Coletar registros do CrowdStrike FileVantage
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do CrowdStrike FileVantage no Google Security Operations usando o Google Cloud Storage. O CrowdStrike FileVantage é uma solução de monitoramento de integridade de arquivos que rastreia mudanças em arquivos e diretórios críticos em todo o ambiente.
Antes de começar
Verifique se você atende os seguintes pré-requisitos:
- Uma instância do Google SecOps
- Um projeto do GCP com a API Cloud Storage ativada
- Permissões para criar e gerenciar buckets do GCS
- Permissões para gerenciar políticas do IAM em buckets do GCS
- Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
Acesso privilegiado ao console do CrowdStrike Falcon
Criar um bucket do Google Cloud Storage
- Acesse o Console do Google Cloud.
- Selecione seu projeto ou crie um novo.
- No menu de navegação, acesse Cloud Storage > Buckets.
- Clique em Criar bucket.
Informe os seguintes detalhes de configuração:
Configuração Valor Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, crowdstrike-filevantage-logs.Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional) Local Selecione o local (por exemplo, us-central1).Classe de armazenamento Padrão (recomendado para registros acessados com frequência) Controle de acesso Uniforme (recomendado) Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção Clique em Criar.
Coletar credenciais da API CrowdStrike FileVantage
- Faça login no CrowdStrike Falcon Console (em inglês).
- Acesse Suporte e recursos > Clientes e chaves de API.
- Clique em Adicionar novo cliente de API.
- Informe os seguintes detalhes de configuração:
- Nome do cliente: insira um nome descritivo (por exemplo,
Google SecOps FileVantage Integration). - Descrição: insira uma breve descrição da finalidade da integração.
- Escopos da API: selecione Falcon FileVantage:read.
- Nome do cliente: insira um nome descritivo (por exemplo,
- Clique em Adicionar para concluir o processo.
Copie e salve em um local seguro os seguintes detalhes:
- Client-ID
- Client Secret
- URL de base (determina sua região da nuvem)
Verifique as permissões
Para verificar se a conta tem as permissões necessárias:
- Faça login no CrowdStrike Falcon Console (em inglês).
- Acesse Suporte e recursos > Clientes e chaves de API.
- Se você conseguir acessar a página Clientes e chaves de API e criar novos clientes de API, significa que você tem as permissões necessárias.
- Se você não conseguir acessar essa página, entre em contato com o administrador do CrowdStrike para conceder a função de administrador do Falcon.
Testar o acesso à API
Teste suas credenciais antes de prosseguir com a integração:
# Replace with your actual credentials FALCON_CLIENT_ID="your-client-id" FALCON_CLIENT_SECRET="your-client-secret" FALCON_BASE_URL="https://api.crowdstrike.com" # Get OAuth token TOKEN=$(curl -s -X POST "${FALCON_BASE_URL}/oauth2/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "client_id=${FALCON_CLIENT_ID}&client_secret=${FALCON_CLIENT_SECRET}&grant_type=client_credentials" \ | grep -o '"access_token":"[^"]*' | cut -d'"' -f4) # Test FileVantage API access curl -v -H "Authorization: Bearer ${TOKEN}" \ "${FALCON_BASE_URL}/filevantage/queries/changes/v3?limit=1"
Criar uma conta de serviço para a função do Cloud Run
A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.
Criar conta de serviço
- No Console do GCP, acesse IAM e administrador > Contas de serviço.
- Clique em Criar conta de serviço.
- Informe os seguintes detalhes de configuração:
- Nome da conta de serviço: insira
crowdstrike-filevantage-sa. - Descrição da conta de serviço: insira
Service account for Cloud Run function to collect CrowdStrike FileVantage logs.
- Nome da conta de serviço: insira
- Clique em Criar e continuar.
- Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
- Clique em Selecionar papel.
- Pesquise e selecione Administrador de objetos do Storage.
- Clique em + Adicionar outro papel.
- Pesquise e selecione Invocador do Cloud Run.
- Clique em + Adicionar outro papel.
- Pesquise e selecione Invocador do Cloud Functions.
- Clique em Continuar.
- Clique em Concluído.
Esses papéis são necessários para:
- Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
- Invocador do Cloud Run: permite que o Pub/Sub invoque a função
- Invocador do Cloud Functions: permite a invocação de funções
Conceder permissões do IAM no bucket do GCS
Conceda permissões de gravação à conta de serviço no bucket do GCS:
- Acesse Cloud Storage > Buckets.
- Clique no nome do bucket (por exemplo,
crowdstrike-filevantage-logs). - Acesse a guia Permissões.
- Clique em Conceder acesso.
- Informe os seguintes detalhes de configuração:
- Adicionar principais: insira o e-mail da conta de serviço (por exemplo,
crowdstrike-filevantage-sa@PROJECT_ID.iam.gserviceaccount.com). - Atribuir papéis: selecione Administrador de objetos do Storage.
- Adicionar principais: insira o e-mail da conta de serviço (por exemplo,
- Clique em Salvar.
Criar tópico Pub/Sub
Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.
- No Console do GCP, acesse Pub/Sub > Tópicos.
- Selecione Criar tópico.
- Informe os seguintes detalhes de configuração:
- ID do tópico: insira
crowdstrike-filevantage-trigger. - Não altere as outras configurações.
- ID do tópico: insira
- Clique em Criar.
Criar uma função do Cloud Run para coletar registros
A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API CrowdStrike FileVantage e gravá-los no GCS.
- No console do GCP, acesse o Cloud Run.
- Clique em Criar serviço.
- Selecione Função (use um editor in-line para criar uma função).
Na seção Configurar, forneça os seguintes detalhes de configuração:
Configuração Valor Nome do serviço crowdstrike-filevantage-collectorRegião Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).Ambiente de execução Selecione Python 3.12 ou uma versão mais recente. Na seção Acionador (opcional):
- Clique em + Adicionar gatilho.
- Selecione Cloud Pub/Sub.
- Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub (
crowdstrike-filevantage-trigger). - Clique em Salvar.
Na seção Autenticação:
- Selecione Exigir autenticação.
- Confira o Identity and Access Management (IAM).
Role a tela para baixo e abra Contêineres, rede, segurança.
Acesse a guia Segurança:
- Conta de serviço: selecione a conta de serviço (
crowdstrike-filevantage-sa).
- Conta de serviço: selecione a conta de serviço (
Acesse a guia Contêineres:
- Clique em Variáveis e secrets.
- Clique em + Adicionar variável para cada variável de ambiente:
Nome da variável Valor de exemplo GCS_BUCKETcrowdstrike-filevantage-logsGCS_PREFIXfilevantage/STATE_KEYfilevantage/state.jsonFALCON_CLIENT_IDyour-client-idFALCON_CLIENT_SECRETyour-client-secretFALCON_BASE_URLhttps://api.crowdstrike.com(US-1) /https://api.us-2.crowdstrike.com(US-2) /https://api.eu-1.crowdstrike.com(EU-1)Na seção Variáveis e secrets, role a tela para baixo até Solicitações:
- Tempo limite da solicitação: insira
600segundos (10 minutos).
- Tempo limite da solicitação: insira
Acesse a guia Configurações:
- Na seção Recursos:
- Memória: selecione 512 MiB ou mais.
- CPU: selecione 1.
- Na seção Recursos:
Na seção Escalonamento de revisão:
- Número mínimo de instâncias: insira
0. - Número máximo de instâncias: insira
100ou ajuste com base na carga esperada.
- Número mínimo de instâncias: insira
Clique em Criar.
Aguarde a criação do serviço (1 a 2 minutos).
Depois que o serviço é criado, o editor de código inline é aberto automaticamente.
Adicionar código da função
- Insira main em Ponto de entrada da função.
No editor de código em linha, crie dois arquivos:
- Primeiro arquivo: main.py::
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch CrowdStrike FileVantage logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'filevantage/') state_key = os.environ.get('STATE_KEY', 'filevantage/state.json') client_id = os.environ.get('FALCON_CLIENT_ID') client_secret = os.environ.get('FALCON_CLIENT_SECRET') base_url = os.environ.get('FALCON_BASE_URL') if not all([bucket_name, client_id, client_secret, base_url]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Get OAuth token token_url = f"{base_url}/oauth2/token" token_headers = { 'Content-Type': 'application/x-www-form-urlencoded', 'Accept': 'application/json' } token_data = f"client_id={client_id}&client_secret={client_secret}&grant_type=client_credentials" token_response = http.request( 'POST', token_url, body=token_data.encode('utf-8'), headers=token_headers ) if token_response.status != 200: print(f"Failed to get OAuth token: {token_response.status}") print(f"Response: {token_response.data.decode('utf-8')}") return token_data_json = json.loads(token_response.data.decode('utf-8')) access_token = token_data_json['access_token'] # Get last checkpoint last_timestamp = get_last_checkpoint(bucket, state_key) # Fetch file changes using v3 endpoint (high volume query) changes_url = f"{base_url}/filevantage/queries/changes/v3" headers = { 'Authorization': f'Bearer {access_token}', 'Accept': 'application/json' } # Build query parameters params = [] params.append('limit=5000') params.append('sort=action_timestamp|asc') if last_timestamp: params.append(f"filter=action_timestamp:>'{last_timestamp}'") query_url = f"{changes_url}?{'&'.join(params)}" backoff = 1.0 max_retries = 3 for attempt in range(max_retries): response = http.request('GET', query_url, headers=headers) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue if response.status != 200: print(f"Failed to query changes: {response.status}") print(f"Response: {response.data.decode('utf-8')}") return break else: print("Max retries exceeded") return response_data = json.loads(response.data.decode('utf-8')) change_ids = response_data.get('resources', []) if not change_ids: print("No new changes found") return # Get detailed change information using v2 endpoint details_url = f"{base_url}/filevantage/entities/changes/v2" batch_size = 500 all_changes = [] latest_timestamp = last_timestamp for i in range(0, len(change_ids), batch_size): batch_ids = change_ids[i:i + batch_size] # Build query string with multiple ids parameters ids_params = '&'.join([f'ids={id}' for id in batch_ids]) details_query_url = f"{details_url}?{ids_params}" backoff = 1.0 for attempt in range(max_retries): details_response = http.request('GET', details_query_url, headers=headers) if details_response.status == 429: retry_after = int(details_response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue if details_response.status == 200: details_data = json.loads(details_response.data.decode('utf-8')) changes = details_data.get('resources', []) all_changes.extend(changes) # Track latest timestamp for change in changes: change_time = change.get('action_timestamp') if change_time and (not latest_timestamp or change_time > latest_timestamp): latest_timestamp = change_time break else: print(f"Failed to get change details (batch {i//batch_size + 1}): {details_response.status}") break if all_changes: # Store logs in GCS timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S') blob_name = f"{prefix}filevantage_changes_{timestamp}.json" blob = bucket.blob(blob_name) log_lines = '\n'.join(json.dumps(change) for change in all_changes) blob.upload_from_string(log_lines, content_type='application/json') # Update checkpoint save_checkpoint(bucket, state_key, latest_timestamp) print(f"Stored {len(all_changes)} changes in GCS: {blob_name}") except Exception as e: print(f"Error: {str(e)}") raise def get_last_checkpoint(bucket, key): """Get the last processed timestamp from GCS state file""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() state = json.loads(state_data) return state.get('last_timestamp') except Exception as e: print(f"Error reading checkpoint: {e}") return None def save_checkpoint(bucket, key, timestamp): """Save the last processed timestamp to GCS state file""" try: state = { 'last_timestamp': timestamp, 'updated_at': datetime.now(timezone.utc).isoformat() } blob = bucket.blob(key) blob.upload_from_string( json.dumps(state), content_type='application/json' ) except Exception as e: print(f"Error saving checkpoint: {e}")- Segundo arquivo: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Clique em Implantar para salvar e implantar a função.
Aguarde a conclusão da implantação (2 a 3 minutos).
Criar o job do Cloud Scheduler
O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.
- No Console do GCP, acesse o Cloud Scheduler.
- Clique em Criar job.
Informe os seguintes detalhes de configuração:
Configuração Valor Nome crowdstrike-filevantage-hourlyRegião Selecione a mesma região da função do Cloud Run Frequência */15 * * * *(a cada 15 minutos)Fuso horário Selecione o fuso horário (UTC recomendado) Tipo de destino Pub/Sub Tópico Selecione o tópico do Pub/Sub ( crowdstrike-filevantage-trigger).Corpo da mensagem {}(objeto JSON vazio)Clique em Criar.
Testar o job do programador
- No console do Cloud Scheduler, encontre seu job (
crowdstrike-filevantage-hourly). - Clique em Forçar execução para acionar manualmente.
- Aguarde alguns segundos e acesse Cloud Run > Serviços > crowdstrike-filevantage-collector > Registros.
- Verifique se a função foi executada com sucesso.
- Verifique o bucket do GCS (
crowdstrike-filevantage-logs) para confirmar se os registros foram gravados.
Recuperar a conta de serviço do Google SecOps
O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.
Receber o e-mail da conta de serviço
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
CrowdStrike FileVantage logs). - Selecione Google Cloud Storage V2 como o Tipo de origem.
- Selecione CrowdStrike Filevantage como o Tipo de registro.
Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopie esse endereço de e-mail para usar na próxima etapa.
Conceder permissões do IAM à conta de serviço do Google SecOps
A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.
- Acesse Cloud Storage > Buckets.
- Clique no nome do bucket (por exemplo,
crowdstrike-filevantage-logs). - Acesse a guia Permissões.
- Clique em Conceder acesso.
- Informe os seguintes detalhes de configuração:
- Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
- Atribuir papéis: selecione Leitor de objetos do Storage.
Clique em Salvar.
Configurar um feed no Google SecOps para ingerir registros do CrowdStrike FileVantage
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
CrowdStrike FileVantage logs). - Selecione Google Cloud Storage V2 como o Tipo de origem.
- Selecione CrowdStrike Filevantage como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:
gs://crowdstrike-filevantage-logs/filevantage/Substitua:
crowdstrike-filevantage-logs: o nome do bucket do GCS.filevantage/: prefixo/caminho da pasta onde os registros são armazenados.
Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
- Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
- Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.