Crowdstrike – Como se integrar ao seu SIEM

CrowdStrike Tech Center

Introdução

O Conector Falcon SIEM fornece aos usuários um fluxo de dados de consumo SIEM pronto para uso. O Conector Falcon SIEM:

Transforma os dados da API Crowdstrike em um formato que um SIEM pode consumir
Mantém a conexão com a API CrowdStrike Event Streaming e seu SIEM
Gerencia o ponteiro do fluxo de dados para evitar a perda de dados

Visão geral do conector SIEM

Pré-requisitos

Antes de usar o Conector Falcon SIEM, você deve primeiro definir o cliente API e definir seu escopo. Consulte este guia para obter acesso à API CrowdStrike para configurar uma nova chave de cliente API. Para o novo cliente API, certifique-se de que o escopo inclui acesso de leitura para fluxos de eventos.

Escopo de fluxos de eventos do conector SIEM

O CrowdStrike Falcon SIEM Connector (SIEM Connector) é executado como um serviço em um servidor Linux local.

Os requisitos de recursos (CPU / Memória / Disco rígido) são mínimos e o sistema pode ser uma VM.

SO compatível (apenas 64 bits):
- CentOS / RHEL 6.x-7.x
- Ubuntu 14.x
- Ubuntu 16.04
- Ubuntu 18.04
Conectividade: conectividade com a Internet e capacidade de conectar a CrowdStrike Cloud (HTTPS / TCP 443)
Autorização: acesso ao escopo do Streaming de eventos da API Crowdstrike
Hora: A data e hora no host que executa o Conector Falcon SIEM deve ser atual (NTP é recomendado)

Instalação e configuração

Para começar, você precisa baixar os pacotes de instalação rpm para o SIEM Connector da CrowdStrike Falcon UI .

Para obter um guia mais abrangente, visite o Guia de recursos do SIEM Connector .

Download do conector SIEM de ferramentas

Baixe o pacote do seu sistema operacional para o servidor Linux que deseja usar.

Abra um terminal e execute o comando de instalação em que <pacote do instalador> é o instalador que você baixou:

CentOS:
sudo rpm -Uvh <installer package>
Ubuntu:
sudo dpkg -i <installer package>

A última etapa antes de iniciar o SIEM Connector é escolher uma configuração. Existem algumas decisões a serem tomadas. O conector SIEM pode:

Saída para um arquivo local (seu SIEM ou outras ferramentas teriam que ler ativamente desse arquivo)
Saída para um servidor syslog (a maioria dos SIEMs modernos tem um receptor syslog integrado)
Saída para um formato como CEF ou LEEF para seu SIEM

Aqui está um diagrama de fluxo de como escolher o arquivo de configuração correto:

Arquivo de configuração do conector SIEM

Depois de salvar o arquivo de configuração, você pode iniciar o serviço do conector SIEM com um dos seguintes comandos:

CentOS:
sudo service cs.falconhoseclientd start
Ubuntu 14.x:
sudo start cs.falconhoseclientd
Ubuntu 16.04 e posterior:
sudo systemctl start cs.falconhoseclientd.service

Para verificar se sua configuração estava correta e se a conectividade foi estabelecida, você pode verificar o arquivo de log com o seguinte comando:

tail -f /var/log/crowdstrike/falconhoseclient/cs.falconhoseclient.log

Você deve ver um Heartbeat. Se você vir uma mensagem de erro mencionando o token de acesso, verifique novamente o seu ID de cliente e segredo da Crowdstrike API.

Cauda para batimentos cardíacos

Conclusão

O processo acima mostra como começar com o Conector CrowdStrike Falcon SIEM. Existem muitas outras opções para este conector (usando um proxy para acessar a API de streaming, formatos de log personalizados e configurações de syslog, etc.) que podem ser encontradas no ” Guia de recursos do conector SIEM ” como parte do pacote de documentação na interface do usuário Falcon .