Crowdstrike – Como se integrar ao seu SIEM

Crowdstrike – Como se integrar ao seu SIEM

CrowdStrike Tech Center

Introdução

Conector Falcon SIEM fornece aos usuários um fluxo de dados de consumo SIEM pronto para uso. O Conector Falcon SIEM:

  • Transforma os dados da API Crowdstrike em um formato que um SIEM pode consumir
  • Mantém a conexão com a API CrowdStrike Event Streaming e seu SIEM
  • Gerencia o ponteiro do fluxo de dados para evitar a perda de dados

Visão geral do conector SIEM

Pré-requisitos

Antes de usar o Conector Falcon SIEM, você deve primeiro definir o cliente API e definir seu escopo. Consulte este guia para obter acesso à API CrowdStrike para configurar uma nova chave de cliente API. Para o novo cliente API, certifique-se de que o escopo inclui acesso de leitura para fluxos de eventos.

Escopo de fluxos de eventos do conector SIEM

O CrowdStrike Falcon SIEM Connector (SIEM Connector) é executado como um serviço em um servidor Linux local.

Os requisitos de recursos (CPU / Memória / Disco rígido) são mínimos e o sistema pode ser uma VM.

  • SO compatível (apenas 64 bits):
    • CentOS / RHEL 6.x-7.x
    • Ubuntu 14.x
    • Ubuntu 16.04
    • Ubuntu 18.04
  • Conectividade: conectividade com a Internet e capacidade de conectar a CrowdStrike Cloud (HTTPS / TCP 443)
  • Autorização: acesso ao escopo do Streaming de eventos da API Crowdstrike
  • Hora: A data e hora no host que executa o Conector Falcon SIEM deve ser atual (NTP é recomendado)

Instalação e configuração

Para começar, você precisa baixar os pacotes de instalação rpm para o SIEM Connector da CrowdStrike Falcon UI .

Para obter um guia mais abrangente, visite o Guia de recursos do SIEM Connector .

Download do conector SIEM de ferramentas

Baixe o pacote do seu sistema operacional para o servidor Linux que deseja usar.

Abra um terminal e execute o comando de instalação em que <pacote do instalador> é o instalador que você baixou:

  • CentOS:
    sudo rpm -Uvh <installer package>
  • Ubuntu:
    sudo dpkg -i <installer package>

A última etapa antes de iniciar o SIEM Connector é escolher uma configuração. Existem algumas decisões a serem tomadas. O conector SIEM pode:

  • Saída para um arquivo local (seu SIEM ou outras ferramentas teriam que ler ativamente desse arquivo)
  • Saída para um servidor syslog (a maioria dos SIEMs modernos tem um receptor syslog integrado)
  • Saída para um formato como CEF ou LEEF para seu SIEM

Aqui está um diagrama de fluxo de como escolher o arquivo de configuração correto:

Arquivo de configuração do conector SIEM

Depois de salvar o arquivo de configuração, você pode iniciar o serviço do conector SIEM com um dos seguintes comandos:

  • CentOS:
    sudo service cs.falconhoseclientd start
  • Ubuntu 14.x:
    sudo start cs.falconhoseclientd
  • Ubuntu 16.04 e posterior:
    sudo systemctl start cs.falconhoseclientd.service

Para verificar se sua configuração estava correta e se a conectividade foi estabelecida, você pode verificar o arquivo de log com o seguinte comando:

tail -f /var/log/crowdstrike/falconhoseclient/cs.falconhoseclient.log

Você deve ver um Heartbeat. Se você vir uma mensagem de erro mencionando o token de acesso, verifique novamente o seu ID de cliente e segredo da Crowdstrike API.

Cauda para batimentos cardíacos

Conclusão

O processo acima mostra como começar com o Conector CrowdStrike Falcon SIEM. Existem muitas outras opções para este conector (usando um proxy para acessar a API de streaming, formatos de log personalizados e configurações de syslog, etc.) que podem ser encontradas no ” Guia de recursos do conector SIEM ” como parte do pacote de documentação na interface do usuário Falcon .