CrowdStrike Falcon 로그 수집

이 문서에서는 CrowdStrike Falcon 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 여러 유형의 CrowdStrike Falcon 로그를 수집할 수 있으며 이 문서에서는 각 로그의 구체적인 구성을 설명합니다.

Google Security Operations의 데이터 수집에 대한 개요는 Google Security Operations에 데이터 수집을 참고하세요.

지원되는 CrowdStrike Falcon 로그 유형

Google Security Operations는 다음 수집 라벨이 있는 파서를 통해 다음과 같은 CrowdStrike Falcon 로그 유형을 지원합니다.

  • 엔드포인트 탐지 및 대응 (EDR): CS_EDR 이 파서는 파일 액세스 및 레지스트리 수정과 같은 CrowdStrike Falcon Data Replicator (FDR)의 거의 실시간 원격 분석 데이터를 파싱합니다. 데이터는 일반적으로 S3 또는 Cloud Storage 버킷에서 수집됩니다.

  • 감지: CS_DETECTS. 이 파서는 감지 API를 사용하여 CrowdStrike에서 감지 요약 이벤트를 파싱합니다. 엔드포인트 활동과 관련이 있지만 CS_DETECTSCS_EDR를 사용하여 파싱된 원시 원격 분석에 비해 상위 수준의 감지 요약을 제공합니다.

  • 알림: CS_ALERTS 이 파서는 Alerts API를 사용하여 CrowdStrike의 알림을 파싱합니다. CrowdStrike Alerts 파서는 다음 제품 유형을 지원합니다.

    • epp
    • idp
    • overwatch
    • xdr
    • mobile
    • cwpp
    • ngsiem

  • 침해 지표 (IoC): CS_IOC 이 파서는 CrowdStrike Chronicle Intel Bridge를 사용하여 CrowdStrike 위협 인텔리전스에서 침해 지표(IoC)와 공격 지표(IOA)를 파싱합니다. CrowdStrike 침해 지표 (IoC) 파서는 다음 지표 유형을 지원합니다.

    • domain
    • email_address
    • file_name
    • file_path
    • hash_md5
    • hash_sha1
    • hash_sha256
    • ip_address
    • mutex_name
    • url

Google SecOps에서는 CrowdStrike에서 포괄적인 데이터를 수집하기 위해 CS_EDR, CS_DETECTS, CS_IOC에 피드를 사용하는 것이 좋습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • CrowdStrike Falcon Host 센서를 설치할 수 있는 CrowdStrike 인스턴스의 관리자 권한
  • 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성됩니다.
  • 타겟 기기가 지원되는 운영체제에서 실행됨
    • 64비트 서버여야 합니다.
    • Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
    • 기존 OS 버전은 SHA-2 코드 서명을 지원해야 합니다.
  • Google SecOps 서비스 계정 파일 및 Google SecOps 지원팀에서 제공한 고객 ID

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

  • SIEM 설정 > 피드 > 새 피드 추가
  • 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

CrowdStrike Falcon 로그 수집

이 섹션에서는 다양한 유형의 CrowdStrike Falcon 로그의 수집을 구성하는 방법을 설명합니다.

EDR 로그 수집 (CS_EDR)

CrowdStrike에서 로그를 전송하려는 위치에 따라 다음 방법 중 하나를 사용하여 CrowdStrike Falcon EDR 로그를 수집할 수 있습니다.

  • Amazon SQS: Falcon Data Replicator 피드 사용
  • Amazon S3: S3 버킷에 대해 구성된 Google Security Operations 피드를 사용합니다.
  • Google Cloud Storage: CrowdStrike가 Cloud Storage 버킷에 로그를 푸시하도록 합니다.

다음 절차 중 하나를 선택합니다.

옵션 1: Amazon SQS에서 EDR 로그 수집

이 방법은 CrowdStrike Falcon Data Replicator를 사용하여 EDR 로그를 Amazon SQS 큐로 전송하며, Google Security Operations는 이 큐를 폴링합니다.

  1. CrowdStrike 팩을 클릭합니다.

  2. CrowdStrike Falcon 로그 유형에서 다음 필드의 값을 지정합니다.

    • 소스: Amazon SQS
    • 리전: URI와 연결된 S3 리전입니다.
    • Queue Name: 로그 데이터를 읽어올 SQS 큐의 이름입니다.
    • S3 URI: S3 버킷 소스 URI입니다.
    • 계정 번호: SQS 계정 번호입니다.
    • 대기열 액세스 키 ID: 20자리 계정 액세스 키 ID입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
    • 대기열 보안 비밀 액세스 키: 40자 보안 비밀 액세스 키입니다. 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.
    • 소스 삭제 옵션: 데이터를 전송한 후 파일과 디렉터리를 삭제하는 옵션입니다.

    고급 옵션

    • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 수집 라벨 – 이 피드의 모든 이벤트에 적용되는 라벨입니다.

  3. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

옵션 2: Amazon S3 버킷에서 EDR 로그 수집

이 방법은 Amazon S3 버킷에서 직접 EDR 로그를 가져오도록 Google Security Operations 피드를 설정하는 것입니다.

S3 버킷을 사용하여 인제션 피드를 설정하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
  5. 소스 유형에서 Amazon S3를 선택합니다.
  6. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  7. 사용자가 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    region S3 리전 URI입니다.
    S3 uri S3 버킷 소스 URI입니다.
    uri is a URI가 가리키는 객체의 유형입니다 (예: 파일 또는 폴더).
    source deletion option 데이터 전송 후 파일 및 디렉터리를 삭제하는 옵션입니다.
    access key id 액세스 키 (20자리 영숫자 문자열)입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
    secret access key 보안 비밀 액세스 키 (40자리 영숫자 문자열) 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.
    oauth client id 공개 OAuth 클라이언트 ID입니다.
    oauth client secret OAuth 2.0 클라이언트 보안 비밀번호입니다.
    oauth secret refresh uri OAuth 2.0 클라이언트 보안 비밀번호 새로고침 URI입니다.
    asset namespace 피드와 연결된 네임스페이스입니다.
  8. 다음을 클릭한 후 제출을 클릭합니다.

옵션 3: Cloud Storage에서 EDR 로그 수집

CrowdStrike가 EDR 로그를 Cloud Storage 버킷으로 전송하도록 구성한 다음 피드를 사용하여 이러한 로그를 Google Security Operations에 수집할 수 있습니다. 이 절차를 진행하려면 CrowdStrike 지원팀과 협력해야 합니다.

  1. CrowdStrike 지원팀에 문의: CrowdStrike에 지원 티켓을 제출하여 EDR 로그를 Cloud Storage 버킷으로 푸시하도록 사용 설정하고 구성합니다. 필요한 구성에 대한 안내를 제공합니다.

  2. Cloud Storage 버킷을 만들고 권한을 부여합니다.

    1. Google Cloud 콘솔에서 새 Cloud Storage 버킷을 만듭니다. 버킷 이름 (예: gs://my-crowdstrike-edr-logs/)을 기록해 둡니다.
    2. CrowdStrike에서 제공하는 서비스 계정에 쓰기 권한을 부여합니다. CrowdStrike 지원팀의 안내를 따릅니다.

  3. Google SecOps 피드 구성:

    1. Google SecOps 인스턴스에서 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
    2. 설명이 포함된 피드 이름을 입력합니다 (예: CS-EDR-GCS).
    3. 소스 유형으로 Google Cloud Storage V2를 선택합니다.
    4. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
    5. 서비스 계정 섹션에서 서비스 계정 가져오기를 클릭합니다. 표시된 고유한 서비스 계정 이메일 주소를 복사합니다.
    6. Google Cloud 콘솔에서 Cloud Storage 버킷으로 이동하여 복사한 서비스 계정 이메일 주소에 Storage Object Viewer IAM 역할을 부여합니다. 이렇게 하면 피드에서 로그 파일을 읽을 수 있습니다.
    7. Google SecOps 피드 구성 페이지로 돌아갑니다.
    8. 스토리지 버킷 URL (예: gs://my-crowdstrike-edr-logs/)을 입력합니다. 이 URL은 뒤에 슬래시 (/)로 끝나야 합니다.
    9. 소스 삭제 옵션을 선택합니다. 파일 삭제 안함을 사용하는 것이 좋습니다.
    10. 다음을 클릭하고, 설정을 검토한 후 제출을 클릭합니다.

  4. 로그 수집 확인: CrowdStrike에서 로그가 푸시되고 있음을 확인한 후 로그 유형이 CROWDSTRIKE_EDR인 수신 로그를 Google SecOps에서 확인합니다.

알림 로그 수집 (CS_ALERTS)

CrowdStrike Falcon 알림을 수집하려면 CrowdStrike API를 사용하는 피드를 구성합니다.

  1. CrowdStrike Falcon 콘솔:

    1. CrowdStrike Falcon Console에 로그인합니다.
    2. 지원 및 리소스 > 리소스 및 도구 > API 클라이언트 및 키로 이동하여 API 클라이언트 만들기를 클릭합니다.
    3. 클라이언트 이름설명을 입력합니다.
    4. API 범위에서 알림읽기쓰기 체크박스를 선택합니다.
    5. 만들기를 클릭합니다. 생성된 클라이언트 ID, 클라이언트 보안 비밀번호, 기본 URL을 기록해 둡니다.

  2. Google Security Operations:

    1. 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
    2. 소스 유형으로 서드 파티 API를 선택합니다.
    3. 로그 유형으로 CrowdStrike Alerts API를 선택합니다.
    4. 다음을 클릭하고 CrowdStrike API 클라이언트의 값을 사용하여 다음 필드를 작성합니다.
      • OAuth 토큰 엔드포인트
      • OAuth 클라이언트 ID
      • OAuth 클라이언트 보안 비밀번호
      • 기준 URL
    5. 다음을 클릭한 후 제출을 클릭합니다.

탐지 로그 수집 (CS_DETECTS)

CrowdStrike Falcon 감지 로그를 수집하려면 CrowdStrike API도 사용합니다.

  1. CrowdStrike Falcon 콘솔:

    1. CrowdStrike Falcon Console에 로그인합니다.
    2. 지원 앱 > API 클라이언트 및 키로 이동합니다.
    3. 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 Detections에 대한 READ 권한이 있어야 합니다.

  2. Google Security Operations:

    1. 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
    2. 소스 유형으로 서드 파티 API를 선택합니다.
    3. 로그 유형으로 CrowdStrike 감지 모니터링을 선택합니다.
    4. 다음을 클릭한 후 제출을 클릭합니다. 만든 API 사용자 인증 정보를 입력하라는 메시지가 표시됩니다.

IoC 로그 수집 (CS_IOC)

CrowdStrike에서 침해 지표 (IoC) 로그를 수집하려면 Google SecOps Intel Bridge를 사용합니다.

  1. CrowdStrike Falcon 콘솔에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 Indicators (Falcon Intelligence)에 대한 READ 권한이 있어야 합니다.
  2. CrowdStrike to Google SecOps Intel Bridge의 안내에 따라 Google SecOps Intel Bridge를 설정합니다.

  3. 다음 Docker 명령어를 실행하여 CrowdStrike의 로그를 Google SecOps로 전송합니다. sa.json은 Google SecOps 서비스 계정 파일입니다.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  4. 컨테이너가 실행되면 IoC 로그가 Google SecOps로 스트리밍되기 시작합니다.

이러한 구성에 문제가 있는 경우 Google SecOps 지원팀에 문의하세요.

지원되는 CrowdStrike 로그 형식

CrowdStrike 파서는 JSON 형식의 로그를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.