fields[status]` UDM field.
`target.process.file.mime_type`	`alleged_filetype`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `alleged_filetype` log field is mapped to the `target.file.mime_type` UDM field. Else, `alleged_filetype` log field is mapped to the `target.process.file.mime_type` UDM field.
`principal.resource.product_object_id`	`device.cid`	`principal.asset.attribute.labels[device_cid]`
`security_result.detection_fields[active_directory_dn_display]`	`device.hostinfo.active_directory_dn_display`	Iterate through log field `device.hostinfo.active_directory_dn_display`, then the `security_result.detection_fields.key` UDM field is set to `device_hostinfo_active_directory_dn_display` and `device.hostinfo.active_directory_dn_display` log field is mapped to the `security_result.detection_fields.value` UDM field.
`principal.asset.platform_software.platform`	`device.platform_name`	If the `device.platform_name` log field value is not empty and if the `device.platform_name` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. if the `platform` log field value is not empty and the `device.platform_name` log field value is equal to `the platform log field value` then, the `principal.asset.attribute.labels.key` UDM field is set to `platform` and `platform` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`principal.asset.platform_software.platform_version`	`device.system_product_name`	`principal.asset.hardware.model`
`target.process.file.names`	`filename`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filename` log field is mapped to the `target.file.names` UDM field. Else, `filename` log field is mapped to the `target.process.file.names` UDM field.
`target.file.full_path`	`filepath`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filepath` log field is mapped to the `target.file.full_path` UDM field. Else, `filepath` log field is mapped to the `target.process.file.full_path` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `macros.ioc_description` log field value is not empty then, `macros.ioc_description` log field is mapped to the `target.file.full_path` UDM field and the `security_result.detection_fields.key` UDM field is set to `filepath` and `filepath` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process_ancestors.command_line`	`grandparent_details.cmdline`	`target.process.parent_process.parent_process.command_line`
`target.process_ancestors.file.names`	`grandparent_details.filename`	`target.process.parent_process.parent_process.file.names`
`target.process_ancestors.file.full_path`	`grandparent_details.filepath`	`target.process.parent_process.parent_process.file.full_path`
`target.process_ancestors.file.md5`	`grandparent_details.md5`	`target.process.parent_process.parent_process.file.md5`
`target.process_ancestors.product_specific_process_id`	`grandparent_details.process_graph_id`	If the `grandparent_details.process_graph_id` log field value is not empty then, `PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id}` log field is mapped to the `target.process.parent_process.parent_process.product_specific_process_id` UDM field.
`target.process_ancestors.pid`	`grandparent_details.process_id`	`target.process.parent_process.parent_process.pid`
`target.process_ancestors.file.sha256`	`grandparent_details.sha256`	`target.process.parent_process.parent_process.file.sha256`
`security_result.detection_fields[ioc_description]`	`ioc_context.ioc_description`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_description` and `ioc_context.ioc_description` log field is mapped to the `security_result.detection_fields.value` UDM field.
`security_result.detection_fields[ioc_source]`	`ioc_context.ioc_source`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_source` and `ioc_context.ioc_source` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process.file.md5`	`md5`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `md5` log field is mapped to the `target.file.md5` UDM field. Else, `md5` log field is mapped to the `target.process.file.md5` UDM field.
`target.process.file.sha1`	`sha1`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha1` log field is mapped to the `target.file.sha1` UDM field. Else, `sha1` log field is mapped to the `target.process.file.sha1` UDM field.
`target.file.sha256`	`sha256`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha256` log field is mapped to the `target.file.sha256` UDM field. Else, `sha256` log field is mapped to the `target.process.file.sha256` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `ioc_type` log field value is equal to `hash_sha256` and the `macros.ioc_value` log field value is not empty then, `macros.ioc_value` log field is mapped to the `target.file.sha256` UDM field and the `security_result.detection_fields.key` UDM field is set to `sha256` and `sha256` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.asset.platform_software.platform`	`operating_system`	If the `operating_system` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`security_result.detection_fields[agent_version]`	`agent_version`	`principal.asset.attribute.labels[agent_version]`
`about.email`	`enrollment_email`	`principal.user.email_addresses`
`principal.asset.type`		If the `mdm_device_id` log field value is not empty or the `mobile_hardware` log field value is not empty or the `mobile_manufacturer` log field value is not empty or the `mobile_serial` log field value is not empty then, the `principal.asset.type` UDM field is set to `MOBILE`.
`security_result.detection_fields[detection_context_user_is_admin]`	`detection_context.user_is_admin`	`security_result.about.user.attribute.label[detection_context_user_is_admin]`
`security_result.detection_fields[detection_context_user_sid]`	`detection_context.user_sid`	`security_result.about.user.attribute.label[detection_context_user_sid]`
`principal.asset.attribute.labels[pod_id]`	`device.pod_id`	`principal.resource.product_object_id`
`principal.asset.attribute.labels[pod_labels]`	`device.pod_labels`	`principal.resource.attribute.labels[pod_labels]`
`principal.asset.attribute.labels[pod_name]`	`device.pod_name`	`principal.resource.name`
`principal.asset.attribute.labels[pod_namespace]`	`device.pod_namespace`	`principal.resource.attribute.labels[pod_namespace]`
`principal.asset.attribute.labels[pod_service_account_name]`	`device.pod_service_account_name`	`principal.resource.attribute.labels[pod_service_account_name]`

Unterstützte CrowdStrike-Logformate

Der CrowdStrike-Parser unterstützt Logs im JSON-Format.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten