CrowdStrike의 소스 구성

CrowdStrike Falcon과 통합

CrowdStrike Falcon Data Replicator(FDR)는 CrowdStrike Security Cloud 및 세계적인 수준의 인공 지능(AI)을 통해 엔드포인트, 클라우드 워크로드, 자격 증명 데이터를 제공하고 보강하므로, 작업 팀은 실행 가능한 인사이트를 도출하여 보안 운영 센터(SOC) 성능을 개선할 수 있습니다. Amazon CloudWatch Logs를 사용하면 CloudWatch Logs에서 이러한 데이터를 수집할 수 있습니다.

Amazon S3 및 Amazon SQS를 설정하기 위한 지침

Amazon S3 버킷으로 로그를 전송하도록 CrowdStrike FDR을 구성하려면 Amazon S3 버킷, Amazon SQS 대기열, IAM 역할을 설정한 다음 Amazon Telemetry Pipeline을 구성하는 데 주로 중점을 둔 몇 가지 단계가 필요합니다.

• CrowdStrike Falcon 환경 내에서 CrowdStrike FDR이 활성화되어 있는지 확인합니다. 여기에는 일반적으로 특정 라이선스가 필요하며 CrowdStrike 지원 작업이 수반될 수도 있습니다.

• CrowdStrike 로그를 저장하는 Amazon S3 버킷은 FDR이 활성화된 리전과 동일한 AWS 리전에 있어야 합니다.

• 특히 '객체 생성' 이벤트에 대한 이벤트 알림을 생성하도록 Amazon S3 버킷을 구성합니다. 이러한 알림은 Amazon SQS 대기열로 전송해야 합니다.

• Amazon S3 버킷과 동일한 AWS 리전에서 Amazon SQS 대기열을 생성합니다. 새 로그 파일이 Amazon S3 버킷에 추가되면 이 대기열에 알림이 수신됩니다.

CloudWatch 파이프라인 구성

CrowdStrike FDR에서 데이터를 읽도록 파이프라인을 구성할 경우 CrowdStrike를 데이터 소스로 선택합니다. 필수 정보를 입력한 후 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고, 탐지 결과(2004) 및 프로세스 활동(1007)에 매핑되는 CrowdStrike FDR 작업을 지원합니다.

탐지 결과

탐지 결과에는 다음과 같은 작업이 포함됩니다.

• CloudAssociateTreeIdWithRoot

• CustomIOADomainNameDetectionInfoEvent

• TemplateDetectAnalysis

프로세스 활동

프로세스 활동에는 다음과 같은 작업이 포함됩니다.

• ActiveDirectoryIncomingPsExecExecution2

• AndroidIntentSentIPC

• AssociateTreeIdWithRoot

• AutoRunProcessInfo

• BamRegAppRunTime

• BlockThreadFailed

• BrowserInjectedThread

• CidMigrationConfirmation

• CodeSigningAltered

• CommandHistory

• CreateProcessArgs

• CreateThreadNoStartImage

• CriticalEnvironmentVariableChanged

• CsUmProcessCrashAuxiliaryEvent

• CsUmProcessCrashSummaryEvent

• CustomIOABasicProcessDetectionInfoEvent

• DebuggableFlagTurnedOn

• DebuggedState

• DllInjection

• DocumentProgramInjectedThread

• EarlyExploitPivotDetect

• EndOfProcess

• EnvironmentVariablesChanged

• FalconProcessHandleOpDetectInfo

• FlashThreadCreateProcess

• IdpWatchdogRemediationActionTaken

• InjectedThread

• InjectedThreadFromUnsignedModule

• IPCDetectInfo

• JavaInjectedThread

• KillProcessError

• LsassHandleFromUnsignedModule

• MacKnowledgeActivityEnd

• MacKnowledgeActivityStart

• NamespaceChanged

• PcaAppLaunchEntry

• PcaGeneralDbEntry

• PrivilegedProcessHandle

• PrivilegedProcessHandleFromUnsignedModule

• ProcessActivitySummary

• ProcessBlocked

• ProcessControl

• ProcessDataUsage

• ProcessExecOnPackedExecutable

• ProcessHandleOpDetectInfo

• ProcessHandleOpDowngraded

• ProcessInjection

• ProcessPatternTelemetry

• ProcessRollup

• ProcessRollup2

• ProcessRollup2Stats

• ProcessSelfDeleted

• ProcessSessionCreated

• ProcessSubstituteUser

• ProcessTokenStolen

• ProcessTrace

• ProcessTreeCompositionPatternTelemetry

• PtTelemetry

• PtyCreated

• QueueApcEtw

• ReflectiveDllOpenProcess

• RegisterRawInputDevicesEtw

• RemediationActionKillProcess

• RemediationMonitorKillProcess

• RuntimeEnvironmentVariable

• ScriptControlDotNetMetadata

• ScriptControlErrorEvent

• ServiceStarted

• SessionPatternTelemetry

• SetThreadCtxEtw

• SetWindowsHook

• SetWindowsHookExEtw

• SetWinEventHookEtw

• ShellCommandLineInfo

• SruApplicationTimelineProvider

• SudoCommandAttempt

• SuspectCreateThreadStack

• SuspendProcessError

• SuspiciousPrivilegedProcessHandle

• SuspiciousUserFontLoad

• SuspiciousUserRemoteAPCAttempt

• SyntheticPR2Stats

• SyntheticProcessRollup2

• SyntheticProcessTrace

• SystemTokenStolen

• TerminateProcess

• ThreadBlocked

• UACAxisElevation

• UACCOMElevation

• UACExeElevation

• UACMSIElevation

• UmppcBypassSuspected

• UnexpectedEnvironmentVariable

• UserAssistAppLaunchInfo

• UserSetProcessBreakOnTermination

• WmiCreateProcess

• WmiFilterConsumerBindingEtw

더보기간략히 보기