Collecter les journaux des services CrowdStrike Identity Protection (IDP)

Ce document explique comment ingérer les journaux des services CrowdStrike Identity Protection (IDP) dans Google Security Operations à l'aide de Google Cloud Storage. L'intégration utilise l'API CrowdStrike Unified Alerts pour collecter les événements Identity Protection et les stocke au format NDJSON pour qu'ils soient traités par l'analyseur CS_IDP intégré.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à la console CrowdStrike Falcon et gestion des clés API

Créer un bucket Google Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, crowdstrike-idp-logs-bucket).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

6. Cliquez sur Créer.

Obtenir les prérequis de CrowdStrike Identity Protection

1. Connectez-vous à la console CrowdStrike Falcon.
2. Accédez à Assistance et ressources> Clients et clés API.
3. Cliquez sur Ajouter un client API.
4. Fournissez les informations de configuration suivantes :
   • Nom du client : saisissez Google SecOps IDP Integration.
   • Description : saisissez API client for Google SecOps integration.
   • Étendues : sélectionnez l'étendue Alertes : LECTURE (alerts:read) (qui inclut les alertes Identity Protection).
5. Cliquez sur Ajouter.
6. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
   • ID client
   • Code secret du client (affiché une seule fois)
   • URL de base (exemples : api.crowdstrike.com pour US-1, api.us-2.crowdstrike.com pour US-2, api.eu-1.crowdstrike.com pour EU-1)

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez crowdstrike-idp-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect CrowdStrike IDP logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, crowdstrike-idp-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Create topic (Créer un sujet).
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez crowdstrike-idp-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par des messages Pub/Sub provenant de Cloud Scheduler pour extraire les journaux de l'API CrowdStrike Identity Protection et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	crowdstrike-idp-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet crowdstrike-idp-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service crowdstrike-idp-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur
   GCS_BUCKET	crowdstrike-idp-logs-bucket
   GCS_PREFIX	crowdstrike-idp/
   STATE_KEY	crowdstrike-idp/state.json
   CROWDSTRIKE_CLIENT_ID	your-client-id
   CROWDSTRIKE_CLIENT_SECRET	your-client-secret
   API_BASE	api.crowdstrike.com (US-1), api.us-2.crowdstrike.com (US-2), api.eu-1.crowdstrike.com (EU-1)
   ALERTS_LIMIT	1000 (facultatif, 10 000 maximum par page)

10. Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres dans Conteneurs :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.
    • Cliquez sur OK.

12. Faites défiler la page jusqu'à Environnement d'exécution :

    • Sélectionnez Par défaut (recommandé).

13. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

14. Cliquez sur Créer.

15. Attendez que le service soit créé (1 à 2 minutes).

16. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans Point d'entrée de la fonction.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone
   from urllib.parse import urlencode
   
   # Initialize HTTP client
   http = urllib3.PoolManager()
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Fetch CrowdStrike Identity Protection alerts (Unified Alerts API)
       and store RAW JSON (NDJSON) to GCS for the CS_IDP parser.
       No transformation is performed.
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       prefix = os.environ.get('GCS_PREFIX', 'crowdstrike-idp/')
       state_key = os.environ.get('STATE_KEY', 'crowdstrike-idp/state.json')
       client_id = os.environ.get('CROWDSTRIKE_CLIENT_ID')
       client_secret = os.environ.get('CROWDSTRIKE_CLIENT_SECRET')
       api_base = os.environ.get('API_BASE')
   
       if not all([bucket_name, client_id, client_secret, api_base]):
           print('Error: Missing required environment variables')
           return
   
       try:
           bucket = storage_client.bucket(bucket_name)
   
           # Get OAuth token
           token = get_token(client_id, client_secret, api_base)
   
           # Load last processed timestamp
           last_ts = get_last_timestamp(bucket, state_key)
   
           # FQL filter for Identity Protection alerts only, newer than checkpoint
           fql_filter = f"product:'idp' + updated_timestamp:>'{last_ts}'"
           sort = 'updated_timestamp.asc'
   
           # Step 1: Get list of alert IDs
           all_ids = []
           per_page = int(os.environ.get('ALERTS_LIMIT', '1000'))
           offset = 0
   
           while True:
               page_ids = query_alert_ids(api_base, token, fql_filter, sort, per_page, offset)
               if not page_ids:
                   break
               all_ids.extend(page_ids)
               if len(page_ids) < per_page:
                   break
               offset += per_page
   
           if not all_ids:
               print('No new Identity Protection alerts.')
               return
   
           # Step 2: Get alert details in batches (max 1000 IDs per request)
           details = []
           max_batch = 1000
           for i in range(0, len(all_ids), max_batch):
               batch = all_ids[i:i + max_batch]
               details.extend(fetch_alert_details(api_base, token, batch))
   
           if details:
               # Sort by updated_timestamp
               details.sort(key=lambda d: d.get('updated_timestamp', d.get('created_timestamp', '')))
               latest = details[-1].get('updated_timestamp') or details[-1].get('created_timestamp')
   
               # Write to GCS
               timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
               blob_name = f"{prefix}cs_idp_{timestamp}.json"
               blob = bucket.blob(blob_name)
   
               # NDJSON format
               log_lines = '\n'.join([json.dumps(d, separators=(',', ':')) for d in details])
               blob.upload_from_string(log_lines, content_type='application/x-ndjson')
   
               print(f'Wrote {len(details)} alerts to {blob_name}')
   
               # Update state
               update_state(bucket, state_key, latest)
   
       except Exception as e:
           print(f'Error processing alerts: {str(e)}')
           raise
   
   def get_token(client_id, client_secret, api_base):
       """Get OAuth2 token from CrowdStrike API"""
       url = f"https://{api_base}/oauth2/token"
       data = f"client_id={client_id}&client_secret={client_secret}&grant_type=client_credentials"
       headers = {'Content-Type': 'application/x-www-form-urlencoded'}
   
       r = http.request('POST', url, body=data, headers=headers)
       if r.status != 200:
           raise Exception(f'Auth failed: {r.status} {r.data}')
   
       return json.loads(r.data.decode('utf-8'))['access_token']
   
   def query_alert_ids(api_base, token, fql_filter, sort, limit, offset):
       """Query alert IDs using filters"""
       url = f"https://{api_base}/alerts/queries/alerts/v2"
       params = {
           'filter': fql_filter,
           'sort': sort,
           'limit': str(limit),
           'offset': str(offset)
       }
       qs = urlencode(params)
   
       r = http.request('GET', f"{url}?{qs}", headers={'Authorization': f'Bearer {token}'})
       if r.status != 200:
           raise Exception(f'Query alerts failed: {r.status} {r.data}')
   
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def fetch_alert_details(api_base, token, composite_ids):
       """Fetch detailed alert data by composite IDs"""
       url = f"https://{api_base}/alerts/entities/alerts/v2"
       body = {'composite_ids': composite_ids}
       headers = {
           'Authorization': f'Bearer {token}',
           'Content-Type': 'application/json'
       }
   
       r = http.request('POST', url, body=json.dumps(body).encode('utf-8'), headers=headers)
       if r.status != 200:
           raise Exception(f'Fetch alert details failed: {r.status} {r.data}')
   
       resp = json.loads(r.data.decode('utf-8'))
       return resp.get('resources', [])
   
   def get_last_timestamp(bucket, key, default='2023-01-01T00:00:00Z'):
       """Get last processed timestamp from GCS state file"""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               state = json.loads(state_data)
               return state.get('last_timestamp', default)
       except Exception as e:
           print(f'Warning: Could not load state: {str(e)}')
       return default
   
   def update_state(bucket, key, ts):
       """Update last processed timestamp in GCS state file"""
       state = {
           'last_timestamp': ts,
           'updated': datetime.now(timezone.utc).isoformat()
       }
       blob = bucket.blob(key)
       blob.upload_from_string(json.dumps(state), content_type='application/json')
   

   • Deuxième fichier : requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	crowdstrike-idp-collector-15m
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	*/15 * * * * (toutes les 15 minutes)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Topic	Sélectionnez le thème crowdstrike-idp-trigger.
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Tester le job Scheduler

1. Dans la console Cloud Scheduler, recherchez votre job.
2. Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
3. Patientez quelques secondes, puis accédez à Cloud Run > Services > crowdstrike-idp-collector > Journaux.
4. Vérifiez que la fonction s'est exécutée correctement.
5. Vérifiez le bucket GCS pour confirmer que les journaux ont été écrits.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, CrowdStrike Identity Protection Services logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Services de protection de l'identité Crowdstrike comme Type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux des services de protection de l'identité CrowdStrike

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, CrowdStrike Identity Protection Services logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Services de protection de l'identité Crowdstrike comme Type de journal.
7. Cliquez sur Suivant.

8. Spécifiez les valeurs des paramètres d'entrée suivants :

   • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

     gs://crowdstrike-idp-logs-bucket/crowdstrike-idp/
     

     • Remplacez :

       • crowdstrike-idp-logs-bucket : nom de votre bucket GCS.
       • crowdstrike-idp/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.

   • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

     • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
     • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

     • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

   • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

   • Espace de noms de l'élément : espace de noms de l'élément.

   • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

9. Cliquez sur Suivant.

10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.