Configuración del origen para CrowdStrike - Amazon CloudWatch
Integración con CrowdStrike FalconInstrucciones para configurar Amazon S3 y Amazon SQSConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para CrowdStrike

Integración con CrowdStrike Falcon

Falcon Data Replicator (FDR) de CrowdStrike proporciona y enriquece los datos de puntos de conexión, cargas de trabajo en la nube e identidad con Security Cloud de CrowdStrike y una inteligencia artificial (IA) de primer nivel, lo que permite a su equipo obtener información útil para mejorar el rendimiento de los centros de operaciones de seguridad (SOC). Registros de Amazon CloudWatch le permiten recopilar estos datos en Registros de CloudWatch.

Instrucciones para configurar Amazon S3 y Amazon SQS

La configuración de FDR de CrowdStrike para enviar registros a un bucket de Amazon S3 implica varios pasos, que se centran principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS y los roles de IAM y, a continuación, configurar la canalización de telemetría de Amazon.

  • Asegúrese de que FDR de CrowdStrike esté activado en el entorno de Falcon de CrowdStrike. Por lo general, esto requiere una licencia específica y puede implicar trabajar con el soporte de CrowdStrike.

  • El bucket de Amazon S3 que almacena los registros de CrowdStrike debe residir en la misma región de AWS en la que está activado FDR.

  • Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones deben enviarse a una cola de Amazon SQS.

  • Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer datos de FDR de CrowdStrike, elija CrowdStrike como origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y las acciones de FDR de CrowdStrike que se asignan al resultado de detecciones (2004) y la actividad de procesos (1007).

Resultados de detecciones

El resultado de detecciones contiene las siguientes acciones:

  • CloudAssociateTreeIdWithRoot

  • CustomIOADomainNameDetectionInfoEvent

  • TemplateDetectAnalysis

Actividad de procesos

La actividad de procesos contiene las siguientes acciones:

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • CustomIOABasicProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInfo

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2Stats

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • SyntheticPR2Stats

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisElevation

  • UACCOMElevation

  • UACExeElevation

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

Mostrar másMostrar menos