search
Knowledge BaseRelease NotesRequest Demo

CrowdStrike Falcon 데이터 복제기

CrowdStrike 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 다음과 통합하여 CrowdStrike 이벤트에서 로그를 직접 가져오는 것을 지원합니다. CrowdStrike Falcon Data Replicatorarrow-up-right (FDR). CrowdStrike 로그를 Panther에 수집하려면 활성화된 구독이 있어야 합니다 FDRarrow-up-right, 그리고 CrowdStrike에서 활성화되어 있어야 합니다.

Panther 버전 1.52부터 모든 새로운 CrowdStrike 로그 소스 구성은 Crowdstrike.FDREvent 스키마.

circle-info

CrowdStrike 디텍션 및 쿼리(버전 1.52 이전에 생성된)를 Crowdstrike.FDREvent 로그 유형과 호환되도록 조정하는 방법에 대한 정보는 Panther의 지식 기반을 참조하세요.arrow-up-right.

hashtag
CrowdStrike Falcon Data Replicator 로그 비디오 안내

hashtag
CrowdStrike Falcon Data Replicator 로그를 Panther에 온보딩하는 방법

hashtag
사전 요구 사항

  • 활성화된 구독이 있어야 합니다 FDRarrow-up-right, 그리고 CrowdStrike에서 활성화되어 있어야 합니다.

    • FDR의 최소 요구 버전은 없습니다.

hashtag
1단계: FDR API 키 생성

  1. CrowdStrike Falcon 콘솔에서 인스턴스의 FDR 개요로 이동합니다.

    • 이 URL은 다음이어야 합니다 falcon.<cloud-region>.crowdstrike.com/fdr

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 피드 생성. In the Falcon Data Replicator console, an arrow is drawn to a Create feed button.

  3. 시작하려면 다음 단계를 따르세요: 피드 이름 및 원하는 경우 추가 설정을 구성합니다. The title is "Create feed" and under "Enter feed name" there is a text field. In the bottom-right corner there is a Next button.

    • 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  4. 검토 페이지에서 클릭하세요 피드 생성.

  5. 자격 증명이 표시됩니다. 다음 단계에서 필요하니 이 값을 복사하여 안전한 위치에 보관하세요. The top of the page reads "Create feed: Copy feed credentials" and various credential values, including Storage location, have been redacted.

hashtag
2단계: Panther에서 새 CrowdStrike Falcon Data Replicator 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. "CrowdStrike Falcon Data Replicator"를 검색한 다음 해당 타일을 클릭하세요.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

  5. 구성 페이지에서 양식을 작성하세요:

    • 이름: 소스에 대한 설명 이름을 입력하세요. 예: CrowdStrike FDR.

    • SQS URL: 이전에 복사한 CrowdStrike에서 관리하는 SQS 큐의 URL을 입력하세요.

    • AWS 액세스 키: 이전 단계에서 복사한 AWS 액세스 키를 입력하세요.

    • AWS 비밀 키: 이전 단계에서 복사한 AWS 비밀 키를 입력하세요.

      The image shows the configuration fields for the CrowdStrike integration in the Panther Console. There are fields for Name, SQS URL, AWS Access Key, and AWS Secret Key.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정. 성공 화면으로 이동됩니다:\

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

    • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
Panther 관리 디텍션

참조 Panther 관리 CrowdStrike용 룰은 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Crowdstrike.FDREvent

Crowdstrike.FDREvent FDR에서 생성된 모든 이벤트 유형을 포함합니다. 모든 유형의 이벤트를 단일 로그 유형에 포함하면 다음과 같은 도움이 됩니다:

  • 지속적인 수집 유연성을 제공하고 유지 관리 노력을 줄입니다.

    • 예를 들어 CrowdStrike가 새로운 이벤트 유형을 추가하더라도 기존 디텍션 로직과 데이터 쿼리를 다시 작성할 필요가 없을 수 있습니다.

  • 일반적으로 참조되는 필드(예: Crowdstrike.FDREvent )로 모든 로그를 보강하여 CrowdStrike 로그 쿼리를 단순화합니다. event_simpleName.

  • 각 FDR 이벤트 유형에서 추출되어Crowdstrike.FDREvent.

hashtag
FDR 이벤트

에 저장된 인디케이터를 활용하여 조사 속도를 높입니다.

hashtag
이 값이 fdr_event_type 가 설정되는 방법

모든 FDR 이벤트가 동일한 필드를 포함하지는 않습니다. 이를 수용하기 위해 fdr_event_type 값은 다음 규칙(우선순위 순) 에 따라 동적으로 할당됩니다:

  1. 만약 event_simpleName 가 존재하면, fdr_event_type = event_simpleName

  2. 만약 event_type 가 존재하면, fdr_event_type = event.event_type

  3. 만약 ExternalApiType 가 존재하면, fdr_event_type = event.ExternalApiType

    • Crowdstrike.DetectionSummaryCrowdstrike.ActivityAudit 로그 유형이 이를 정의합니다 ExternalApiType 필드에 붙여넣으세요.

  4. FDR 이벤트가 보조 이벤트인 경우, fdr_event_type = 문서에 설명된 이벤트 유형과 같습니다 추가 환경 정보를 확인하기 위한 CrowdStrike 문서arrow-up-right.

    • 이 경우 결과 로그 유형은 여전히 Crowdstrike.FDREvent.

  5. 위의 조건이 어느 것도 충족되지 않으면, fdr_event_type = unknown

자세한 내용은 CrowdStrike의 FDR 설정 문서arrow-up-right.

hashtag
레거시 로그 유형

Panther 버전 1.52 이전에 설정된 기존 CrowdStrike 로그 소스 구성은 전환할 때까지 아래 레거시 로그 유형을 사용하여 계속 작동합니다. Crowdstrike.FDREvent전환에 대한 도움이 필요하면 Panther 지원팀에 문의하세요.

hashtag
Crowdstrike.AIDMaster

Falcon Insight에서 제공하는 센서 및 호스트 정보.

참고: Falcon Data Replicator에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ActivityAudit

활동 감사 정보를 포함합니다.

참고: Streaming API 이벤트 인증에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.AppInfo

Falcon Discover에서 제공한 탐지된 애플리케이션 정보.

참고: Falcon Data Replicator AppInfo에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.CriticalFile

중요 파일에 접근하거나 수정할 때마다 이 이벤트가 생성됩니다.

참고: CriticalFile에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.DNSRequest

이 이벤트는 호스트에서 시도된 모든 DNS 이름 해석에 대해 생성됩니다.

참고: DNSRequest에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.DetectionSummary

Detection Summary 이벤트는 여러 악성 동작이 탐지될 때 다중 탐지를 포함합니다.

참고: Streaming API Detection Summary에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.GroupIdentity

GID, AuthenticationId, UserPrincipal 및 UserSid 간의 센서 부팅 고유 매핑을 제공합니다. Mac 플랫폼에서만 사용 가능합니다.

참고: Group Identity 이벤트에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ManagedAssets

Falcon Insight에서 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소).

참고: Managed Assets에 관한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.NetworkConnect

이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다.

참고: NetworkConnect에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.NetworkListen

이 이벤트는 애플리케이션이 수신(listen) 모드로 소켓을 설정할 때 생성됩니다.

참고: NetworkListen에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.NotManagedAssets

Falcon Insight에서 제공하는 관리되지 않는 호스트 검색 정보.

참고: Falcon Data Replicator의 Notmanaged Assets에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ProcessRollup2

이 이벤트(종종 약어로 "PR2")는 호스트에서 실행 중이거나 실행을 마친 프로세스에 대해 생성되며 해당 프로세스에 대한 정보를 포함합니다.

참고: ProcessRollup2에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ProcessRollup2Stats

프로세스가 종료되면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트(대략 20배)를 전송하므로, 해당 호스트의 모든 프로세스에 대해 이벤트를 전송하는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 뒤 10분 후에 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다.

참고: ProcessRollup2Stats에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.SyntheticProcessRollup2

프로세스 롤업(PR2) 이벤트의 합성 버전.

참고: SyntheticProcessRollup2에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.Unknown

이 스키마는 등록된 어떤 유형과도 일치하지 않는 모든 Crowdstrike 이벤트를 포함합니다.

참고: API 이벤트 유형에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.UserIdentity

UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 사용자 이름과 같은 보안 관련 중요한 특성을 CrowdStrike 클라우드에 전달합니다. 일반적으로 보안 주체당 한 번 생성되며 그 자체만으로 의심스러운 활동의 신호는 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능.

참고: User Identity 이벤트에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.UserInfo

Falcon Discover에서 제공하는 사용자 계정 및 로그온 정보.

참고: Falcon Data Replicator의 UserInfo에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.UserLogonLogoff

UserLogon 및 UserLogoff 이벤트를 포함합니다.

참고: User Logon Logoff에 대한 CrowdStrike 문서.arrow-up-right

이전CrowdStrike 로그다음CrowdStrike 이벤트 스트림

마지막 업데이트

도움이 되었나요?