CrowdStrike Falcon Event Streams-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie CrowdStrike Falcon Event Streams-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen. CrowdStrike Falcon Event Streams bietet eine Echtzeit-Streaming-API, die Sicherheitsereignisdaten von der Falcon-Plattform bereitstellt, einschließlich Erkennungsereignisse, Audit-Ereignisse, Authentifizierungsaktivitäten und Vorfallaktualisierungen. Die Event Streams API verwendet eine persistente HTTP-Verbindung mit dem /sensors/entities/datafeed/v2-Endpunkt, um Ereignisse nahezu in Echtzeit zu übertragen. Sie unterstützt die offsetbasierte Wiederaufnahme für eine zuverlässige Übermittlung.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Ein GCP-Projekt mit aktivierter Cloud Storage API.
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets.
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets.
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs.
  • Privilegierter Zugriff auf die CrowdStrike Falcon Console mit Berechtigungen zum Erstellen von API-Clients.

Google Cloud Storage-Bucket erstellen

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. cs-stream-logs.
    Standorttyp Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Standort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffskontrolle Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

CrowdStrike Falcon-API-Zugriff konfigurieren

API-Client erstellen

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Klicken Sie im Navigationsmenü auf Support und Ressourcen > Ressourcen und Tools > API-Clients und ‑Schlüssel.
  3. Klicken Sie auf API-Client erstellen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Clientname: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Event Streams Integration.
    • Beschreibung (optional): Geben Sie eine Beschreibung ein (z. B. API client for streaming events to GCS).
  5. Wählen Sie im Abschnitt API-Bereiche die folgende Berechtigung aus:
    • Event-Streams: Wählen Sie Lesen aus (erforderlich für die Verwendung der Streaming API).
  6. Klicken Sie auf Erstellen.

API-Anmeldedaten aufzeichnen

Nachdem Sie den API-Client erstellt haben, erhalten Sie die folgenden Anmeldedaten:

  • Client-ID: Ein 32 Zeichen langer hexadezimaler String in Kleinbuchstaben.
  • Clientschlüssel: Ein alphanumerischer String mit 40 Zeichen.
  • Basis-URL: Der voll qualifizierte Domainname für die CrowdStrike API (z. B. api.crowdstrike.com oder api.us-2.crowdstrike.com).

Wichtig: Kopieren und speichern Sie den Clientschlüssel sofort. Sie wird nur einmal angezeigt und kann später nicht mehr abgerufen werden.

Regionale Endpunkte

CrowdStrike ist in mehreren Regionen mit unterschiedlichen API-Endpunkten tätig:

Region Basis-URL
US-1 api.crowdstrike.com
US-2 api.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com

Wichtig: Verwenden Sie die Basis-URL, die Ihrer Anmelderegion für die CrowdStrike Falcon Console entspricht.

Berechtigungen prüfen

So prüfen Sie, ob der API-Client die erforderlichen Berechtigungen hat:

  1. Melden Sie sich in der CrowdStrike Falcon Console an.
  2. Rufen Sie Support und Ressourcen > Ressourcen und Tools> API-Clients und ‑Schlüssel auf.
  3. Suchen Sie nach dem API-Client, den Sie erstellt haben, und prüfen Sie, ob für den Bereich Event Streams der Zugriff Lesen angezeigt wird.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    CLIENT_ID="<your-client-id>"
CLIENT_SECRET="<your-client-secret>"
BASE_URL="https://api.crowdstrike.com"

# Get OAuth2 token
TOKEN=$(curl -s -X POST "${BASE_URL}/oauth2/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "client_id=${CLIENT_ID}&client_secret=${CLIENT_SECRET}" | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")

# Test Event Streams API access (discover available data feeds)
curl -s -H "Authorization: Bearer ${TOKEN}" \
  "${BASE_URL}/sensors/entities/datafeed/v2?appId=secops-test&format=flatjson"

Bei einer erfolgreichen Antwort wird ein JSON-Objekt mit resources und den Feldern dataFeedURL und sessionToken für jede verfügbare Streampartition zurückgegeben.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie cs-stream-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect CrowdStrike Event Streams logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. cs-stream-logs.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. cs-stream-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie cs-stream-trigger ein.
    • Andere Einstellungen als Standardeinstellungen beibehalten
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um eine Verbindung zur CrowdStrike Event Streams API herzustellen, Ereignisse zu nutzen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname cs-stream-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen die Option cs-stream-trigger aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie cs-stream-collector-sa aus.

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET cs-stream-logs Name des GCS-Buckets
    GCS_PREFIX crowdstrike/stream Präfix für Protokolldateien
    STATE_KEY crowdstrike/stream/state.json Statusdateipfad
    CS_BASE_URL https://api.crowdstrike.com CrowdStrike API-Basis-URL
    CS_CLIENT_ID your-client-id API-Client-ID
    CS_CLIENT_SECRET your-client-secret API-Clientschlüssel
    CS_APP_ID secops-stream-collector Eindeutige App-ID für Event Streams (max. 32 alphanumerische Zeichen)
    STREAM_TIMEOUT 300 Zeitlimit für das Lesen des Streams in Sekunden
    MAX_RECORDS 10000 Maximale Anzahl von Datensätzen pro Ausführung

  10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 1 ein (es sollte jeweils nur ein Stream-Consumer ausgeführt werden).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main in das Feld Einstiegspunkt ein.

  2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

    • main.py:

      import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'crowdstrike/stream')
STATE_KEY = os.environ.get('STATE_KEY', 'crowdstrike/stream/state.json')
CS_BASE_URL = os.environ.get('CS_BASE_URL', 'https://api.crowdstrike.com')
CS_CLIENT_ID = os.environ.get('CS_CLIENT_ID')
CS_CLIENT_SECRET = os.environ.get('CS_CLIENT_SECRET')
CS_APP_ID = os.environ.get('CS_APP_ID', 'secops-stream-collector')
STREAM_TIMEOUT = int(os.environ.get('STREAM_TIMEOUT', '300'))
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))

def get_oauth_token(base_url: str, client_id: str, client_secret: str) -> str:
    """Get CrowdStrike OAuth2 access token."""
    token_url = f"{base_url}/oauth2/token"
    body = f"client_id={client_id}&client_secret={client_secret}"
    response = http.request(
        'POST', token_url,
        body=body.encode('utf-8'),
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )
    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status}")
    data = json.loads(response.data.decode('utf-8'))
    return data['access_token']

def refresh_stream_session(base_url: str, token: str, app_id: str, partition: int = 0):
    """Refresh an active stream session to keep it alive."""
    refresh_url = (
        f"{base_url}/sensors/entities/datafeed-actions/v1/{partition}"
        f"?appId={app_id}&action_name=refresh_active_stream_session"
    )
    response = http.request(
        'POST', refresh_url,
        headers={
            'Authorization': f'Bearer {token}',
            'Content-Type': 'application/json',
        }
    )
    if response.status == 200:
        print("Stream session refreshed successfully")
    else:
        print(f"Warning: Stream session refresh returned {response.status}")

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch CrowdStrike
    Event Streams data and write to GCS.
    """

    if not all([GCS_BUCKET, CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Get OAuth token
        token = get_oauth_token(CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET)
        headers = {
            'Authorization': f'Bearer {token}',
            'Accept': 'application/json',
        }

        # Discover available data feeds
        discover_url = (
            f"{CS_BASE_URL}/sensors/entities/datafeed/v2"
            f"?appId={CS_APP_ID}&format=flatjson"
        )
        response = http.request('GET', discover_url, headers=headers)

        if response.status != 200:
            print(f"Failed to discover data feed: {response.status}")
            print(f"Response: {response.data.decode('utf-8')}")
            return

        feed_data = json.loads(response.data.decode('utf-8'))
        resources = feed_data.get('resources', [])

        if not resources:
            print("No data feed resources available")
            return

        feed_url = resources[0].get('dataFeedURL', '')
        session_token = resources[0].get(
            'sessionToken', {}
        ).get('token', '')

        if not feed_url or not session_token:
            print("Missing feed URL or session token")
            return

        # Build stream URL with offset if available
        stream_url = feed_url
        offset = state.get('offset')
        if offset:
            stream_url = f"{feed_url}&offset={offset}"

        # Connect to Event Stream
        stream_headers = {
            'Authorization': f'Token {session_token}',
            'Accept': 'application/json',
            'Connection': 'keep-alive',
        }

        stream_http = urllib3.PoolManager(
            timeout=urllib3.Timeout(
                connect=10.0, read=float(STREAM_TIMEOUT)
            ),
            retries=False,
        )

        print(f"Connecting to Event Stream...")
        resp = stream_http.request(
            'GET', stream_url,
            headers=stream_headers,
            preload_content=False
        )

        if resp.status != 200:
            print(f"Stream connection failed: {resp.status}")
            return

        records = []
        latest_offset = offset
        now = datetime.now(timezone.utc)

        for line in resp.stream(4096):
            decoded = line.decode('utf-8').strip()
            if not decoded:
                continue

            try:
                event = json.loads(decoded)
                records.append(event)

                event_offset = event.get(
                    'metadata', {}
                ).get('offset')
                if event_offset is not None:
                    latest_offset = event_offset

                if len(records) >= MAX_RECORDS:
                    print(
                        f"Reached max records limit ({MAX_RECORDS})"
                    )
                    break
            except json.JSONDecodeError:
                continue

        resp.release_conn()

        if not records:
            print("No new events found in stream.")
            # Refresh stream session to keep it alive
            refresh_stream_session(
                CS_BASE_URL, token, CS_APP_ID
            )
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join(
            [json.dumps(r, ensure_ascii=False) for r in records]
        ) + '\n'
        blob.upload_from_string(
            ndjson, content_type='application/x-ndjson'
        )

        print(
            f"Wrote {len(records)} records to "
            f"gs://{GCS_BUCKET}/{object_key}"
        )

        # Save state with latest offset
        new_state = {
            'offset': latest_offset,
            'last_run': now.isoformat()
        }
        save_state(bucket, STATE_KEY, new_state)

        # Refresh stream session to keep it alive
        refresh_stream_session(
            CS_BASE_URL, token, CS_APP_ID
        )

        print(f"Successfully processed {len(records)} events")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")
    return {}

def save_state(bucket, key, state: dict):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: {state}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

    requirements.txt:

    ```none
functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0
```

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name cs-stream-collector-scheduled
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz */15 * * * * (alle 15 Minuten)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema cs-stream-trigger auswählen
    Inhalt der Nachricht {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf cs-stream-collector.
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

    Connecting to Event Stream...
Wrote X records to gs://cs-stream-logs/crowdstrike/stream/logs_YYYYMMDD_HHMMSS.ndjson
Stream session refreshed successfully
Successfully processed X events

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf cs-stream-logs.

  10. Rufen Sie den Ordner crowdstrike/stream/ auf.

  11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

  • HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
  • HTTP 403: Prüfen Sie, ob der API-Client den Bereich Event Streams: Read hat.
  • HTTP 429: Ratenbegrenzung – passen Sie die Häufigkeit des Schedulers an oder erhöhen Sie STREAM_TIMEOUT.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.
  • Keine Datenfeedressourcen verfügbar: Prüfen Sie, ob CS_APP_ID eindeutig ist und nicht mehr als 32 alphanumerische Zeichen enthält.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CrowdStrike Event Streams logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie CrowdStrike Falcon Streaming als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen.

  8. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Kopieren Sie diese E-Mail-Adresse für den nächsten Schritt.

  10. Klicken Sie auf Weiter.

  11. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://cs-stream-logs/crowdstrike/stream/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard ist 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

  12. Klicken Sie auf Weiter.

  13. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf cs-stream-logs.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Benötigen Sie weitere Hilfe?

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Weitere Informationen finden Sie in der Dokumentation zum CrowdStrike Falcon Event Streams-Parser.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
event_data.AssociatedFile about.file.full_path Direkt zugeordnet
event_data.IOCValue about.file.sha256 Direkt zugeordnet
ActivityId_label additional.fields Zusammengeführt
ActivityOperatingSystem_label additional.fields Zusammengeführt
ModelAnomalyIndicators_label additional.fields Zusammengeführt
SourceEndpointIpReputation_label additional.fields Zusammengeführt
SourceIpIspClassification_label additional.fields Zusammengeführt
SourceIpIspDomain_label additional.fields Zusammengeführt
additional_deviceCustomDate1 additional.fields Zusammengeführt
additional_domainname additional.fields Zusammengeführt
commands_label additional.fields Zusammengeführt
data_domains_label additional.fields Zusammengeführt
dns_request_domain_name_label additional.fields Zusammengeführt
dns_request_type_label additional.fields Zusammengeführt
dnsrequest_interface_index_label additional.fields Zusammengeführt
dnsrequest_load_time_label additional.fields Zusammengeführt
eventType additional.fields Zugeordnete Werte (insgesamt 8, z.B. "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `file...
event_data_ContextTimeStamp_id_label additional.fields Zusammengeführt
event_data_MobileDetectionId_id_label additional.fields Zusammengeführt
field1 additional.fields Zusammengeführt
fileaccessed_full_path_label additional.fields Zusammengeführt
fileaccessed_timestamp_label additional.fields Zusammengeführt
filewritten_full_path_label additional.fields Zusammengeführt
filewritten_timestamp_label additional.fields Zusammengeführt
reputation_label_list_values additional.fields Zusammengeführt
sourceipasncode_label additional.fields Zusammengeführt
sourceipasnorg_label additional.fields Zusammengeführt
eventType extensions.auth.mechanism Zugeordnet: "saml2Assert", "twoFactorAuthenticate" → mechanism
mechanism extensions.auth.mechanism Zusammengeführt
eventType extensions.auth.type Zugeordnet: "assert", "userAuthenticate" → AUTHTYPE_UNSPECIFIED
description metadata.description Direkt zugeordnet
event_data.Description metadata.description Direkt zugeordnet
incidentDescription metadata.description Direkt zugeordnet
msg metadata.description Direkt zugeordnet
name metadata.description Direkt zugeordnet
serviceName metadata.description Direkt zugeordnet
devTime metadata.event_timestamp Geparst als yyyy-MM-dd HH:mm:ss
deviceCustomDate1 metadata.event_timestamp Geparst als MMM dd yyyy HH:mm:ss
event_data.UTCTimestamp metadata.event_timestamp Geparst als UNIX_MS
meta.eventCreationTime metadata.event_timestamp Geparst als UNIX_MS
meta.event_dataCreationTime metadata.event_timestamp Geparst als UNIX_MS
timestamp metadata.event_timestamp Geparst als UNIX_MS
eventType metadata.event_type Zugeordnete Werte (insgesamt 6, z.B. "saml2Assert", "twoFactorAuthenticate" → USER_LOGIN, ` "r...
has_principal metadata.event_type Zugeordnet: true → STATUS_UPDATE, true → SCAN_FILE
has_user metadata.event_type Zugeordnet: false → GENERIC_EVENT
cid metadata.product_deployment_id Direkt zugeordnet
eventType metadata.product_event_type Direkt zugeordnet
event_data_simpleName metadata.product_event_type Direkt zugeordnet
event_data.AgentId metadata.product_log_id Direkt zugeordnet
id metadata.product_log_id Direkt zugeordnet
product metadata.product_name Direkt zugeordnet
meta.version metadata.product_version Direkt zugeordnet
version metadata.product_version Direkt zugeordnet
cs6 metadata.url_back_to_product Direkt zugeordnet
url metadata.url_back_to_product Direkt zugeordnet
vendor metadata.vendor_name Direkt zugeordnet
connectionDirection network.direction Zugeordnet: 0 → OUTBOUND, 1 → INBOUND
event_data.Attributes.request_method network.http.method Direkt zugeordnet
event_data.FalconHostLink network.http.referral_url Direkt zugeordnet
request network.http.referral_url Direkt zugeordnet
event_data.Attributes.status_code network.http.response_code Direkt zugeordnet
event_data.Attributes.user_agent network.http.user_agent Direkt zugeordnet
protocol network.ip_protocol Zugeordnet: 6 → TCP, 17 → UDP, 58 → ICMP
event_data.Attributes.trace_id network.session_id Direkt zugeordnet
event_data.SessionId network.session_id Direkt zugeordnet
value_issuer network.tls.server.certificate.issuer Direkt zugeordnet
domain principal.administrative_domain Direkt zugeordnet
event_data.DataDomains principal.administrative_domain Direkt zugeordnet
event_data.SourceAccountDomain principal.administrative_domain Direkt zugeordnet
event_data_ActivityBrowser principal.application Direkt zugeordnet
aid principal.asset.asset_id Direkt zugeordnet
event_data.AgentIdString principal.asset.asset_id Direkt zugeordnet
event_data_SensorId principal.asset.asset_id Direkt zugeordnet
ComputerName principal.asset.hostname Direkt zugeordnet
endpointName principal.asset.hostname Direkt zugeordnet
event_data.EndpointName principal.asset.hostname Direkt zugeordnet
event_data.Hostname principal.asset.hostname Direkt zugeordnet
event_data.HostnameField principal.asset.hostname Direkt zugeordnet
event_data.SourceEndpointHostName principal.asset.hostname Direkt zugeordnet
event_data_ComputerName principal.asset.hostname Direkt zugeordnet
hostName principal.asset.hostname Direkt zugeordnet
ClientIP principal.asset.ip Zusammengeführt
LocalAddressIP4 principal.asset.ip Zusammengeführt
aip principal.asset.ip Zusammengeführt
event_data.EndpointIp principal.asset.ip Zusammengeführt
event_data.LocalIP principal.asset.ip Zusammengeführt
event_data.LocalIPv6 principal.asset.ip Zusammengeführt
event_data.SourceEndpointIpAddress principal.asset.ip Zusammengeführt
event_data.UserIp principal.asset.ip Zusammengeführt
ip principal.asset.ip Zusammengeführt
localAddress principal.asset.ip Zusammengeführt
remoteAddress principal.asset.ip Zusammengeführt
src principal.asset.ip Zusammengeführt
event_data.MACAddress principal.asset.mac Zusammengeführt
event_data_SensorId principal.asset_id Direkt zugeordnet
ComputerName principal.hostname Direkt zugeordnet
endpointName principal.hostname Direkt zugeordnet
event_data.EndpointName principal.hostname Direkt zugeordnet
event_data.Hostname principal.hostname Direkt zugeordnet
event_data.HostnameField principal.hostname Direkt zugeordnet
event_data.SourceEndpointHostName principal.hostname Direkt zugeordnet
event_data_ComputerName principal.hostname Direkt zugeordnet
hostName principal.hostname Direkt zugeordnet
ClientIP principal.ip Zusammengeführt
LocalAddressIP4 principal.ip Zusammengeführt
aip principal.ip Zusammengeführt
event_data.EndpointIp principal.ip Zusammengeführt
event_data.LocalIP principal.ip Zusammengeführt
event_data.LocalIPv6 principal.ip Zusammengeführt
event_data.SourceEndpointIpAddress principal.ip Zusammengeführt
event_data.UserIp principal.ip Zusammengeführt
ip principal.ip Zusammengeführt
localAddress principal.ip Zusammengeführt
remoteAddress principal.ip Zusammengeführt
src principal.ip Zusammengeführt
event_data_LocationCountryCode principal.location.country_or_region Direkt zugeordnet
event_data.MACAddress principal.mac Zusammengeführt
srcMAC principal.mac Zusammengeführt
event_data_platformName principal.platform Zugeordnet: (?i)Linux → LINUX, (?i)Windows → WINDOWS, (?i)mac/ios → MAC
localPort principal.port Direkt zugeordnet
exeWrittenFilePath principal.process.file.full_path Direkt zugeordnet
event_data.ParentCommandLine principal.process.parent_process.command_line Direkt zugeordnet
event_data.ParentImageFilePath principal.process.parent_process.file.full_path Direkt zugeordnet
eventType principal.process.parent_process.file.names Zugeordnet: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `event_data.ParentImageFil...
event_data.ParentImageFileName principal.process.parent_process.file.names Zusammengeführt
event_data.ParentProcessId principal.process.parent_process.pid Direkt zugeordnet
event_data.ProcessId principal.process.pid Direkt zugeordnet
event_data.Attributes.assign_to_user_id principal.user.email_addresses Zusammengeführt
event_data.SourceAccountUpn principal.user.email_addresses Zusammengeführt
userName principal.user.email_addresses Zugeordnet: ^.+@.+$ → userName
user_email principal.user.email_addresses Zusammengeführt
eventType principal.user.group_identifiers Zugeordnet: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → event_data.LogonDomain
event_data.LogonDomain principal.user.group_identifiers Zusammengeführt
event_data.Attributes.assign_to_name principal.user.user_display_name Direkt zugeordnet
event_data.UserName principal.user.user_display_name Direkt zugeordnet
event_data.SourceAccountName principal.user.userid Direkt zugeordnet
event_data.UserId principal.user.userid Direkt zugeordnet
userName principal.user.userid Direkt zugeordnet
usrName principal.user.userid Direkt zugeordnet
event_data.SourceAccountObjectSid principal.user.windows_sid Direkt zugeordnet
_security_result security_result Zusammengeführt
applicationName target.application Direkt zugeordnet
event_data.Source target.application Direkt zugeordnet
event_data_SsoApplicationIdentifier target.application Direkt zugeordnet
serviceName target.application Direkt zugeordnet
event_data.CompositeId target.asset.asset_id Direkt zugeordnet
dhost target.asset.hostname Direkt zugeordnet
event_data.TargetEndpointHostName target.asset.hostname Direkt zugeordnet
IP target.asset.ip Zusammengeführt
dst target.asset.ip Zusammengeführt
event_data.IOCValue target.asset.ip Zusammengeführt
event_data.TargetEndpointIpAddress target.asset.ip Zusammengeführt
TargetFileName target.file.full_path Direkt zugeordnet
event_data.FilePath target.file.full_path Direkt zugeordnet
event_data.MD5String target.file.md5 Direkt zugeordnet
eventType target.file.names Zugeordnet: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → fileaccessed.FileName, `...
event_data.FileName target.file.names Zusammengeführt
exeWrittenFileName target.file.names Zusammengeführt
fileName target.file.names Zusammengeführt
fileaccessed.FileName target.file.names Zusammengeführt
filewritten.FileName target.file.names Zusammengeführt
event_data.SHA1String target.file.sha1 Direkt zugeordnet
event_data.SHA256String target.file.sha256 Direkt zugeordnet
sha256 target.file.sha256 Direkt zugeordnet
Size target.file.size Direkt zugeordnet
dhost target.hostname Direkt zugeordnet
event_data.TargetEndpointHostName target.hostname Direkt zugeordnet
IP target.ip Zusammengeführt
dst target.ip Zusammengeführt
event_data.IOCValue target.ip Zusammengeführt
event_data.TargetEndpointIpAddress target.ip Zusammengeführt
dpt target.port Umbenannt/zugeordnet
remotePort target.port Umbenannt/zugeordnet
cmdLine target.process.command_line Direkt zugeordnet
commandLine target.process.command_line Direkt zugeordnet
event_data.CommandLine target.process.command_line Direkt zugeordnet
filePath target.process.file.full_path Direkt zugeordnet
md5 target.process.file.md5 Direkt zugeordnet
event_data_itempostedtimestamp_label target.resource.attribute.labels Zusammengeführt
event_data_itemtype_label target.resource.attribute.labels Zusammengeführt
resource target.resource.name Direkt zugeordnet
event_data_itemid target.resource.product_object_id Direkt zugeordnet
eventType target.resource.type Zugeordnet: "remove_group", "update_group" → GROUP, delete_group → GROUP
event_data.Attributes.request_path target.url Direkt zugeordnet
eventType target.user.email_addresses Zugeordnet: "saml2Assert", "twoFactorAuthenticate", "assert", "userAuthenticate" → user_email
user_email target.user.email_addresses Zusammengeführt
usrName target.user.userid Direkt zugeordnet
event_data.TargetEndpointAccountObjectSid target.user.windows_sid Direkt zugeordnet
extensions.auth.type Konstante: AUTHTYPE_UNSPECIFIED
metadata.event_type Konstante: GENERIC_EVENT
metadata.product_name Konstante: FalconHost
metadata.vendor_name Konstante: CrowdStrike
network.direction Konstante: OUTBOUND
network.ip_protocol Konstante: TCP
principal.platform Konstante: LINUX
target.resource.type Konstante: GROUP

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten