CrowdStrike のソース設定
CrowdStrike Falcon との統合
CrowdStrike Falcon Data Replicator (FDR) は、CrowdStrike Security Cloud と世界クラスの人工知能 (AI) を使用してエンドポイント、クラウドワークロード、アイデンティティデータを配信および充実化し、チームが実用的なインサイトを取得してセキュリティオペレーションセンター (SOC) のパフォーマンスを向上させることを可能にします。Amazon CloudWatch Logs を使用すると、CloudWatch Logs でこのデータを収集できます。
Amazon S3 と Amazon SQS を設定する手順
Amazon S3 バケットにログを送信するように CrowdStrike FDR を設定するには、いくつかのステップが必要です。主要なものは、Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の Amazon Telemetry Pipeline の設定です。
-
CrowdStrike Falcon 環境内で CrowdStrike FDR が有効になっていることを確認します。これには通常、特定のライセンスが必要であり、CrowdStrike サポートの利用が必要な場合があります。
-
CrowdStrike ログを保存する Amazon S3 バケットは、FDR が有効になっているのと同じ AWS リージョンに存在する必要があります。
-
イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。
-
Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。
CloudWatch パイプラインの設定
CrowdStrike FDR からデータを読み取るようにパイプラインを設定するときは、データソースとして CrowdStrike を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合は、OCSF スキーマのバージョン v1.5.0 と、検出結果 (2004) とプロセスアクティビティ (1007) にマッピングする CrowdStrike FDR アクションをサポートします。
検出結果
検出結果には、次のアクションが含まれます。
-
CloudAssociateTreeIdWithRoot
-
CustomIOADomainNameDetectionInfoEvent
-
TemplateDetectAnalysis
プロセスアクティビティ
プロセスアクティビティには、次のアクションが含まれます。
-
ActiveDirectoryIncomingPsExecExecution2
-
AndroidIntentSentIPC
-
AssociateTreeIdWithRoot
-
AutoRunProcessInfo
-
BamRegAppRunTime
-
BlockThreadFailed
-
BrowserInjectedThread
-
CidMigrationConfirmation
-
CodeSigningAltered
-
CommandHistory
-
CreateProcessArgs
-
CreateThreadNoStartImage
-
CriticalEnvironmentVariableChanged
-
CsUmProcessCrashAuxiliaryEvent
-
CsUmProcessCrashSummaryEvent
-
CustomIOABasicProcessDetectionInfoEvent
-
DebuggableFlagTurnedOn
-
DebuggedState
-
DllInjection
-
DocumentProgramInjectedThread
-
EarlyExploitPivotDetect
-
EndOfProcess
-
EnvironmentVariablesChanged
-
FalconProcessHandleOpDetectInfo
-
FlashThreadCreateProcess
-
IdpWatchdogRemediationActionTaken
-
InjectedThread
-
InjectedThreadFromUnsignedModule
-
IPCDetectInfo
-
JavaInjectedThread
-
KillProcessError
-
LsassHandleFromUnsignedModule
-
MacKnowledgeActivityEnd
-
MacKnowledgeActivityStart
-
NamespaceChanged
-
PcaAppLaunchEntry
-
PcaGeneralDbEntry
-
PrivilegedProcessHandle
-
PrivilegedProcessHandleFromUnsignedModule
-
ProcessActivitySummary
-
ProcessBlocked
-
ProcessControl
-
ProcessDataUsage
-
ProcessExecOnPackedExecutable
-
ProcessHandleOpDetectInfo
-
ProcessHandleOpDowngraded
-
ProcessInjection
-
ProcessPatternTelemetry
-
ProcessRollup
-
ProcessRollup2
-
ProcessRollup2Stats
-
ProcessSelfDeleted
-
ProcessSessionCreated
-
ProcessSubstituteUser
-
ProcessTokenStolen
-
ProcessTrace
-
ProcessTreeCompositionPatternTelemetry
-
PtTelemetry
-
PtyCreated
-
QueueApcEtw
-
ReflectiveDllOpenProcess
-
RegisterRawInputDevicesEtw
-
RemediationActionKillProcess
-
RemediationMonitorKillProcess
-
RuntimeEnvironmentVariable
-
ScriptControlDotNetMetadata
-
ScriptControlErrorEvent
-
ServiceStarted
-
SessionPatternTelemetry
-
SetThreadCtxEtw
-
SetWindowsHook
-
SetWindowsHookExEtw
-
SetWinEventHookEtw
-
ShellCommandLineInfo
-
SruApplicationTimelineProvider
-
SudoCommandAttempt
-
SuspectCreateThreadStack
-
SuspendProcessError
-
SuspiciousPrivilegedProcessHandle
-
SuspiciousUserFontLoad
-
SuspiciousUserRemoteAPCAttempt
-
SyntheticPR2Stats
-
SyntheticProcessRollup2
-
SyntheticProcessTrace
-
SystemTokenStolen
-
TerminateProcess
-
ThreadBlocked
-
UACAxisElevation
-
UACCOMElevation
-
UACExeElevation
-
UACMSIElevation
-
UmppcBypassSuspected
-
UnexpectedEnvironmentVariable
-
UserAssistAppLaunchInfo
-
UserSetProcessBreakOnTermination
-
WmiCreateProcess
-
WmiFilterConsumerBindingEtw
