CrowdStrike Falcon プラットフォームのログ収集

最後の更新
PDFとして保存

この手順では、CrowdStrike Falcon プラットフォームから Sumo Logic へのログ収集方法を説明します。CrowdStrike Falcon プラットフォームは、エンドポイントの検出と応答、次世代型のアンチウイルスおよび脅威インテリジェンスサービスをクラウド経由で提供します。複数のセキュリティ機能を単一の軽量エージェントにまとめ、Sumo Logic のような一元化されたセキュリティアナリティクスプラットフォームを用いた統合を通じて視認性を提供します。

CrowdStrike Falcon ホストプラットフォーム対応 Sumo Logic アプリケーションを使用すると、CrowdStrike セキュリティイベントをタイプ、ステータス、および検出方法ごとに分析できます。このアプリケーションを使用すると、CrowdStrike コンソールにログインしなくても、CrowdStrike 固有のイベントを調査し、事前設定の検索とダッシュボードで運用情報をチームメンバーに表示することができます。

ログタイプ

CrowdStrike Falcon ホスト対応 Sumo Logic アプリケーションは、次の 2 つのログタイプを分析できます。

検出サマリイベント
認証イベント

形式および定義の詳細については、CrowdStrike ドキュメントを参照してください。

前提条件/要件

CrowdStrike Falcon プラットフォームのログを収集するには、CrowdStrike Falcon SIEM (セキュリティ情報/イベントマネージャ) コネクタを設定する必要があります。Sumo Logic は、パフォーマンスを最適化するために SIEM コネクタと Sumo Logic コレクタを同じマシンにインストールすることを推奨します。

CrowdStrike Falcon SIEM コネクタについての詳細情報については、CrowdStrike のドキュメントを参照するか、CrowdStrike カスタマーサポート (info@crowdstrike.com) までお問い合わせください。

コレクタの設定

インストール済みコレクタを設定します。

ソースの設定

Syslog ソースを設定します。

デフォルトでは、ログは UTC タイムゾーンで記録されます。

プロトコル (TCP または UDP) とポート番号をメモします。この情報は、CrowdStrike Falcon SIEM コネクタを設定するために必要になります。

CrowdStrike Falcon SIEM コネクタの設定

開始する前に

CrowdStrike Falcon SIEM コネクタのドキュメントを確認します。UI へのアクセス権がない場合は、カスタマーサポート (info@crowdstrike.com) までお問い合わせください。
会話アイコンから [Docs (ドキュメント)] を選択します。
[Feature Guides (機能ガイド)] から [Falcon Host SIEM Connector Feature Guide (Falcon Host SIEM コネクタ機能ガイド)] を選択します。

Falcon SIEM コネクタのダウンロード

Falcon UI から、使用するオペレーションシステムに合わせて適切な Falcon SIEM をダウンロードします。

CrowdStrike Falcon API ID とキーの生成

CrowdStrike Falcon ホストストリーミング API のユーザ名とパスワードが必要になります。すでにお持ちの場合は、セクション「CrowdStrike SIEM コネクタのインストールと設定」に進んでください。API 資格情報をお持ちでない場合は、手順 2 に進みます。
CrowdStrike コンソールにログインし、[Support App (サポートアプリケーション)] から [API Key (API 鍵)] に移動します。
表示される API UUID がお客様の API ユーザ名です。
[Reset API Key (API 鍵のリセット)] をクリックして、一意の API パスワードを作成します。
すでに API ユーザ名とパスワードを使用している場合、[Reset API Key (API 鍵のリセット)] をクリックすると現在のパスワードが無効になります。既存の API キー設定がない場合にのみこのオプションを選択してください。
次のセクションで CrowdStrike を設定する際に必要になるため、API ID と API キーをメモします。

CrowdStrike SIEM コネクタのインストールと設定

次の手順を完了するには、CrowdStrike SIEM コネクタのドキュメントに記載された最小要件を満たしたマシンが必要です。CentOS、RedHat、または Ubuntu オペレーティングシステムを使用している場合は、Sumo Logic コレクタをインストールしたマシンを使用できます。

CrowdStrike Falcon SIEM コネクタをドキュメントの指示にしたがってインストールします。
コネクタをインストールしたら、使用する設定ファイルを選択する必要があります。Syslog 出力ファイルを /opt/crowdstrike/etc/cs.falconhoseclient.cf で選択してください。
選択できるパラメータはいくつかありますが、次の要件を満たしてください。

output_format = syslog
_to_syslog_server = true
host = Sumo Logic コレクタをインストールしたマシンの IP アドレス
port = syslog ソースを設定した際に書き留めた値
protocol = syslog ソースを設定した際に書き留めたプロトコル (TCP または UDP)

CrowdStrike SIEM コネクタの開始と検証

使用しているオペレーティングシステムに応じて、CrowdStrike SIEM コネクタガイドで SIEM コネクタの開始手順を確認します。
Sumo Logic インスタンスにイベントが書き込まれていることを検証します。

フィールド抽出ルール

次は CrowdStrike Falcon プラットフォームのフィールド抽出ルールの例です。

| parse "CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|*|*|" as detect_type,sev 
| extract "suser=(?<user>.*?)(?:\s|$)" nodrop
| extract "shost=(?<host>.*?)(?:\s|$)" nodrop
| extract "fname=(?<file>.*?)(?:\s|$)" nodrop
| extract "filePath=(?<path>.*?)(?: \w+=|$)" nodrop
| extract "cs1=(?<commandline>.*?)(?: \w+=|$)" nodrop
| extract "cs2=(?<doc_filename>.*?)(?: \w+=|$)" nodrop
| extract "cs3=(?<doc_filepath>.*?)(?: \w+=|$)" nodrop
| extract "cs6=(?<FalconHostLink>.*?)(?:\s|$)" nodrop
| extract "cn3=(?<offset>.*?)(?:\s|$)" nodrop
| extract "spid=(?<spid>.*?)(?:\s|$)" nodrop
| extract "sntdom=(?<host_domain>.*?)(?:\s|$)" nodrop
| extract "deviceCustomDate1=(?<doc_written_time>.*?)(?: \w+=|$)" nodrop
| extract "externalID=(?<sensorid>.*?)(?:\s|$)" nodrop

ログメッセージのサンプル

<1> 2017-02-02T12:42:27-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|Network Access In A Detection Summary Event|3|cn3Label=Offset suser=sta6ds dst=110.45.195.195 fname=KMPlayer.exe cn3=254180 sntdom=EEINTERhrew spt=61769 cs6=https://falcon.crowdstrike.com/detec...65696612526574 filePath=\Device\HarddiskVolume1\users\zta6ds\Documents\Install\ (--) dpt=80 cs1="C:\users\zta6ds\Documents\Install\ (--)\KMPlayer.exe" shost=EEUAN40012 cs6Label=FalconHostLink cs1Label=CommandLine spid=910686634860 src=172.17.37.100 externalID=fa04be66bae449e644e0493ed860587c deviceCustomDate1=2016-06-13 12:42:27 deviceCustomDate1Label=AccessTimestamp

<1> 2017-02-02T12:27:37-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|cs3Label=EntitlementGroup deviceCustomDate1Label=Timestamp cs2Label=Entitlement suser=Customer deviceCustomDate1=2017-02-02 12:27:37 cn3=253265 outcome=true cn3Label=Offset cs4Label=TargetName cs1Label=ServiceName cat=validateEntitlementsHmac sourceTranslatedAddress=10.20.8.201 cs1=CrowdStrike Authentication

<1> 2017-02-02T12:42:28-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|DNS Request In A Detection Summary Event|3|shost=J7RFZV1D cs6=https://falcon.crowdstrike.com/detec...86113599520768 fname=msiexec.exe cs6Label=FalconHostLink deviceCustomDate1=2017-02-02 12:42:28 spid=1509450465343 dhost=oceania.pool.ntp.org cn3Label=Offset cn3=254181 cs1="C:\Windows\system32\msiexec.exe" suser=c0000601 sntdom=Kodelo cs1Label=CommandLine filePath=\Device\HarddiskVolume2\Windows\System32 externalID=9a31ca7f389f43ce76de8d03a6695c8f deviceCustomDate1Label=DnsRequestTime

クエリのサンプル

一定期間にわたる DNS リクエストの重大度

_sourceCategory=CrowdStrike DetectionSummaryEvent DNS Request Detection Summary
| parse "CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|*|*|" as detect_type,sev 
| extract "suser=(?<user>.*?)(?:\s|$)" nodrop
| extract "shost=(?<host>.*?)(?:\s|$)" nodrop
| extract "fname=(?<file>.*?)(?:\s|$)" nodrop
| extract "filePath=(?<path>.*?)(?: \w+=|$)" nodrop
| extract "cs1=(?<commandline>.*?)(?: \w+=|$)" nodrop
| extract "cs6=(?<FalconHostLink>.*?)(?:\s|$)" nodrop
| extract "cn3=(?<offset>.*?)(?:\s|$)" nodrop
| extract "spid=(?<spid>.*?)(?:\s|$)" nodrop
| extract "sntdom=(?<host_domain>.*?)(?:\s|$)" nodrop
| extract "externalID=(?<sensorid>.*?)(?:\s|$)" nodrop
| timeslice 5m 
| count _timeslice, sev
| transpose row _timeslice column sev