Konfigurasi sumber untuk CrowdStrike - Amazon CloudWatch
Integrasi dengan Falcon CrowdStrikePetunjuk untuk mengatur Amazon S3 dan Amazon SQSMengkonfigurasi Pipeline CloudWatchKelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk CrowdStrike

Integrasi dengan Falcon CrowdStrike

CrowdStrike Falcon Data Replicator (FDR) memberikan dan memperkaya data endpoint, beban kerja cloud, dan identitas dengan CrowdStrike Security Cloud dan kecerdasan buatan (AI) kelas dunia, memungkinkan tim Anda memperoleh wawasan yang dapat ditindaklanjuti untuk meningkatkan kinerja pusat operasi keamanan (SOC). Amazon CloudWatch Logs memungkinkan Anda mengumpulkan data ini di CloudWatch Log.

Petunjuk untuk mengatur Amazon S3 dan Amazon SQS

Mengonfigurasi CrowdStrike FDR untuk mengirim log ke bucket Amazon S3 melibatkan beberapa langkah, terutama berfokus pada pengaturan bucket Amazon S3, antrian Amazon SQS, peran IAM, dan kemudian mengonfigurasi Pipeline Telemetri Amazon.

  • Pastikan CrowdStrike FDR diaktifkan dalam lingkungan CrowdStrike Falcon Anda. Ini biasanya memerlukan lisensi khusus dan mungkin melibatkan bekerja dengan CrowdStrike dukungan.

  • Bucket Amazon S3 yang menyimpan CrowdStrike log harus berada di AWS wilayah yang sama tempat FDR diaktifkan.

  • Konfigurasikan bucket Amazon S3 untuk membuat notifikasi acara, khusus untuk acara “Buat Objek”. Pemberitahuan ini harus dikirim ke antrian Amazon SQS.

  • Buat antrean Amazon SQS di AWS wilayah yang sama dengan bucket Amazon S3 Anda. Antrian ini akan menerima pemberitahuan saat file log baru ditambahkan ke bucket Amazon S3.

Mengkonfigurasi Pipeline CloudWatch

Saat mengonfigurasi pipeline untuk membaca data dari CrowdStrike FDR, pilih CrowdStrike sebagai sumber data. Setelah mengisi informasi yang diperlukan dan Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan tindakan CrowdStrike FDR yang memetakan Temuan Deteksi (2004) dan Aktivitas Proses (1007).

Temuan Deteksi

Temuan Deteksi berisi tindakan berikut:

  • CloudAssociateTreeIdWithRoot

  • Kustom IOADomain NameDetectionInfoEvent

  • TemplateDetectAnalysis

Aktivitas Proses

Aktivitas Proses berisi tindakan berikut:

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • Kustom IOABasic ProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInfo

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2Statistik

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • PR2Statistik Sintetis

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisKetinggian

  • UACCOMElevation

  • UACExeKetinggian

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

Tampilkan lebih banyakTampilkan lebih sedikit