Coletar registros do CrowdStrike Falcon

Este documento descreve como ingerir registros do CrowdStrike Falcon no Google Security Operations. É possível ingerir vários tipos de registros do CrowdStrike Falcon. Este documento descreve a configuração específica para cada um deles.

Para uma visão geral de alto nível da ingestão de dados no Google Security Operations, consulte Ingestão de dados no Google Security Operations.

Tipos de registros do CrowdStrike Falcon compatíveis

O Google Security Operations é compatível com os seguintes tipos de registros do CrowdStrike Falcon usando os analisadores com os seguintes rótulos de ingestão:

• Detecção e resposta de endpoints (EDR): CS_EDR. Esse analisador faz a análise de dados de telemetria quase em tempo real do CrowdStrike Falcon Data Replicator (FDR), como acesso a arquivos e modificações de registro. Os dados geralmente são ingeridos de um bucket do S3 ou do Cloud Storage.

• Detecções: CS_DETECTS. Esse analisador faz a análise de eventos de resumo de detecção da CrowdStrike usando a API Detect. Embora esteja relacionada à atividade de endpoint, a CS_DETECTS oferece resumos de detecção de nível mais alto em comparação com a telemetria bruta analisada usando CS_EDR.

• Alertas: CS_ALERTS. Esse analisador faz a análise de alertas da CrowdStrike usando a API Alerts. O analisador de alertas do CrowdStrike é compatível com os seguintes tipos de produtos:

  • epp
  • idp
  • overwatch
  • xdr
  • mobile
  • cwpp
  • ngsiem

• Indicadores de comprometimento (IoC): CS_IOC. Esse analisador faz a análise de IoCs e indicadores de ataque (IOAs) da inteligência contra ameaças do CrowdStrike usando a CrowdStrike Chronicle Intel Bridge. O analisador de indicadores de comprometimento (IoC) da CrowdStrike é compatível com os seguintes tipos de indicadores:

  • domain
  • email_address
  • file_name
  • file_path
  • hash_md5
  • hash_sha1
  • hash_sha256
  • ip_address
  • mutex_name
  • url

O Google SecOps recomenda usar feeds para CS_EDR, CS_DETECTS e CS_IOC para uma ingestão de dados abrangente do CrowdStrike.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

• Tem direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon
• Todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
• O dispositivo de destino executa um sistema operacional compatível
  • Precisa ser um servidor de 64 bits.
  • O Microsoft Windows Server 2008 R2 SP1 é compatível com o sensor de host do CrowdStrike Falcon versão 6.51 ou mais recente.
  • As versões legadas do SO precisam ser compatíveis com a assinatura de código SHA-2.
• Tem arquivo da conta de serviço do Google SecOps e seu ID de cliente da equipe de suporte do Google SecOps

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

• Configurações do SIEM > Feeds > Adicionar novo feed
• Hub de conteúdo > Pacotes de conteúdo > Comece já

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Ingerir registros do CrowdStrike Falcon

Esta seção descreve como configurar a ingestão para os diferentes tipos de registros do CrowdStrike Falcon.

Ingerir registros de EDR (CS_EDR)

É possível ingerir registros de EDR do CrowdStrike Falcon usando um dos seguintes métodos, dependendo de onde você quer enviar os registros do CrowdStrike:

• Amazon SQS: usando um feed do Falcon Data Replicator.
• Amazon S3: usando um feed do Google Security Operations configurado para um bucket do S3.
• Google Cloud Storage: o CrowdStrike envia registros para um bucket do Cloud Storage.

Escolha um dos procedimentos a seguir.

Opção 1: ingerir registros de EDR do Amazon SQS

Esse método usa o replicador de dados do CrowdStrike Falcon para enviar registros de EDR a uma fila do Amazon SQS, que o Google Security Operations pesquisa.

1. Clique no pacote CrowdStrike.

2. No tipo de registro CrowdStrike Falcon, especifique valores para os seguintes campos:

   • Fonte: Amazon SQS
   • Região: a região do S3 associada ao URI.
   • Nome da fila: nome da fila do SQS de onde os dados de registro são lidos.
   • URI do S3: o URI de origem do bucket do S3.
   • Número da conta: o número da conta do SQS.
   • ID da chave de acesso à fila: ID da chave de acesso à conta de 20 caracteres. Por exemplo, AKIAOSFOODNN7EXAMPLE.
   • Chave de acesso secreta da fila: chave de acesso secreta de 40 caracteres. Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
   • Opção de exclusão da fonte: opção para excluir arquivos e diretórios após a transferência dos dados.

   Opções avançadas

   • Nome do feed: um valor pré-preenchido que identifica o feed.
   • Namespace do recurso: namespace associado ao feed.
   • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

3. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Opção 2: ingerir registros de EDR de um bucket do Amazon S3

Esse método envolve a configuração de um feed do Google Security Operations para extrair registros de EDR diretamente de um bucket do Amazon S3.

Para configurar um feed de ingestão usando um bucket do S3, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Crowdstrike Falcon.
5. Em Tipo de origem, selecione Amazon S3.
6. Em Tipo de registro, selecione CrowdStrike Falcon.
7. Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique valores para os seguintes campos:

   Campo	Descrição
   region	URI da região do S3.
   S3 uri	URI de origem do bucket do S3.
   uri is a	Tipo de objeto para o qual o URI aponta (por exemplo, arquivo ou pasta).
   source deletion option	Opção para excluir arquivos e diretórios após a transferência dos dados.
   access key id	Chave de acesso (string alfanumérica de 20 caracteres). Por exemplo, AKIAOSFOODNN7EXAMPLE
   secret access key	Chave de acesso do secret (string alfanumérica de 40 caracteres). Por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   oauth client id	ID do cliente OAuth público.
   oauth client secret	Chave secreta do cliente OAuth 2.0.
   oauth secret refresh uri	URI de atualização da chave secreta do cliente OAuth 2.0.
   asset namespace	Namespace associado ao feed.

8. Clique em Próxima e em Enviar.

Opção 3: ingerir registros de EDR do Cloud Storage

É possível configurar o CrowdStrike para enviar registros de EDR a um bucket do Cloud Storage e ingerir esses registros no Google Security Operations usando um feed. Esse processo exige coordenação com o suporte do CrowdStrike.

1. Entre em contato com o suporte do CrowdStrike:abra um tíquete de suporte com o CrowdStrike para ativar e configurar o envio de registros de EDR para seu bucket do Cloud Storage. Eles vão orientar você sobre as configurações necessárias.

2. Crie e conceda permissões ao bucket do Cloud Storage:

   1. No console Google Cloud , crie um bucket do Cloud Storage. Anote o nome do bucket (por exemplo, gs://my-crowdstrike-edr-logs/).
   2. Conceda permissões de gravação à conta de serviço fornecida pelo CrowdStrike. Siga as instruções do suporte do CrowdStrike.

3. Configure o feed do Google SecOps:

   1. Na sua instância do Google SecOps, acesse Configurações > Feeds e clique em Adicionar novo.
   2. Insira um Nome do feed descritivo, por exemplo, CS-EDR-GCS.
   3. Em Tipo de origem, selecione Google Cloud Storage V2.
   4. Em Tipo de registro, selecione CrowdStrike Falcon.
   5. Na seção "Conta de serviço", clique em Receber conta de serviço. Copie o endereço de e-mail exclusivo da conta de serviço exibido.
   6. No console Google Cloud , navegue até seu bucket do Cloud Storage e conceda o papel do IAM Storage Object Viewer ao endereço de e-mail da conta de serviço que você copiou. Isso permite que o feed leia os arquivos de registro.
   7. Volte para a página de configuração do feed do Google SecOps.
   8. Insira o URL do bucket de armazenamento (por exemplo, gs://my-crowdstrike-edr-logs/). Esse URL precisa terminar com uma barra (/).
   9. Selecione uma Opção de exclusão de origem. Recomendamos selecionar Nunca excluir arquivos.
   10. Clique em Próxima, revise as configurações e clique em Enviar.

4. Verificar a ingestão de registros:depois que o CrowdStrike confirmar que os registros estão sendo enviados, verifique os registros recebidos no Google SecOps com o tipo de registro CROWDSTRIKE_EDR.

Ingerir registros de alertas (CS_ALERTS)

Para ingerir alertas do CrowdStrike Falcon, configure um feed que use a API do CrowdStrike.

1. No console do CrowdStrike Falcon:

   1. Faça login no console do CrowdStrike Falcon.
   2. Acesse Suporte e recursos > Recursos e ferramentas > Clientes e chaves de API e clique em Criar cliente de API.
   3. Insira um Nome do cliente e uma Descrição.
   4. Em Escopos da API, marque as caixas Leitura e Gravação para Alertas.
   5. Clique em Criar. Anote o ID do cliente, a chave secreta do cliente e o URL de base gerados.

2. No Google Security Operations:

   1. Acesse Configurações > Feeds e clique em Adicionar novo.
   2. Selecione API de terceiros em Tipo de origem.
   3. Selecione API CrowdStrike Alerts em Tipo de registro.
   4. Clique em Próxima e preencha os seguintes campos usando os valores do cliente da API CrowdStrike:
      • Endpoint do token OAuth
      • ID do cliente OAuth
      • Chave secreta do cliente OAuth
      • URL de base
   5. Clique em Próxima e em Enviar.

Ingerir registros de detecções (CS_DETECTS)

Para ingerir registros de detecção do CrowdStrike Falcon, também é necessário usar a API do CrowdStrike.

1. No console do CrowdStrike Falcon:

   1. Faça login no console do CrowdStrike Falcon.
   2. Acesse Apps de suporte > Clientes e chaves de API.
   3. Crie um novo par de chaves de cliente de API. Esse par de chaves precisa ter permissões READ para Detections.

2. No Google Security Operations:

   1. Acesse Configurações > Feeds e clique em Adicionar novo.
   2. Selecione API de terceiros em Tipo de origem.
   3. Selecione Monitoramento de detecção do CrowdStrike em Tipo de registro.
   4. Clique em Próxima e em Enviar. As credenciais da API que você criou serão solicitadas.

Ingerir registros de IoC (CS_IOC)

Para ingerir registros de indicadores de comprometimento (IoC) do CrowdStrike, use a Google SecOps Intel Bridge.

1. No console do CrowdStrike Falcon, crie um novo par de chaves de cliente de API. Esse par de chaves precisa ter a permissão READ para Indicators (Falcon Intelligence).
2. Configure a Google SecOps Intel Bridge seguindo as instruções em CrowdStrike to Google SecOps Intel Bridge.

3. Execute os comandos do Docker a seguir para enviar os registros do CrowdStrike ao Google SecOps. sa.json é o arquivo da conta de serviço do Google SecOps.

   docker build . -t ccib:latest
   docker run -it --rm \
         -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
         -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
         -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
         -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
         -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
         -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
         ccib:latest
   

4. Depois que o contêiner estiver em execução, os registros de IoC vão começar a ser transmitidos para o Google SecOps.

Se você tiver problemas com alguma dessas configurações, entre em contato com a equipe de suporte do Google SecOps.

Delta de mapeamento do UDM para registros de alertas do CrowdStrike.

Referência do delta de mapeamento da UDM: CS_ALERTS

A tabela a seguir lista o delta entre o analisador padrão do CS ALERTS e a versão premium do CS ALERTS.

Formatos de registro do CrowdStrike compatíveis

O analisador do CrowdStrike é compatível com registros no formato JSON.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.