Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di CrowdStrike Falcon

Questo documento descrive come importare i log di CrowdStrike Falcon in Google Security Operations. Puoi importare diversi tipi di log di CrowdStrike Falcon e questo documento descrive la configurazione specifica per ciascuno.

Per una panoramica generale dell'acquisizione dei dati in Google Security Operations, consulta Acquisizione dei dati in Google Security Operations.

Tipi di log di CrowdStrike Falcon supportati

Google Security Operations supporta i seguenti tipi di log di CrowdStrike Falcon tramite i parser con le seguenti etichette di importazione:

Endpoint Detection and Response (EDR): CS_EDR. Questo parser analizza i dati di telemetria quasi in tempo reale di CrowdStrike Falcon Data Replicator (FDR), come l'accesso ai file e le modifiche al registro. In genere, i dati vengono acquisiti da un bucket S3 o bucket Cloud Storage.
Rilevamenti: CS_DETECTS. Questo parser analizza gli eventi di riepilogo dei rilevamenti di CrowdStrike utilizzando l'API Detect. Sebbene sia correlato all'attività dell'endpoint, CS_DETECTS fornisce riepiloghi di rilevamento di livello superiore rispetto alla telemetria non elaborata analizzata utilizzando CS_EDR.

Nota: CrowdStrike ha ritirato l'endpoint "Detects". Ti consigliamo di utilizzare CS_ALERTS per importare i log di rilevamento.
Avvisi: CS_ALERTS. Questo parser analizza gli avvisi di CrowdStrike utilizzando l'API Alerts. Il parser degli avvisi di CrowdStrike supporta i seguenti tipi di prodotti:
- epp
- idp
- overwatch
- xdr
- mobile
- cwpp
- ngsiem
Indicatori di compromissione (IoC): CS_IOC. Questo parser analizza gli IoC e gli indicatori di attacco (IOA) di CrowdStrike Threat Intelligence utilizzando CrowdStrike Chronicle Intel Bridge. Il parser degli indicatori di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:
- domain
- email_address
- file_name
- file_path
- hash_md5
- hash_sha1
- hash_sha256
- ip_address
- mutex_name
- url

Google SecOps consiglia di utilizzare i feed per CS_EDR, CS_DETECTS e CS_IOC per l'importazione completa dei dati da CrowdStrike.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Diritti di amministratore sull'istanza di CrowdStrike per installare il sensore host di CrowdStrike Falcon
Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
Il dispositivo di destinazione è in esecuzione su un sistema operativo supportato
- Deve essere un server a 64 bit
- Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore host di CrowdStrike Falcon versione 6.51 o successive.
- Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
File dell'account di servizio Google SecOps e ID cliente del team di assistenza Google SecOps

Configura i feed

Esistono due punti di accesso diversi per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed > Aggiungi nuovo feed
Hub contenuti > Pacchetti di contenuti > Inizia

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configura i feed per prodotto.

Importa i log di CrowdStrike Falcon

Questa sezione descrive come configurare l'importazione per i diversi tipi di log di CrowdStrike Falcon.

Importa i log EDR (`CS_EDR`)

Puoi importare i log EDR di CrowdStrike Falcon utilizzando uno dei seguenti metodi, a seconda della posizione da cui vuoi inviare i log da CrowdStrike:

Amazon SQS: utilizzando un feed di Falcon Data Replicator.
Amazon S3: utilizzando un feed di Google Security Operations configurato per un bucket S3.
Google Cloud Storage: chiedendo a CrowdStrike di eseguire il push dei log in un bucket Cloud Storage.

Scegli una delle seguenti procedure.

Opzione 1: importa i log EDR da Amazon SQS

Questo metodo utilizza CrowdStrike Falcon Data Replicator per inviare i log EDR a una coda Amazon SQS, che Google Security Operations esegue il polling.

Fai clic sul pacchetto CrowdStrike.
Nel tipo di log CrowdStrike Falcon, specifica i valori per i seguenti campi:
- Origine: Amazon SQS
- Regione: la regione S3 associata all'URI.
- Nome coda: il nome della coda SQS da cui leggere i dati dei log.
- URI S3: l'URI di origine del bucket S3.
- Numero account: il numero dell'account SQS.
- ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
- Chiave di accesso segreta alla coda: chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
- Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione : le etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configura i feed per prodotto.

Opzione 2: importa i log EDR da un bucket Amazon S3

Questo metodo prevede la configurazione di un feed di Google Security Operations per estrarre i log EDR direttamente da un bucket Amazon S3.

Per configurare un feed di importazione utilizzando un bucket S3:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
In Tipo di origine, seleziona Amazon S3.
In Tipo di log, seleziona CrowdStrike Falcon.

In base al account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:

Campo	Descrizione
`region`	URI della regione S3.
`S3 uri`	URI di origine del bucket S3.
`uri is a`	Il tipo di oggetto a cui punta l'URI (ad esempio, file o cartella).
`source deletion option`	Opzione per eliminare file e directory dopo il trasferimento dei dati.
`access key id`	Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	ID client OAuth pubblico.
`oauth client secret`	Client secret OAuth 2.0.
`oauth secret refresh uri`	URI di aggiornamento del client secret OAuth 2.0.
`asset namespace`	Lo spazio dei nomi associato al feed.

Fai clic su Avanti e poi su Invia.

Opzione 3: importa i log EDR da Cloud Storage

Puoi configurare CrowdStrike in modo che invii i log EDR a un bucket Cloud Storage e poi importarli in Google Security Operations utilizzando un feed. Questa procedura richiede il coordinamento con l'assistenza CrowdStrike.

Contatta l'assistenza CrowdStrike: apri un ticket di assistenza con CrowdStrike per abilitare e configurare il push dei log EDR nel tuo bucket Cloud Storage. Ti forniranno indicazioni sulle configurazioni richieste.
Crea e autorizza il bucket Cloud Storage:
1. Nella Google Cloud console, crea un nuovo bucket Cloud Storage. Annota il nome del bucket (ad esempio, gs://my-crowdstrike-edr-logs/).
2. Concedi le autorizzazioni di scrittura al account di servizio fornito da CrowdStrike. Segui le istruzioni dell'assistenza CrowdStrike.
Configura il feed di Google SecOps:
1. Nella tua istanza Google SecOps, vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
2. Inserisci un nome feed descrittivo (ad esempio, CS-EDR-GCS).
3. In Tipo di origine, seleziona Google Cloud Storage V2.
  
  Nota: puoi utilizzare Google Cloud Storage Event Driven V2 come Tipo di origine per ridurre al minimo la latenza.
  Nota: per i tipi di feed basati su eventi di Cloud Storage, configura una sottoscrizione Pub/Sub per Cloud Storage, come descritto in Configurare Pub/Sub.
4. In Tipo di log, seleziona CrowdStrike Falcon.
5. Nella sezione del account di servizio, fai clic su Ottieni service account. Copia l'indirizzo email univoco del account di servizio visualizzato.
6. Nella Google Cloud console, vai al bucket Cloud Storage e concedi il ruolo IAM Storage Object Viewer all'indirizzo email del account di servizio che hai copiato. In questo modo, il feed può leggere i file di log.
7. Torna alla pagina di configurazione del feed di Google SecOps.
8. Inserisci l'URL del bucket di archiviazione (ad esempio, gs://my-crowdstrike-edr-logs/). Questo URL deve terminare con una barra (/).
9. Per i tipi di feed basati su eventi, fornisci il nome della sottoscrizione Pub/Sub (ad esempio, projects/myproject/subscriptions/crowdstrike-edr-sub).
10. Seleziona un'opzione di eliminazione dell'origine. Ti consigliamo di selezionare Non eliminare mai i file.
11. Fai clic su Avanti, esamina le impostazioni e poi fai clic su Invia.
Verifica l'importazione dei log: dopo che CrowdStrike ha confermato che i log vengono inviati, controlla la presenza di log in entrata in Google SecOps con il tipo di log CS_EDR.

Importa i log degli avvisi (`CS_ALERTS`)

Per importare gli avvisi di CrowdStrike Falcon, configura un feed che utilizza l'API CrowdStrike.

Nella console di CrowdStrike Falcon:
1. Accedi alla console di CrowdStrike Falcon.
2. Vai a Supporto e risorse > Risorse e strumenti > Client e chiavi API e fai clic su Crea client API.
3. Inserisci un nome client e una descrizione.
4. In Ambiti API, seleziona la casella Lettura per Avvisi.
5. Fai clic su Crea. Annota l'ID client, il client secret e l'URL di base generati.
In Google Security Operations:
1. Vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
2. Seleziona API di terze parti per Tipo di origine.
3. Seleziona API degli avvisi di CrowdStrike per Tipo di log.
4. Fai clic su Avanti e compila i seguenti campi utilizzando i valori del client API di CrowdStrike:
  - Endpoint del token OAuth: ad esempio, https://api.us-2.crowdstrike.com/oauth2/token.
  - ID client OAuth
  - Client secret OAuth
  - URL di base: ad esempio, api.us-2.crowdstrike.com.
  - Tipo di importazione: seleziona una delle seguenti opzioni:
    - Importa tutti gli avvisi: importa sia gli avvisi nuovi sia quelli esistenti che sono stati aggiornati.
    - Importa solo i nuovi avvisi: importa solo i nuovi avvisi.
  Nota: l'endpoint del token potrebbe non includere "us-2" nell'URL. Dipende dalla regione di CrowdStrike. Utilizza l'URL di base corretto dalla console di CrowdStrike.
5. Fai clic su Avanti e poi su Invia.

Importa i log dei rilevamenti (`CS_DETECTS`)

Per importare i log di rilevamento di CrowdStrike Falcon, utilizza anche l'API CrowdStrike.

Nella console di CrowdStrike Falcon:
1. Accedi alla console di CrowdStrike Falcon.
2. Vai ad App di supporto > Client e chiavi API.
3. Crea una nuova coppia di chiavi client API. Questa coppia di chiavi deve avere le autorizzazioni READ per Detections.
In Google Security Operations:
1. Vai a Impostazioni > Feed e fai clic su Aggiungi nuovo.
2. Seleziona API di terze parti per Tipo di origine.
3. Seleziona Monitoraggio dei rilevamenti di CrowdStrike per Tipo di log.
4. Fai clic su Avanti e poi su Invia. Ti verrà chiesto di inserire le credenziali API che hai creato.

Importa i log IoC (`CS_IOC`)

Per importare i log degli indicatori di compromissione (IoC) da CrowdStrike, utilizza Google SecOps Intel Bridge.

Nella console di CrowdStrike Falcon, crea una nuova coppia di chiavi client API. Questa coppia di chiavi deve avere l'autorizzazione READ per Indicators (Falcon Intelligence).
Configura Google SecOps Intel Bridge seguendo le istruzioni riportate in CrowdStrike to Google SecOps Intel Bridge.

Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps. sa.json è il file del account di servizio Google SecOps.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Una volta eseguito il container, i log IoC inizieranno a essere trasmessi a Google SecOps.

Se riscontri problemi con una di queste configurazioni, contatta il team di assistenza Google SecOps.

Formati di log di CrowdStrike supportati

Il parser di CrowdStrike supporta i log in formato JSON.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.