Configuration de la source pour CrowdStrike - Amazon CloudWatch
Intégration à CrowdStrike FalçonInstructions pour configurer Amazon S3 et Amazon SQSConfiguration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour CrowdStrike

Intégration à CrowdStrike Falçon

CrowdStrike Falçon Data Replicator (FDR) fournit et enrichit les données relatives aux terminaux, à la charge de travail dans le cloud et à l'identité grâce au CrowdStrike Security Cloud et à une intelligence artificielle (IA) de pointe, permettant à votre équipe d'obtenir des informations exploitables pour améliorer les performances du centre des opérations de sécurité (SOC). Amazon CloudWatch Logs vous permet de collecter ces données dans CloudWatch Logs.

Instructions pour configurer Amazon S3 et Amazon SQS

La configuration de CrowdStrike FDR pour envoyer des journaux vers un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS, des rôles IAM, puis sur la configuration du pipeline de télémétrie Amazon.

  • Assurez-vous que CrowdStrike le FDR est activé dans votre environnement CrowdStrike Falçon. Cela nécessite généralement une licence spécifique et peut impliquer de travailler avec le CrowdStrike support.

  • Le compartiment Amazon S3 qui stocke les CrowdStrike journaux doit résider dans la même AWS région où le FDR est activé.

  • Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à une file d'attente Amazon SQS.

  • Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les données du CrowdStrike FDR, choisissez-le CrowdStrike comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les actions CrowdStrike FDR associées aux résultats de détection (2004) et à l'activité des processus (1007).

Résultats de détection

Les résultats de détection contiennent les actions suivantes :

  • CloudAssociateTreeIdWithRoot

  • Personnalisé IOADomain NameDetectionInfoEvent

  • TemplateDetectAnalysis

Activité du processus

L'activité du processus contient les actions suivantes :

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • Personnalisé IOABasic ProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInfos

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2 statistiques

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • PR2Statistiques synthétiques

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisÉlévation

  • UACCOMElevation

  • UACExeÉlévation

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

Afficher plusAfficher moins