configuração de fonte para o CrowdStrike - Amazon CloudWatch
Integrar com o CrowdStrike FalconInstruções para configurar o Amazon S3 e o Amazon SQSConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

configuração de fonte para o CrowdStrike

Integrar com o CrowdStrike Falcon

O CrowdStrike Falcon Data Replicator (FDR) fornece e enriquece dados de endpoint, de workload da nuvem e de identidade com a CrowdStrike Security Cloud e inteligência artificial (IA) de classe internacional, permitindo que sua equipe derive insights acionáveis para melhorar a performance do centro de operações de segurança (SOC). O Amazon CloudWatch Logs permite coletar esses dados no CloudWatch Logs.

Instruções para configurar o Amazon S3 e o Amazon SQS

A configuração do CrowdStrike FDR para enviar logs para um bucket do Amazon S3 envolve várias etapas, concentradas principalmente na configuração do bucket do Amazon S3, da fila do Amazon SQS, dos perfis do IAM e depois na configuração do Amazon Telemetry Pipeline.

  • Certifique-se de que o CrowdStrike FDR esteja habilitado no ambiente do CrowdStrike Falcon. Isso normalmente requer uma licença específica e pode ser necessário trabalhar com o suporte do CrowdStrike.

  • O bucket do Amazon S3 que armazena os logs do CrowdStrike deve residir na mesma região da AWS em que o FDR está habilitado.

  • Configure o bucket do Amazon S3 no qual criar notificações de eventos, especificamente para eventos de “Criação de objeto”. Essas notificações devem ser enviadas para uma fila do Amazon SQS.

  • Crie uma fila do Amazon SQS na mesma região da AWS do bucket do Amazon S3. Essa fila receberá notificações quando novos arquivos de log forem adicionados ao bucket do Amazon S3.

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler dados do CrowdStrike FDR, escolha o CrowdStrike como a fonte de dados. Depois de preenchidas as informações necessárias e criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e ações do CrowdStrike FDR que são mapeadas para Detection Findings (2004) e Process Activity (1007).

Detection Findings

Detection Findings inclui as seguintes ações:

  • CloudAssociateTreeIdWithRoot

  • CustomIOADomainNameDetectionInfoEvent

  • TemplateDetectAnalysis

Process Activity

Process Activity inclui as seguintes ações:

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • CustomIOABasicProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInfo

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2Stats

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • SyntheticPR2Stats

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisElevation

  • UACCOMElevation

  • UACExeElevation

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

Mostrar maisMostrar menos