CrowdStrike Falcon プラットフォームのログ収集
この手順では、CrowdStrike Falcon プラットフォームから Sumo Logic へのログ収集方法を説明します。CrowdStrike Falcon プラットフォームは、エンドポイントの検出と応答、次世代型のアンチウイルスおよび脅威インテリジェンス サービスをクラウド経由で提供します。複数のセキュリティ機能を単一の軽量エージェントにまとめ、Sumo Logic のような一元化されたセキュリティ アナリティクス プラットフォームを用いた統合を通じて視認性を提供します。
CrowdStrike Falcon ホスト プラットフォーム対応 Sumo Logic アプリケーションを使用すると、CrowdStrike セキュリティ イベントをタイプ、ステータス、および検出方法ごとに分析できます。このアプリケーションを使用すると、CrowdStrike コンソールにログインしなくても、CrowdStrike 固有のイベントを調査し、事前設定の検索とダッシュボードで運用情報をチーム メンバーに表示することができます。
ログ タイプ
CrowdStrike Falcon ホスト対応 Sumo Logic アプリケーションは、次の 2 つのログ タイプを分析できます。
- 検出サマリ イベント
- 認証イベント
形式および定義の詳細については、CrowdStrike ドキュメントを参照してください。
前提条件/要件
CrowdStrike Falcon プラットフォームのログを収集するには、CrowdStrike Falcon SIEM (セキュリティ情報/イベント マネージャ) コネクタを設定する必要があります。Sumo Logic は、パフォーマンスを最適化するために SIEM コネクタと Sumo Logic コレクタを同じマシンにインストールすることを推奨します。
CrowdStrike Falcon SIEM コネクタについての詳細情報については、CrowdStrike のドキュメントを参照するか、CrowdStrike カスタマー サポート (info@crowdstrike.com) までお問い合わせください。
コレクタの設定
インストール済みコレクタを設定します。
ソースの設定
Syslog ソースを設定します。
デフォルトでは、ログは UTC タイムゾーンで記録されます。
プロトコル (TCP または UDP) とポート番号をメモします。この情報は、CrowdStrike Falcon SIEM コネクタを設定するために必要になります。
CrowdStrike Falcon SIEM コネクタの設定
開始する前に
- CrowdStrike Falcon SIEM コネクタのドキュメントを確認します。UI へのアクセス権がない場合は、カスタマー サポート (info@crowdstrike.com) までお問い合わせください。
- 会話アイコンから [Docs (ドキュメント)] を選択します。
- [Feature Guides (機能ガイド)] から [Falcon Host SIEM Connector Feature Guide (Falcon Host SIEM コネクタ機能ガイド)] を選択します。
Falcon SIEM コネクタのダウンロード
Falcon UI から、使用するオペレーション システムに合わせて適切な Falcon SIEM をダウンロードします。
CrowdStrike Falcon API ID とキーの生成
- CrowdStrike Falcon ホスト ストリーミング API のユーザ名とパスワードが必要になります。すでにお持ちの場合は、セクション「CrowdStrike SIEM コネクタのインストールと設定」に進んでください。API 資格情報をお持ちでない場合は、手順 2 に進みます。
- CrowdStrike コンソールにログインし、[Support App (サポート アプリケーション)] から [API Key (API 鍵)] に移動します。
-
表示される API UUID がお客様の API ユーザ名です。
- [Reset API Key (API 鍵のリセット)] をクリックして、一意の API パスワードを作成します。
- 次のセクションで CrowdStrike を設定する際に必要になるため、API ID と API キーをメモします。
CrowdStrike SIEM コネクタのインストールと設定
次の手順を完了するには、CrowdStrike SIEM コネクタのドキュメントに記載された最小要件を満たしたマシンが必要です。CentOS、RedHat、または Ubuntu オペレーティング システムを使用している場合は、Sumo Logic コレクタをインストールしたマシンを使用できます。
- CrowdStrike Falcon SIEM コネクタをドキュメントの指示にしたがってインストールします。
- コネクタをインストールしたら、使用する設定ファイルを選択する必要があります。Syslog 出力ファイルを /opt/crowdstrike/etc/cs.falconhoseclient.cf で選択してください。
- 選択できるパラメータはいくつかありますが、次の要件を満たしてください。
- output_format = syslog
- _to_syslog_server = true
- host = Sumo Logic コレクタをインストールしたマシンの IP アドレス
- port = syslog ソースを設定した際に書き留めた値
- protocol = syslog ソースを設定した際に書き留めたプロトコル (TCP または UDP)
CrowdStrike SIEM コネクタの開始と検証
- 使用しているオペレーティング システムに応じて、CrowdStrike SIEM コネクタ ガイドで SIEM コネクタの開始手順を確認します。
- Sumo Logic インスタンスにイベントが書き込まれていることを検証します。
フィールド抽出ルール
次は CrowdStrike Falcon プラットフォームのフィールド抽出ルールの例です。
| parse "CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|*|*|" as detect_type,sev | extract "suser=(?<user>.*?)(?:\s|$)" nodrop | extract "shost=(?<host>.*?)(?:\s|$)" nodrop | extract "fname=(?<file>.*?)(?:\s|$)" nodrop | extract "filePath=(?<path>.*?)(?: \w+=|$)" nodrop | extract "cs1=(?<commandline>.*?)(?: \w+=|$)" nodrop | extract "cs2=(?<doc_filename>.*?)(?: \w+=|$)" nodrop | extract "cs3=(?<doc_filepath>.*?)(?: \w+=|$)" nodrop | extract "cs6=(?<FalconHostLink>.*?)(?:\s|$)" nodrop | extract "cn3=(?<offset>.*?)(?:\s|$)" nodrop | extract "spid=(?<spid>.*?)(?:\s|$)" nodrop | extract "sntdom=(?<host_domain>.*?)(?:\s|$)" nodrop | extract "deviceCustomDate1=(?<doc_written_time>.*?)(?: \w+=|$)" nodrop | extract "externalID=(?<sensorid>.*?)(?:\s|$)" nodrop
ログ メッセージのサンプル
<1> 2017-02-02T12:42:27-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|Network Access In A Detection Summary Event|3|cn3Label=Offset suser=sta6ds dst=110.45.195.195 fname=KMPlayer.exe cn3=254180 sntdom=EEINTERhrew spt=61769 cs6=https://falcon.crowdstrike.com/detec...65696612526574 filePath=\Device\HarddiskVolume1\users\zta6ds\Documents\Install\ (--) dpt=80 cs1="C:\users\zta6ds\Documents\Install\ (--)\KMPlayer.exe" shost=EEUAN40012 cs6Label=FalconHostLink cs1Label=CommandLine spid=910686634860 src=172.17.37.100 externalID=fa04be66bae449e644e0493ed860587c deviceCustomDate1=2016-06-13 12:42:27 deviceCustomDate1Label=AccessTimestamp
<1> 2017-02-02T12:27:37-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|cs3Label=EntitlementGroup deviceCustomDate1Label=Timestamp cs2Label=Entitlement suser=Customer deviceCustomDate1=2017-02-02 12:27:37 cn3=253265 outcome=true cn3Label=Offset cs4Label=TargetName cs1Label=ServiceName cat=validateEntitlementsHmac sourceTranslatedAddress=10.20.8.201 cs1=CrowdStrike Authentication
<1> 2017-02-02T12:42:28-07:00 myhost336 CrowdStrike Falcon[5509]: CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|DNS Request In A Detection Summary Event|3|shost=J7RFZV1D cs6=https://falcon.crowdstrike.com/detec...86113599520768 fname=msiexec.exe cs6Label=FalconHostLink deviceCustomDate1=2017-02-02 12:42:28 spid=1509450465343 dhost=oceania.pool.ntp.org cn3Label=Offset cn3=254181 cs1="C:\Windows\system32\msiexec.exe" suser=c0000601 sntdom=Kodelo cs1Label=CommandLine filePath=\Device\HarddiskVolume2\Windows\System32 externalID=9a31ca7f389f43ce76de8d03a6695c8f deviceCustomDate1Label=DnsRequestTime
クエリのサンプル
一定期間にわたる DNS リクエストの重大度
_sourceCategory=CrowdStrike DetectionSummaryEvent DNS Request Detection Summary | parse "CEF:0|CrowdStrike|FalconHost|1.0|DetectionSummaryEvent|*|*|" as detect_type,sev | extract "suser=(?<user>.*?)(?:\s|$)" nodrop | extract "shost=(?<host>.*?)(?:\s|$)" nodrop | extract "fname=(?<file>.*?)(?:\s|$)" nodrop | extract "filePath=(?<path>.*?)(?: \w+=|$)" nodrop | extract "cs1=(?<commandline>.*?)(?: \w+=|$)" nodrop | extract "cs6=(?<FalconHostLink>.*?)(?:\s|$)" nodrop | extract "cn3=(?<offset>.*?)(?:\s|$)" nodrop | extract "spid=(?<spid>.*?)(?:\s|$)" nodrop | extract "sntdom=(?<host_domain>.*?)(?:\s|$)" nodrop | extract "externalID=(?<sensorid>.*?)(?:\s|$)" nodrop | timeslice 5m | count _timeslice, sev | transpose row _timeslice column sev