Recolha registos do CrowdStrike Falcon
Este documento descreve como carregar registos do CrowdStrike Falcon para o Google Security Operations. Pode carregar vários tipos de registos do CrowdStrike Falcon, e este documento descreve a configuração específica para cada um.
Para uma vista geral de alto nível do carregamento de dados no Google Security Operations, consulte o artigo Carregamento de dados para o Google Security Operations.
Tipos de registos do CrowdStrike Falcon suportados
O Google Security Operations suporta os seguintes tipos de registos do CrowdStrike Falcon através dos analisadores com as seguintes etiquetas de carregamento:
- Deteção e resposta de pontos finais (EDR):
CS_EDR. Este analisador analisa dados de telemetria quase em tempo real do CrowdStrike Falcon Data Replicator (FDR), como o acesso a ficheiros e as modificações do registo. Normalmente, os dados são carregados a partir de um contentor do S3 ou do Cloud Storage. Deteções:
CS_DETECTS. Este analisador analisa eventos de resumo de deteção do CrowdStrike através da API Detect. Embora esteja relacionada com a atividade do ponto final, aCS_DETECTSfornece resumos de deteção de nível superior em comparação com a telemetria não processada analisada através daCS_EDR.Alertas:
CS_ALERTS. Este analisador analisa alertas do CrowdStrike através da API Alerts. O analisador de alertas do CrowdStrike suporta os seguintes tipos de produtos:eppidpoverwatchxdrmobilecwppngsiem
Indicadores de comprometimento (IoC):
CS_IOC. Este analisador analisa IoCs e indicadores de ataque (IOAs) da CrowdStrike Threat Intelligence através da CrowdStrike Chronicle Intel Bridge. O analisador de indicadores de comprometimento (IoC) da CrowdStrike suporta os seguintes tipos de indicadores:domainemail_addressfile_namefile_pathhash_md5hash_sha1hash_sha256ip_addressmutex_nameurl
O Google SecOps recomenda a utilização de feeds para CS_EDR, CS_DETECTS e CS_IOC para uma ingestão de dados abrangente do CrowdStrike.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
- Direitos de administrador na instância do CrowdStrike para instalar o sensor CrowdStrike Falcon Host
- Todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
- O dispositivo de destino é executado num sistema operativo compatível
- Tem de ser um servidor de 64 bits
- O Microsoft Windows Server 2008 R2 SP1 é suportado para a versão 6.51 ou posterior do sensor CrowdStrike Falcon Host.
- As versões antigas do SO têm de suportar a assinatura de código SHA-2.
- Ficheiro da conta de serviço do Google SecOps e o seu ID de cliente da equipa de apoio técnico do Google SecOps
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
- Definições do SIEM > Feeds > Adicionar novo feed
- Content Hub > Pacotes de conteúdo > Começar
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Carregue registos do CrowdStrike Falcon
Esta secção descreve como configurar o carregamento para os diferentes tipos de registos do CrowdStrike Falcon.
Carregue registos de EDR (CS_EDR)
Pode carregar registos do CrowdStrike Falcon EDR através de um dos seguintes métodos, consoante o local para onde quer enviar os registos do CrowdStrike:
- Amazon SQS: usar um feed do Falcon Data Replicator.
- Amazon S3: usar um feed do Google Security Operations configurado para um contentor do S3.
- Google Cloud Storage: fazendo com que o CrowdStrike envie registos para um contentor do Cloud Storage.
Escolha um dos seguintes procedimentos.
Opção 1: carregue registos de EDR do Amazon SQS
Este método usa o CrowdStrike Falcon Data Replicator para enviar registos de EDR para uma fila do Amazon SQS, que o Google Security Operations consulta.
- Clique no pacote CrowdStrike.
No tipo de registo CrowdStrike Falcon, especifique valores para os seguintes campos:
- Origem: Amazon SQS
- Região: a região do S3 associada ao URI.
- Nome da fila: nome da fila SQS a partir da qual os dados de registo são lidos.
- URI do S3: o URI de origem do contentor do S3.
- Número de conta: o número de conta do SQS.
- ID da chave de acesso à fila: ID da chave de acesso à conta de 20 carateres. Por exemplo,
AKIAOSFOODNN7EXAMPLE. - Chave de acesso secreta da fila: chave de acesso secreta de 40 carateres. Por exemplo,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY. - Opção de eliminação da origem: opção para eliminar ficheiros e diretórios após a transferência dos dados.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Opção 2: carregue registos de EDR a partir de um contentor do Amazon S3
Este método envolve a configuração de um feed do Google Security Operations para extrair registos de EDR diretamente de um contentor do Amazon S3.
Para configurar um feed de carregamento através de um contentor do S3, siga estes passos:
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na página seguinte, clique em Configurar um único feed.
- No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Crowdstrike Falcon.
- Em Tipo de origem, selecione Amazon S3.
- Em Tipo de registo, selecione CrowdStrike Falcon.
- Com base na conta de serviço e na configuração do contentor do Amazon S3 que
criou, especifique os valores dos seguintes campos:
Campo Descrição regionURI da região do S3. S3 uriURI de origem do contentor do S3. uri is aTipo de objeto para o qual o URI aponta (por exemplo, ficheiro ou pasta). source deletion optionOpção para eliminar ficheiros e diretórios após a transferência dos dados. access key idChave de acesso (string alfanumérica de 20 carateres). Por exemplo, AKIAOSFOODNN7EXAMPLE.secret access keyChave de acesso secreta (string alfanumérica de 40 carateres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.oauth client idID de cliente OAuth público. oauth client secretSegredo do cliente OAuth 2.0. oauth secret refresh uriURI de atualização do segredo do cliente OAuth 2.0. asset namespaceO espaço de nomes associado ao feed. - Clique em Seguinte e, de seguida, em Enviar.
Opção 3: carregue registos de EDR a partir do Cloud Storage
Pode configurar o CrowdStrike para enviar registos de EDR para um contentor do Cloud Storage e, em seguida, carregar estes registos para o Google Security Operations através de um feed. Este processo requer a coordenação com o apoio técnico da CrowdStrike.
Contacte o apoio técnico da CrowdStrike: abra um pedido de apoio técnico junto da CrowdStrike para ativar e configurar o envio de registos de EDR para o seu contentor do Cloud Storage. O seu fornecedor vai dar-lhe orientações sobre as configurações necessárias.
Crie e conceda autorizações ao contentor do Cloud Storage:
- Na Google Cloud consola, crie um novo contentor do Cloud Storage. Tome nota do nome do contentor (por exemplo,
gs://my-crowdstrike-edr-logs/). - Conceda autorizações de escrita à conta de serviço fornecida pela CrowdStrike. Siga as instruções do apoio técnico da CrowdStrike.
- Na Google Cloud consola, crie um novo contentor do Cloud Storage. Tome nota do nome do contentor (por exemplo,
Configure o feed do Google SecOps:
- Na instância do Google SecOps, aceda a Definições > Feeds e clique em Adicionar novo.
- Introduza um Nome do feed descritivo (por exemplo,
CS-EDR-GCS). - Em Tipo de origem, selecione Google Cloud Storage V2.
- Em Tipo de registo, selecione CrowdStrike Falcon.
- Na secção Conta de serviço, clique em Obter conta de serviço. Copie o endereço de email exclusivo da conta de serviço apresentado.
- Na Google Cloud consola, navegue para o seu contentor do Cloud Storage e conceda a função do
Storage Object ViewerIAM ao endereço de email da conta de serviço que copiou. Isto permite que o feed leia os ficheiros de registo. - Volte à página de configuração do feed do Google SecOps.
- Introduza o URL do contentor de armazenamento (por exemplo,
gs://my-crowdstrike-edr-logs/). Este URL tem de terminar com uma barra (/). - Selecione uma opção de eliminação da origem. Recomendamos que nunca elimine ficheiros.
- Clique em Seguinte, reveja as definições e, de seguida, clique em Enviar.
Verifique o carregamento de registos: depois de a CrowdStrike confirmar que os registos estão a ser enviados, verifique se existem registos recebidos no Google SecOps com o tipo de registo
CROWDSTRIKE_EDR.
Carregue registos de alertas (CS_ALERTS)
Para carregar alertas do CrowdStrike Falcon, configure um feed que use a API CrowdStrike.
Na CrowdStrike Falcon Console:
- Inicie sessão na CrowdStrike Falcon Console.
- Aceda a Apoio técnico e recursos > Recursos e ferramentas > Clientes e chaves da API e clique em Criar cliente da API.
- Introduza um Nome do cliente e uma Descrição.
- Para Âmbitos da API, selecione as caixas Ler e Escrever para Alertas.
- Clique em Criar. Tome nota do ID de cliente, do segredo do cliente e do URL base gerados.
No Google Security Operations:
- Aceda a Definições > Feeds e clique em Adicionar novo.
- Selecione API de terceiros para Tipo de origem.
- Selecione API CrowdStrike Alerts para Tipo de registo.
- Clique em Seguinte e preencha os seguintes campos com os valores do cliente da API CrowdStrike:
- Ponto final do símbolo OAuth
- ID de cliente OAuth
- Segredo do cliente OAuth
- URL base
- Clique em Seguinte e, de seguida, em Enviar.
Carregue registos de deteções (CS_DETECTS)
Para carregar registos de deteção do CrowdStrike Falcon, também usa a API CrowdStrike.
Na CrowdStrike Falcon Console:
- Inicie sessão na CrowdStrike Falcon Console.
- Aceda a Apps de apoio técnico > Clientes e chaves da API.
- Crie um novo par de chaves de cliente da API. Este par de chaves tem de ter autorizações
READparaDetections.
No Google Security Operations:
- Aceda a Definições > Feeds e clique em Adicionar novo.
- Selecione API de terceiros para Tipo de origem.
- Selecione Monitorização de deteção do CrowdStrike para Tipo de registo.
- Clique em Seguinte e, de seguida, em Enviar. Ser-lhe-ão pedidas as credenciais da API que criou.
Carregue registos de IoC (CS_IOC)
Para carregar registos de indicadores de comprometimento (IoC) do CrowdStrike, usa o Google SecOps Intel Bridge.
- Na CrowdStrike Falcon Console, crie um novo par de chaves de cliente da API. Este par de chaves tem de ter autorização
READparaIndicators (Falcon Intelligence). - Configure a Google SecOps Intel Bridge seguindo as instruções em CrowdStrike para Google SecOps Intel Bridge.
Execute os seguintes comandos do Docker para enviar os registos do CrowdStrike para o Google SecOps.
sa.jsoné o ficheiro da conta de serviço do Google SecOps.docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latestDepois de o contentor estar em execução, os registos de IoC começam a ser transmitidos em fluxo contínuo para o Google SecOps.
Se tiver problemas com qualquer uma destas configurações, contacte a equipa de apoio técnico do Google SecOps.
Delta de mapeamento da UDM para registos de alertas da CrowdStrike.
Referência do delta de mapeamento do UDM: CS_ALERTS
A tabela seguinte lista a diferença entre o analisador predefinido de CS ALERTS e a versão premium de CS ALERTS.
| Default UDM Mapping | Log Field | Premium Mapping Delta |
|---|---|---|
about.resource.product_object_id |
cid |
Removed mapping to avoid duplication, as the cid log field is also mapped to metadata.product_deployment_id. |
principal.asset.platform_software.platform |
platform |
If the device.platform_name log field value is empty and the platform log field value is not empty and if the platform log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if platform log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if platform log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if platform log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. |
security_result.detection_fields[agent_id] |
agent_id |
If the device.device_id log field value is empty and the host_id log field value is empty and the mdm_device_id log field value is empty then, CS:%{agent_id} log field is mapped to the principal.asset_id UDM field. Else, the principal.asset.attribute.labels.key UDM field is set to agent_id and agent_id log field is mapped to the principal.asset.attribute.labels.value UDM field. |
security_result.detection_fields[idp_policy_account_event_type] |
idp_policy_account_event_type |
security_result.rule_labels[idp_policy_account_event_type] |
security_result.detection_fields[idp_policy_mfa_factor_type] |
idp_policy_mfa_factor_type |
security_result.rule_labels[idp_policy_mfa_factor_type] |
security_result.detection_fields[idp_policy_mfa_provider_name] |
idp_policy_mfa_provider_name |
security_result.rule_labels[idp_policy_mfa_provider_name] |
security_result.detection_fields[idp_policy_mfa_provider] |
idp_policy_mfa_provider |
security_result.rule_labels[idp_policy_mfa_provider] |
security_result.detection_fields[idp_policy_rule_action] |
idp_policy_rule_action |
security_result.rule_labels[idp_policy_rule_action] |
security_result.detection_fields[idp_policy_rule_trigger] |
idp_policy_rule_trigger |
security_result.rule_labels[idp_policy_rule_trigger] |
security_result.detection_fields[idp_policy_rule_id] |
idp_policy_rule_id |
security_result.rule_id |
security_result.detection_fields[idp_policy_rule_name] |
idp_policy_rule_name |
security_result.rule_name |
security_result.detection_fields[status] |
status |
If the status log field value matches the regular expression pattern (?i)new then, status log field is mapped to the security_result.about.investigation.status UDM field with the value NEW. Else, if status log field value matches the regular expression pattern (?i)closed then, status log field is mapped to the security_result.about.investigation.status UDM field with the value CLOSED. Else, status log field is mapped to the security_result.detection_fields[status] UDM field. |
target.process.file.mime_type |
alleged_filetype |
If the technique_name log field value contain one of the following values
alleged_filetype log field is mapped to the target.file.mime_type UDM field. Else, alleged_filetype log field is mapped to the target.process.file.mime_type UDM field. |
principal.resource.product_object_id |
device.cid |
principal.asset.attribute.labels[device_cid] |
security_result.detection_fields[active_directory_dn_display] |
device.hostinfo.active_directory_dn_display |
Iterate through log field device.hostinfo.active_directory_dn_display, then the security_result.detection_fields.key UDM field is set to device_hostinfo_active_directory_dn_display and device.hostinfo.active_directory_dn_display log field is mapped to the security_result.detection_fields.value UDM field. |
principal.asset.platform_software.platform |
device.platform_name |
If the device.platform_name log field value is not empty and if the device.platform_name log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if device.platform_name log field value matches the regular expression pattern (?i)Linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if device.platform_name log field value matches the regular expression pattern (?i)Mac then, the principal.asset.platform_software.platform UDM field is set to MAC. Else, if device.platform_name log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. if the platform log field value is not empty and the device.platform_name log field value is equal to the then, the principal.asset.attribute.labels.key UDM field is set to platform and platform log field is mapped to the principal.asset.attribute.labels.value UDM field. |
principal.asset.platform_software.platform_version |
device.system_product_name |
principal.asset.hardware.model |
target.process.file.names |
filename |
If the technique_name log field value contain one of the following values
filename log field is mapped to the target.file.names UDM field. Else, filename log field is mapped to the target.process.file.names UDM field. |
target.file.full_path |
filepath |
If the technique_name log field value contain one of the following values
filepath log field is mapped to the target.file.full_path UDM field. Else, filepath log field is mapped to the target.process.file.full_path UDM field.If the product log field value is equal to epp and the type log field value is equal to ofp and if the macros.ioc_description log field value is not empty then, macros.ioc_description log field is mapped to the target.file.full_path UDM field and the security_result.detection_fields.key UDM field is set to filepath and filepath log field is mapped to the security_result.detection_fields.value UDM field. |
target.process_ancestors.command_line |
grandparent_details.cmdline |
target.process.parent_process.parent_process.command_line |
target.process_ancestors.file.names |
grandparent_details.filename |
target.process.parent_process.parent_process.file.names |
target.process_ancestors.file.full_path |
grandparent_details.filepath |
target.process.parent_process.parent_process.file.full_path |
target.process_ancestors.file.md5 |
grandparent_details.md5 |
target.process.parent_process.parent_process.file.md5 |
target.process_ancestors.product_specific_process_id |
grandparent_details.process_graph_id |
If the grandparent_details.process_graph_id log field value is not empty then, PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id} log field is mapped to the target.process.parent_process.parent_process.product_specific_process_id UDM field. |
target.process_ancestors.pid |
grandparent_details.process_id |
target.process.parent_process.parent_process.pid |
target.process_ancestors.file.sha256 |
grandparent_details.sha256 |
target.process.parent_process.parent_process.file.sha256 |
security_result.detection_fields[ioc_description] |
ioc_context.ioc_description |
Iterate through log field ioc_context, then the security_result.detection_fields.key UDM field is set to ioc_context_ioc_description and ioc_context.ioc_description log field is mapped to the security_result.detection_fields.value UDM field. |
security_result.detection_fields[ioc_source] |
ioc_context.ioc_source |
Iterate through log field ioc_context, then the security_result.detection_fields.key UDM field is set to ioc_context_ioc_source and ioc_context.ioc_source log field is mapped to the security_result.detection_fields.value UDM field. |
target.process.file.md5 |
md5 |
If the technique_name log field value contain one of the following values
md5 log field is mapped to the target.file.md5 UDM field. Else, md5 log field is mapped to the target.process.file.md5 UDM field. |
target.process.file.sha1 |
sha1 |
If the technique_name log field value contain one of the following values
sha1 log field is mapped to the target.file.sha1 UDM field. Else, sha1 log field is mapped to the target.process.file.sha1 UDM field. |
target.file.sha256 |
sha256 |
If the technique_name log field value contain one of the following values
sha256 log field is mapped to the target.file.sha256 UDM field. Else, sha256 log field is mapped to the target.process.file.sha256 UDM field.If the product log field value is equal to epp and the type log field value is equal to ofp and if the ioc_type log field value is equal to hash_sha256 and the macros.ioc_value log field value is not empty then, macros.ioc_value log field is mapped to the target.file.sha256 UDM field and the security_result.detection_fields.key UDM field is set to sha256 and sha256 log field is mapped to the security_result.detection_fields.value UDM field. |
target.asset.platform_software.platform |
operating_system |
If the operating_system log field value matches the regular expression pattern (?i)Windows then, the principal.asset.platform_software.platform UDM field is set to WINDOWS. Else, if operating_system log field value matches the regular expression pattern (?i)linux then, the principal.asset.platform_software.platform UDM field is set to LINUX. Else, if operating_system log field value matches the regular expression pattern (?i)ios then, the principal.asset.platform_software.platform UDM field is set to IOS. Else, if operating_system log field value matches the regular expression pattern (?i)mac then, the principal.asset.platform_software.platform UDM field is set to MAC. |
security_result.detection_fields[agent_version] |
agent_version |
principal.asset.attribute.labels[agent_version] |
about.email |
enrollment_email |
principal.user.email_addresses |
principal.asset.type |
|
If the mdm_device_id log field value is not empty or the mobile_hardware log field value is not empty or the mobile_manufacturer log field value is not empty or the mobile_serial log field value is not empty then, the principal.asset.type UDM field is set to MOBILE. |
security_result.detection_fields[detection_context_user_is_admin] |
detection_context.user_is_admin |
security_result.about.user.attribute.label[detection_context_user_is_admin] |
security_result.detection_fields[detection_context_user_sid] |
detection_context.user_sid |
security_result.about.user.attribute.label[detection_context_user_sid] |
principal.asset.attribute.labels[pod_id] |
device.pod_id |
principal.resource.product_object_id |
principal.asset.attribute.labels[pod_labels] |
device.pod_labels |
principal.resource.attribute.labels[pod_labels] |
principal.asset.attribute.labels[pod_name] |
device.pod_name |
principal.resource.name |
principal.asset.attribute.labels[pod_namespace] |
device.pod_namespace |
principal.resource.attribute.labels[pod_namespace] |
principal.asset.attribute.labels[pod_service_account_name] |
device.pod_service_account_name |
principal.resource.attribute.labels[pod_service_account_name] |
Formatos de registos do CrowdStrike suportados
O analisador do CrowdStrike suporta registos no formato JSON.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.