CrowdStrike Identity Protection (IDP) Services-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Logs von CrowdStrike Identity Protection (IDP) Services mit Google Cloud Storage in Google Security Operations aufnehmen. Bei der Integration wird die CrowdStrike Unified Alerts API verwendet, um Identity Protection-Ereignisse zu erfassen und im NDJSON-Format zu speichern, damit sie vom integrierten CS_IDP-Parser verarbeitet werden können.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf die CrowdStrike Falcon Console und Verwaltung von API-Schlüsseln

Google Cloud Storage-Bucket erstellen

1. Rufen Sie die Google Cloud Console auf.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. crowdstrike-idp-logs-bucket.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffssteuerung	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Voraussetzungen für CrowdStrike Identity Protection

1. Melden Sie sich in der CrowdStrike Falcon Console an.
2. Rufen Sie Support und Ressourcen > API-Clients und ‑Schlüssel auf.
3. Klicken Sie auf Neuen API-Client hinzufügen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Clientname: Geben Sie Google SecOps IDP Integration ein.
   • Beschreibung: Geben Sie API client for Google SecOps integration ein.
   • Bereiche: Wählen Sie den Bereich Benachrichtigungen: LESEN (alerts:read) aus. Dieser umfasst auch Identity Protection-Benachrichtigungen.
5. Klicken Sie auf Hinzufügen.
6. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
   • Client-ID
   • Clientschlüssel (wird nur einmal angezeigt)
   • Basis-URL (Beispiele: api.crowdstrike.com für US-1, api.us-2.crowdstrike.com für US-2, api.eu-1.crowdstrike.com für EU-1)

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie crowdstrike-idp-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect CrowdStrike IDP logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. crowdstrike-idp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie crowdstrike-idp-trigger ein.
   • Übernehmen Sie die anderen Einstellungen.
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der CrowdStrike Identity Protection API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	crowdstrike-idp-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema crowdstrike-idp-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto crowdstrike-idp-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert
   GCS_BUCKET	crowdstrike-idp-logs-bucket
   GCS_PREFIX	crowdstrike-idp/
   STATE_KEY	crowdstrike-idp/state.json
   CROWDSTRIKE_CLIENT_ID	your-client-id
   CROWDSTRIKE_CLIENT_SECRET	your-client-secret
   API_BASE	api.crowdstrike.com (US-1), api.us-2.crowdstrike.com (US-2), api.eu-1.crowdstrike.com (EU-1)
   ALERTS_LIMIT	1000 (optional, max. 10.000 pro Seite)

10. Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen unter Container auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.
    • Klicken Sie auf Fertig.

12. Scrollen Sie zu Ausführungsumgebung:

    • Wählen Sie Standard aus (empfohlen).

13. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

14. Klicken Sie auf Erstellen.

15. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

16. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main unter Funktionseinstiegspunkt ein.

2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

   • Erste Datei: main.py::

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone
   from urllib.parse import urlencode
   
   # Initialize HTTP client
   http = urllib3.PoolManager()
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Fetch CrowdStrike Identity Protection alerts (Unified Alerts API)
       and store RAW JSON (NDJSON) to GCS for the CS_IDP parser.
       No transformation is performed.
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       prefix = os.environ.get('GCS_PREFIX', 'crowdstrike-idp/')
       state_key = os.environ.get('STATE_KEY', 'crowdstrike-idp/state.json')
       client_id = os.environ.get('CROWDSTRIKE_CLIENT_ID')
       client_secret = os.environ.get('CROWDSTRIKE_CLIENT_SECRET')
       api_base = os.environ.get('API_BASE')
   
       if not all([bucket_name, client_id, client_secret, api_base]):
           print('Error: Missing required environment variables')
           return
   
       try:
           bucket = storage_client.bucket(bucket_name)
   
           # Get OAuth token
           token = get_token(client_id, client_secret, api_base)
   
           # Load last processed timestamp
           last_ts = get_last_timestamp(bucket, state_key)
   
           # FQL filter for Identity Protection alerts only, newer than checkpoint
           fql_filter = f"product:'idp' + updated_timestamp:>'{last_ts}'"
           sort = 'updated_timestamp.asc'
   
           # Step 1: Get list of alert IDs
           all_ids = []
           per_page = int(os.environ.get('ALERTS_LIMIT', '1000'))
           offset = 0
   
           while True:
               page_ids = query_alert_ids(api_base, token, fql_filter, sort, per_page, offset)
               if not page_ids:
                   break
               all_ids.extend(page_ids)
               if len(page_ids) < per_page:
                   break
               offset += per_page
   
           if not all_ids:
               print('No new Identity Protection alerts.')
               return
   
           # Step 2: Get alert details in batches (max 1000 IDs per request)
           details = []
           max_batch = 1000
           for i in range(0, len(all_ids), max_batch):
               batch = all_ids[i:i + max_batch]
               details.extend(fetch_alert_details(api_base, token, batch))
   
           if details:
               # Sort by updated_timestamp
               details.sort(key=lambda d: d.get('updated_timestamp', d.get('created_timestamp', '')))
               latest = details[-1].get('updated_timestamp') or details[-1].get('created_timestamp')
   
               # Write to GCS
               timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
               blob_name = f"{prefix}cs_idp_{timestamp}.json"
               blob = bucket.blob(blob_name)
   
               # NDJSON format
               log_lines = '\n'.join([json.dumps(d, separators=(',', ':')) for d in details])
               blob.upload_from_string(log_lines, content_type='application/x-ndjson')
   
               print(f'Wrote {len(details)} alerts to {blob_name}')
   
               # Update state
               update_state(bucket, state_key, latest)
   
       except Exception as e:
           print(f'Error processing alerts: {str(e)}')
           raise
   
   def get_token(client_id, client_secret, api_base):
       """Get OAuth2 token from CrowdStrike API"""
       url = f"https://{api_base}/oauth2/token"
       data = f"client_id={client_id}&client_secret={client_secret}&grant_type=client_credentials"
       headers = {'Content-Type': 'application/x-www-form-urlencoded'}
   
       r = http.request('POST', url, body=data, headers=headers)
       if r.status != 200:
           raise Exception(f'Auth failed: {r.status} {r.data}')
   
       return json.loads(r.data.decode('utf-8'))['access_token']
   
   def query_alert_ids(api_base, token, fql_filter, sort, limit, offset):
       """Query alert IDs using filters"""
       url = f"https://{api_base}/alerts/queries/alerts/v2"
       params = {
           'filter': fql_filter,
           'sort': sort,
           'limit': str(limit),
           'offset': str(offset)
       }
       qs = urlencode(params)
   
       r = http.request('GET', f"{url}?{qs}", headers={'Authorization': f'Bearer {token}'})
       if r.status != 200:
           raise Exception(f'Query alerts failed: {r.status} {r.data}')
   
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def fetch_alert_details(api_base, token, composite_ids):
       """Fetch detailed alert data by composite IDs"""
       url = f"https://{api_base}/alerts/entities/alerts/v2"
       body = {'composite_ids': composite_ids}
       headers = {
           'Authorization': f'Bearer {token}',
           'Content-Type': 'application/json'
       }
   
       r = http.request('POST', url, body=json.dumps(body).encode('utf-8'), headers=headers)
       if r.status != 200:
           raise Exception(f'Fetch alert details failed: {r.status} {r.data}')
   
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def get_last_timestamp(bucket, key, default='2023-01-01T00:00:00Z'):
       """Get last processed timestamp from GCS state file"""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               state = json.loads(state_data)
               return state.get('last_timestamp', default)
       except Exception as e:
           print(f'Warning: Could not load state: {str(e)}')
       return default
   
   def update_state(bucket, key, ts):
       """Update last processed timestamp in GCS state file"""
       state = {
           'last_timestamp': ts,
           'updated': datetime.now(timezone.utc).isoformat()
       }
       blob = bucket.blob(key)
       blob.upload_from_string(json.dumps(state), content_type='application/json')
   

   • Zweite Datei: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	crowdstrike-idp-collector-15m
   Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
   Frequenz	*/15 * * * * (alle 15 Minuten)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema crowdstrike-idp-trigger aus.
   Nachrichtentext	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Scheduler-Job testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
3. Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > crowdstrike-idp-collector > Logs auf.
4. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
5. Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CrowdStrike Identity Protection Services logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Crowdstrike Identity Protection Services als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Protokolle von CrowdStrike Identity Protection Services aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CrowdStrike Identity Protection Services logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Crowdstrike Identity Protection Services als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

     gs://crowdstrike-idp-logs-bucket/crowdstrike-idp/
     

     • Ersetzen Sie:

       • crowdstrike-idp-logs-bucket: Der Name Ihres GCS-Buckets.
       • crowdstrike-idp/: Präfix/Ordnerpfad, in dem Logs gespeichert werden.

   • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

     • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
     • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

     • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

   • Asset-Namespace: Der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten