이 페이지는 Cloud Translation API를 통해 번역되었습니다.

CrowdStrike Falcon 로그 수집

이 문서에서는 CrowdStrike Falcon 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 여러 유형의 CrowdStrike Falcon 로그를 수집할 수 있으며 이 문서에서는 각 로그의 구체적인 구성을 설명합니다.

Google Security Operations의 데이터 수집에 대한 개요는 Google Security Operations에 데이터 수집을 참고하세요.

지원되는 CrowdStrike Falcon 로그 유형

Google Security Operations는 다음 수집 라벨이 있는 파서를 통해 다음과 같은 CrowdStrike Falcon 로그 유형을 지원합니다.

엔드포인트 감지 및 대응 (EDR): CS_EDR 이 파서는 파일 액세스 및 레지스트리 수정과 같은 CrowdStrike Falcon Data Replicator (FDR)의 거의 실시간 원격 분석 데이터를 파싱합니다. 데이터는 일반적으로 S3 또는 Cloud Storage 버킷에서 수집됩니다.
감지: CS_DETECTS. 이 파서는 감지 API를 사용하여 CrowdStrike에서 감지 요약 이벤트를 파싱합니다. 엔드포인트 활동과 관련이 있지만 CS_DETECTS는 CS_EDR를 사용하여 파싱된 원시 원격 분석에 비해 상위 수준의 감지 요약을 제공합니다.

참고: CrowdStrike에서 'Detects' 엔드포인트를 지원 중단했습니다. 대신 CS_ALERTS를 사용하여 감지 로그를 수집하는 것이 좋습니다.
알림: CS_ALERTS 이 파서는 Alerts API를 사용하여 CrowdStrike의 알림을 파싱합니다. CrowdStrike Alerts 파서는 다음 제품 유형을 지원합니다.
- epp
- idp
- overwatch
- xdr
- mobile
- cwpp
- ngsiem
침해 지표 (IoC): CS_IOC 이 파서는 CrowdStrike Chronicle Intel Bridge를 사용하여 CrowdStrike 위협 인텔리전스에서 침해 지표(IoC)와 공격 지표(IOA)를 파싱합니다. CrowdStrike 침해 지표 (IoC) 파서는 다음 지표 유형을 지원합니다.
- domain
- email_address
- file_name
- file_path
- hash_md5
- hash_sha1
- hash_sha256
- ip_address
- mutex_name
- url

Google SecOps에서는 CrowdStrike에서 포괄적인 데이터를 수집하기 위해 CS_EDR, CS_DETECTS, CS_IOC에 피드를 사용하는 것이 좋습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

CrowdStrike Falcon Host 센서를 설치할 수 있는 CrowdStrike 인스턴스의 관리자 권한
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성됩니다.
타겟 기기가 지원되는 운영체제에서 실행됨
- 64비트 서버여야 합니다.
- Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
- 기존 OS 버전은 SHA-2 코드 서명을 지원해야 합니다.
Google SecOps 서비스 계정 파일 및 Google SecOps 지원팀에서 제공한 고객 ID

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

SIEM 설정 > 피드 > 새 피드 추가
콘텐츠 허브 > 콘텐츠 팩 > 시작하기

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

CrowdStrike Falcon 로그 수집

이 섹션에서는 다양한 유형의 CrowdStrike Falcon 로그의 수집을 구성하는 방법을 설명합니다.

EDR 로그 수집 (`CS_EDR`)

CrowdStrike에서 로그를 전송하려는 위치에 따라 다음 방법 중 하나를 사용하여 CrowdStrike Falcon EDR 로그를 수집할 수 있습니다.

Amazon SQS: Falcon Data Replicator 피드 사용
Amazon S3: S3 버킷에 대해 구성된 Google Security Operations 피드를 사용합니다.
Google Cloud Storage: CrowdStrike가 Cloud Storage 버킷에 로그를 푸시하도록 합니다.

다음 절차 중 하나를 선택합니다.

옵션 1: Amazon SQS에서 EDR 로그 수집

이 방법은 CrowdStrike Falcon Data Replicator를 사용하여 EDR 로그를 Amazon SQS 큐로 전송하며, Google Security Operations는 이 큐를 폴링합니다.

CrowdStrike 팩을 클릭합니다.
CrowdStrike Falcon 로그 유형에서 다음 필드의 값을 지정합니다.
- 소스: Amazon SQS
- 리전: URI와 연결된 S3 리전입니다.
- Queue Name: 로그 데이터를 읽어올 SQS 큐의 이름입니다.
- S3 URI: S3 버킷 소스 URI입니다.
- 계정 번호: SQS 계정 번호입니다.
- 대기열 액세스 키 ID: 20자리 계정 액세스 키 ID입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
- 대기열 보안 비밀 액세스 키: 40자 보안 비밀 액세스 키입니다. 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.
- 소스 삭제 옵션: 데이터를 전송한 후 파일과 디렉터리를 삭제하는 옵션입니다.
고급 옵션
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨 – 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

옵션 2: Amazon S3 버킷에서 EDR 로그 수집

이 방법은 Amazon S3 버킷에서 직접 EDR 로그를 가져오도록 Google Security Operations 피드를 설정하는 것입니다.

S3 버킷을 사용하여 인제션 피드를 설정하려면 다음 단계를 따르세요.

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon 로그).
소스 유형에서 Amazon S3를 선택합니다.
로그 유형에서 CrowdStrike Falcon을 선택합니다.

사용자가 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.

필드	설명
`region`	S3 리전 URI입니다.
`S3 uri`	S3 버킷 소스 URI입니다.
`uri is a`	URI가 가리키는 객체의 유형입니다 (예: 파일 또는 폴더).
`source deletion option`	데이터 전송 후 파일 및 디렉터리를 삭제하는 옵션
`access key id`	액세스 키 (20자리 영숫자 문자열)입니다. 예를 들면 `AKIAOSFOODNN7EXAMPLE`입니다.
`secret access key`	보안 비밀 액세스 키 (40자리 영숫자 문자열) 예를 들면 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`입니다.
`oauth client id`	공개 OAuth 클라이언트 ID입니다.
`oauth client secret`	OAuth 2.0 클라이언트 보안 비밀번호입니다.
`oauth secret refresh uri`	OAuth 2.0 클라이언트 보안 비밀번호 새로고침 URI입니다.
`asset namespace`	피드와 연결된 네임스페이스입니다.

다음을 클릭한 후 제출을 클릭합니다.

옵션 3: Cloud Storage에서 EDR 로그 수집

CrowdStrike가 EDR 로그를 Cloud Storage 버킷으로 전송하도록 구성한 다음 피드를 사용하여 이러한 로그를 Google Security Operations에 수집할 수 있습니다. 이 절차를 진행하려면 CrowdStrike 지원팀과 협력해야 합니다.

CrowdStrike 지원팀에 문의: CrowdStrike에 지원 티켓을 제출하여 EDR 로그를 Cloud Storage 버킷으로 푸시하도록 사용 설정하고 구성합니다. 필요한 구성에 대한 안내를 제공합니다.
Cloud Storage 버킷을 만들고 권한을 부여합니다.
1. Google Cloud 콘솔에서 새 Cloud Storage 버킷을 만듭니다. 버킷 이름 (예: gs://my-crowdstrike-edr-logs/)을 기록해 둡니다.
2. CrowdStrike에서 제공하는 서비스 계정에 쓰기 권한을 부여합니다. CrowdStrike 지원팀의 안내를 따릅니다.
Google SecOps 피드 구성:
1. Google SecOps 인스턴스에서 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
2. 설명이 포함된 피드 이름을 입력합니다 (예: CS-EDR-GCS).
3. 소스 유형으로 Google Cloud Storage V2를 선택합니다.
4. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
5. 서비스 계정 섹션에서 서비스 계정 가져오기를 클릭합니다. 표시된 고유한 서비스 계정 이메일 주소를 복사합니다.
6. Google Cloud 콘솔에서 Cloud Storage 버킷으로 이동하여 복사한 서비스 계정 이메일 주소에 Storage Object Viewer IAM 역할을 부여합니다. 이렇게 하면 피드에서 로그 파일을 읽을 수 있습니다.
7. Google SecOps 피드 구성 페이지로 돌아갑니다.
8. 스토리지 버킷 URL (예: gs://my-crowdstrike-edr-logs/)을 입력합니다. 이 URL은 뒤에 슬래시 (/)가 와야 합니다.
9. 소스 삭제 옵션을 선택합니다. 파일 삭제 안함을 사용하는 것이 좋습니다.
10. 다음을 클릭하고, 설정을 검토한 후 제출을 클릭합니다.
로그 수집 확인: CrowdStrike에서 로그가 푸시되고 있음을 확인한 후 로그 유형이 CROWDSTRIKE_EDR인 수신 로그를 Google SecOps에서 확인합니다.

알림 로그 수집 (`CS_ALERTS`)

CrowdStrike Falcon 알림을 수집하려면 CrowdStrike API를 사용하는 피드를 구성합니다.

CrowdStrike Falcon 콘솔:
1. CrowdStrike Falcon Console에 로그인합니다.
2. 지원 및 리소스 > 리소스 및 도구 > API 클라이언트 및 키로 이동하여 API 클라이언트 만들기를 클릭합니다.
3. 클라이언트 이름과 설명을 입력합니다.
4. API 범위에서 알림의 읽기 및 쓰기 체크박스를 선택합니다.
5. 만들기를 클릭합니다. 생성된 클라이언트 ID, 클라이언트 보안 비밀번호, 기본 URL을 기록해 둡니다.
Google Security Operations:
1. 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
2. 소스 유형으로 서드 파티 API를 선택합니다.
3. 로그 유형으로 CrowdStrike Alerts API를 선택합니다.
4. 다음을 클릭하고 CrowdStrike API 클라이언트의 값을 사용하여 다음 필드를 채웁니다.
  - OAuth 토큰 엔드포인트
  - OAuth 클라이언트 ID
  - OAuth 클라이언트 보안 비밀번호
  - 기준 URL
5. 다음을 클릭한 후 제출을 클릭합니다.

탐지 로그 수집 (`CS_DETECTS`)

CrowdStrike Falcon 감지 로그를 수집하려면 CrowdStrike API도 사용합니다.

CrowdStrike Falcon 콘솔:
1. CrowdStrike Falcon Console에 로그인합니다.
2. 지원 앱 > API 클라이언트 및 키로 이동합니다.
3. 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 Detections에 대한 READ 권한이 있어야 합니다.
Google Security Operations:
1. 설정 > 피드로 이동하여 새로 추가를 클릭합니다.
2. 소스 유형으로 서드 파티 API를 선택합니다.
3. 로그 유형으로 CrowdStrike 감지 모니터링을 선택합니다.
4. 다음을 클릭한 후 제출을 클릭합니다. 만든 API 사용자 인증 정보를 입력하라는 메시지가 표시됩니다.

IoC 로그 수집 (`CS_IOC`)

CrowdStrike에서 침해 지표 (IoC) 로그를 수집하려면 Google SecOps Intel Bridge를 사용합니다.

CrowdStrike Falcon 콘솔에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 Indicators (Falcon Intelligence)에 대한 READ 권한이 있어야 합니다.
CrowdStrike to Google SecOps Intel Bridge의 안내에 따라 Google SecOps Intel Bridge를 설정합니다.

다음 Docker 명령어를 실행하여 CrowdStrike의 로그를 Google SecOps로 전송합니다. sa.json은 Google SecOps 서비스 계정 파일입니다.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

컨테이너가 실행되면 IoC 로그가 Google SecOps로 스트리밍되기 시작합니다.

이러한 구성에 문제가 있는 경우 Google SecOps 지원팀에 문의하세요.

CrowdStrike 알림 로그의 UDM 매핑 델타입니다.

UDM 매핑 델타 참조: CS_ALERTS

다음 표에는 CS ALERTS의 기본 파서와 CS ALERTS의 프리미엄 버전 간의 델타가 나와 있습니다.

Default UDM Mapping	Log Field	Premium Mapping Delta
`about.resource.product_object_id`	`cid`	Removed mapping to avoid duplication, as the `cid` log field is also mapped to `metadata.product_deployment_id`.
`principal.asset.platform_software.platform`	`platform`	If the `device.platform_name` log field value is empty and the `platform` log field value is not empty and if the `platform` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `platform` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `platform` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `platform` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`.
`security_result.detection_fields[agent_id]`	`agent_id`	If the `device.device_id` log field value is empty and the `host_id` log field value is empty and the `mdm_device_id` log field value is empty then, `CS:%{agent_id}` log field is mapped to the `principal.asset_id` UDM field. Else, the `principal.asset.attribute.labels.key` UDM field is set to `agent_id` and `agent_id` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`security_result.detection_fields[idp_policy_account_event_type]`	`idp_policy_account_event_type`	`security_result.rule_labels[idp_policy_account_event_type]`
`security_result.detection_fields[idp_policy_mfa_factor_type]`	`idp_policy_mfa_factor_type`	`security_result.rule_labels[idp_policy_mfa_factor_type]`
`security_result.detection_fields[idp_policy_mfa_provider_name]`	`idp_policy_mfa_provider_name`	`security_result.rule_labels[idp_policy_mfa_provider_name]`
`security_result.detection_fields[idp_policy_mfa_provider]`	`idp_policy_mfa_provider`	`security_result.rule_labels[idp_policy_mfa_provider]`
`security_result.detection_fields[idp_policy_rule_action]`	`idp_policy_rule_action`	`security_result.rule_labels[idp_policy_rule_action]`
`security_result.detection_fields[idp_policy_rule_trigger]`	`idp_policy_rule_trigger`	`security_result.rule_labels[idp_policy_rule_trigger]`
`security_result.detection_fields[idp_policy_rule_id]`	`idp_policy_rule_id`	`security_result.rule_id`
`security_result.detection_fields[idp_policy_rule_name]`	`idp_policy_rule_name`	`security_result.rule_name`
`security_result.detection_fields[status]`	`status`	If the `status` log field value matches the regular expression pattern `(?i)new` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `NEW`. Else, if `status` log field value matches the regular expression pattern `(?i)closed` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `CLOSED`. Else, `status` log field is mapped to the `security_result.detection_fields[status]` UDM field.
`target.process.file.mime_type`	`alleged_filetype`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `alleged_filetype` log field is mapped to the `target.file.mime_type` UDM field. Else, `alleged_filetype` log field is mapped to the `target.process.file.mime_type` UDM field.
`principal.resource.product_object_id`	`device.cid`	`principal.asset.attribute.labels[device_cid]`
`security_result.detection_fields[active_directory_dn_display]`	`device.hostinfo.active_directory_dn_display`	Iterate through log field `device.hostinfo.active_directory_dn_display`, then the `security_result.detection_fields.key` UDM field is set to `device_hostinfo_active_directory_dn_display` and `device.hostinfo.active_directory_dn_display` log field is mapped to the `security_result.detection_fields.value` UDM field.
`principal.asset.platform_software.platform`	`device.platform_name`	If the `device.platform_name` log field value is not empty and if the `device.platform_name` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. if the `platform` log field value is not empty and the `device.platform_name` log field value is equal to `the platform log field value` then, the `principal.asset.attribute.labels.key` UDM field is set to `platform` and `platform` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`principal.asset.platform_software.platform_version`	`device.system_product_name`	`principal.asset.hardware.model`
`target.process.file.names`	`filename`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filename` log field is mapped to the `target.file.names` UDM field. Else, `filename` log field is mapped to the `target.process.file.names` UDM field.
`target.file.full_path`	`filepath`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filepath` log field is mapped to the `target.file.full_path` UDM field. Else, `filepath` log field is mapped to the `target.process.file.full_path` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `macros.ioc_description` log field value is not empty then, `macros.ioc_description` log field is mapped to the `target.file.full_path` UDM field and the `security_result.detection_fields.key` UDM field is set to `filepath` and `filepath` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process_ancestors.command_line`	`grandparent_details.cmdline`	`target.process.parent_process.parent_process.command_line`
`target.process_ancestors.file.names`	`grandparent_details.filename`	`target.process.parent_process.parent_process.file.names`
`target.process_ancestors.file.full_path`	`grandparent_details.filepath`	`target.process.parent_process.parent_process.file.full_path`
`target.process_ancestors.file.md5`	`grandparent_details.md5`	`target.process.parent_process.parent_process.file.md5`
`target.process_ancestors.product_specific_process_id`	`grandparent_details.process_graph_id`	If the `grandparent_details.process_graph_id` log field value is not empty then, `PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id}` log field is mapped to the `target.process.parent_process.parent_process.product_specific_process_id` UDM field.
`target.process_ancestors.pid`	`grandparent_details.process_id`	`target.process.parent_process.parent_process.pid`
`target.process_ancestors.file.sha256`	`grandparent_details.sha256`	`target.process.parent_process.parent_process.file.sha256`
`security_result.detection_fields[ioc_description]`	`ioc_context.ioc_description`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_description` and `ioc_context.ioc_description` log field is mapped to the `security_result.detection_fields.value` UDM field.
`security_result.detection_fields[ioc_source]`	`ioc_context.ioc_source`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_source` and `ioc_context.ioc_source` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process.file.md5`	`md5`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `md5` log field is mapped to the `target.file.md5` UDM field. Else, `md5` log field is mapped to the `target.process.file.md5` UDM field.
`target.process.file.sha1`	`sha1`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha1` log field is mapped to the `target.file.sha1` UDM field. Else, `sha1` log field is mapped to the `target.process.file.sha1` UDM field.
`target.file.sha256`	`sha256`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha256` log field is mapped to the `target.file.sha256` UDM field. Else, `sha256` log field is mapped to the `target.process.file.sha256` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `ioc_type` log field value is equal to `hash_sha256` and the `macros.ioc_value` log field value is not empty then, `macros.ioc_value` log field is mapped to the `target.file.sha256` UDM field and the `security_result.detection_fields.key` UDM field is set to `sha256` and `sha256` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.asset.platform_software.platform`	`operating_system`	If the `operating_system` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`security_result.detection_fields[agent_version]`	`agent_version`	`principal.asset.attribute.labels[agent_version]`
`about.email`	`enrollment_email`	`principal.user.email_addresses`
`principal.asset.type`		If the `mdm_device_id` log field value is not empty or the `mobile_hardware` log field value is not empty or the `mobile_manufacturer` log field value is not empty or the `mobile_serial` log field value is not empty then, the `principal.asset.type` UDM field is set to `MOBILE`.
`security_result.detection_fields[detection_context_user_is_admin]`	`detection_context.user_is_admin`	`security_result.about.user.attribute.label[detection_context_user_is_admin]`
`security_result.detection_fields[detection_context_user_sid]`	`detection_context.user_sid`	`security_result.about.user.attribute.label[detection_context_user_sid]`
`principal.asset.attribute.labels[pod_id]`	`device.pod_id`	`principal.resource.product_object_id`
`principal.asset.attribute.labels[pod_labels]`	`device.pod_labels`	`principal.resource.attribute.labels[pod_labels]`
`principal.asset.attribute.labels[pod_name]`	`device.pod_name`	`principal.resource.name`
`principal.asset.attribute.labels[pod_namespace]`	`device.pod_namespace`	`principal.resource.attribute.labels[pod_namespace]`
`principal.asset.attribute.labels[pod_service_account_name]`	`device.pod_service_account_name`	`principal.resource.attribute.labels[pod_service_account_name]`

지원되는 CrowdStrike 로그 형식

CrowdStrike 파서는 JSON 형식의 로그를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.

CrowdStrike Falcon 로그 수집

지원되는 CrowdStrike Falcon 로그 유형

시작하기 전에

피드 설정

CrowdStrike Falcon 로그 수집

EDR 로그 수집 (CS_EDR)

옵션 1: Amazon SQS에서 EDR 로그 수집

옵션 2: Amazon S3 버킷에서 EDR 로그 수집

옵션 3: Cloud Storage에서 EDR 로그 수집

알림 로그 수집 (CS_ALERTS)

탐지 로그 수집 (CS_DETECTS)

IoC 로그 수집 (CS_IOC)

CrowdStrike 알림 로그의 UDM 매핑 델타입니다.

UDM 매핑 델타 참조: CS_ALERTS

지원되는 CrowdStrike 로그 형식

EDR 로그 수집 (`CS_EDR`)

알림 로그 수집 (`CS_ALERTS`)

탐지 로그 수집 (`CS_DETECTS`)

IoC 로그 수집 (`CS_IOC`)