search
Knowledge BaseRelease NotesRequest Demo

CrowdStrike Falcon 데이터 복제기

CrowdStrike 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 다음과 통합하여 CrowdStrike 이벤트에서 직접 로그를 가져오는 것을 지원합니다 CrowdStrike Falcon Data Replicatorarrow-up-right (FDR). CrowdStrike 로그를 panther에 수집하려면 활성화된 구독이 있어야 합니다 FDRarrow-up-right및 CrowdStrike에서 활성화되어 있어야 합니다.

Panther 버전 1.52부터 모든 새로운 CrowdStrike 로그 소스 구성은 Crowdstrike.FDREvent 스키마.

circle-info

사전 버전(1.52 이전)에 생성된 CrowdStrike 탐지 및 쿼리를 Crowdstrike.FDREvent 로그 유형에 맞게 조정하는 방법에 대한 정보는 Panther의 지식 기반을 참조하세요arrow-up-right.

hashtag
CrowdStrike Falcon Data Replicator 로그 비디오 안내

hashtag
CrowdStrike Falcon Data Replicator 로그를 Panther에 온보딩하는 방법

hashtag
전제 조건

  • 활성화된 구독이 있어야 합니다 FDRarrow-up-right및 CrowdStrike에서 활성화되어 있어야 합니다.

    • FDR에 필요한 최소 버전은 없습니다.

hashtag
1단계: FDR API 키 생성

  1. CrowdStrike Falcon 콘솔에서 인스턴스의 FDR 개요로 이동하십시오.

    • 이 URL은 다음과 같아야 합니다 falcon.<cloud-region>.crowdstrike.com/fdr

  2. 클릭 피드 생성. In the Falcon Data Replicator console, an arrow is drawn to a Create feed button.

  3. 입력하세요 피드 이름 및 원하는 추가 설정을 구성합니다. The title is "Create feed" and under "Enter feed name" there is a text field. In the bottom-right corner there is a Next button.

    • 클릭 다음(Next).

  4. 검토 페이지에서 클릭하세요 피드 생성.

  5. 자격 증명이 표시됩니다. 다음 단계에서 필요하므로 이 값들을 복사하여 안전한 위치에 저장하세요. The top of the page reads "Create feed: Copy feed credentials" and various credential values, including Storage location, have been redacted.

hashtag
2단계: Panther에서 새 CrowdStrike Falcon Data Replicator 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. "CrowdStrike Falcon Data Replicator"를 검색한 후 해당 타일을 클릭하세요.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

  5. 구성 페이지에서 양식을 작성하세요:

    • 이름: 소스에 대한 설명 이름을 입력하세요(예:) CrowdStrike FDR.

    • SQS URL: 이전에 복사한 CrowdStrike가 관리하는 SQS 큐의 URL을 입력하세요.

    • AWS 액세스 키: 이전 단계에서 복사한 AWS 액세스 키를 입력하세요.

    • AWS 비밀 키: 이전 단계에서 복사한 AWS 비밀 키를 입력하세요.

      The image shows the configuration fields for the CrowdStrike integration in the Panther Console. There are fields for Name, SQS URL, AWS Access Key, and AWS Secret Key.

  6. 클릭 설정. 성공 화면으로 이동합니다:\

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 선택적으로 하나 이상의 탐지 팩(Detection Packs)arrow-up-right.

    • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 . 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
Panther 관리 탐지

참조 Panther 관리 CrowdStrike에 대한 규칙은 panther-analysis GitHub 리포지토리에 있습니다arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Crowdstrike.FDREvent

Crowdstrike.FDREvent 는 FDR에서 생성된 모든 이벤트 유형을 포함합니다. 모든 유형의 이벤트를 단일 로그 유형에 포함하면 다음과 같은 도움이 됩니다:

  • 지속적인 수집 유연성을 제공하고 유지 관리 노력을 줄입니다.

    • 예를 들어, CrowdStrike가 새 이벤트 유형을 추가하더라도 기존 탐지 로직과 데이터 쿼리를 다시 작성할 필요가 없을 수 있습니다.

  • 공통적으로 참조되는 필드(예: Crowdstrike.FDREvent )로 모든 로그를 보강하여 CrowdStrike 로그 쿼리를 단순화합니다. event_simpleName.

  • 각 FDR 이벤트 유형에서 추출되어 저장된 지표를 활용하여 조사를 가속화합니다Crowdstrike.FDREvent.

hashtag
FDR 이벤트

FDR 데이터 스트림은 다음 두 가지 유형의 이벤트를 전송합니다:

hashtag
방법 fdr_event_type 이 설정되는 방법

모든 FDR 이벤트가 동일한 필드를 포함하는 것은 아닙니다. 이를 수용하기 위해 fdr_event_type 의 값은 다음 규칙(우선순위 순) 따라 동적으로 할당됩니다:

  1. 만약 event_simpleName 가 존재하면, fdr_event_type = event_simpleName

  2. 만약 event_type 가 존재하면, fdr_event_type = event.event_type

  3. 만약 ExternalApiType 가 존재하면, fdr_event_type = event.ExternalApiType

    • Crowdstrike.DetectionSummaryCrowdstrike.ActivityAudit 로그 유형이 이를 정의합니다 ExternalApiType 필드에 붙여넣으세요.

  4. FDR 이벤트가 보조 이벤트인 경우, fdr_event_type = 문서에 설명된 이벤트 유형 추가 환경 정보를 보기 위한 CrowdStrike의 문서arrow-up-right.

    • 이 경우에도 결과 로그 유형은 여전히 Crowdstrike.FDREvent.

  5. 위의 조건들이 모두 충족되지 않으면, fdr_event_type = unknown

자세한 내용은 CrowdStrike의 FDR 설정 문서arrow-up-right.

hashtag
레거시 로그 유형

Panther 버전 1.52 이전에 설정된 기존 CrowdStrike 로그 소스 구성은 아래의 레거시 로그 유형을 계속 사용하여 작동하며, 이를 Crowdstrike.FDREvent로 전환할 때까지 계속 작동합니다. 전환에 도움이 필요하면 Panther 지원팀에 문의하세요.

hashtag
Crowdstrike.AIDMaster

Falcon Insight가 제공하는 센서 및 호스트 정보.

참조: Falcon Data Replicator에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ActivityAudit

활동 감사 정보를 포함합니다.

참조: 스트리밍 API 이벤트 인증에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.AppInfo

Falcon Discover가 제공하는 탐지된 애플리케이션 정보.

참조: Falcon Data Replicator AppInfo에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.CriticalFile

중요 파일에 접근하거나 수정할 때마다 이 이벤트가 생성됩니다.

참조: CriticalFile에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.DNSRequest

호스트에서 발생한 모든 DNS 이름 해석 시도가 있을 때 이 이벤트가 생성됩니다.

참조: DNSRequest에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.DetectionSummary

Detection Summary 이벤트는 여러 악성 행위가 탐지될 때 여러 탐지를 포함합니다.

참조: 스트리밍 API Detection Summary에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.GroupIdentity

GID, AuthenticationId, UserPrincipal 및 UserSid 간의 센서 부팅 시 고유 매핑을 제공합니다. Mac 플랫폼에서만 제공됩니다.

참조: Group Identity 이벤트에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ManagedAssets

Falcon Insight가 제공하는 센서 및 호스트 정보(네트워크 정보: IP 주소, LAN/이더넷 인터페이스, 게이트웨이 주소, MAC 주소).

참조: Managed Assets에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.NetworkConnect

이 이벤트는 애플리케이션이 인터페이스에서 원격 연결을 시도할 때 생성됩니다.

참조: CrowdStrike의 NetworkConnect에 대한 문서.arrow-up-right

hashtag
Crowdstrike.NetworkListen

이 이벤트는 애플리케이션이 수신(listen) 모드로 소켓을 설정할 때 생성됩니다.

참조: CrowdStrike의 NetworkListen에 대한 문서.arrow-up-right

hashtag
Crowdstrike.NotManagedAssets

Falcon Insight에서 제공하는 관리되지 않는 호스트 검색 정보.

참조: Falcon Data Replicator의 Notmanaged Assets에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.ProcessRollup2

이 이벤트(종종 약칭으로 "PR2")는 호스트에서 실행 중이거나 실행을 완료한 프로세스에 대해 생성되며 해당 프로세스에 대한 정보를 포함합니다.

참조: CrowdStrike의 ProcessRollup2에 대한 문서.arrow-up-right

hashtag
Crowdstrike.ProcessRollup2Stats

프로세스가 실행을 마치면 센서는 ProcessRollup2 이벤트를 생성하고 전송합니다. Mac 및 Linux 센서는 Windows보다 훨씬 더 많은 ProcessRollup2 이벤트를 전송(대략 20배)하므로, 해당 호스트의 모든 프로세스에 대해 이벤트를 전송하는 대신 센서는 초기 ProcessRollup2 이벤트를 전송한 후 10분 뒤에 SHA256 해시와 지난 10분 동안 해당 해시가 실행된 횟수를 포함한 ProcessRollup2Stats 이벤트를 전송합니다.

참조: CrowdStrike의 ProcessRollup2Stats에 대한 문서.arrow-up-right

hashtag
Crowdstrike.SyntheticProcessRollup2

프로세스 롤업(PR2) 이벤트의 합성 버전.

참조: CrowdStrike의 SyntheticProcessRollup2에 대한 문서.arrow-up-right

hashtag
Crowdstrike.Unknown

이 스키마는 등록된 유형과 일치하지 않는 모든 Crowdstrike 이벤트를 포함합니다.

참조: API 이벤트 유형에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.UserIdentity

UserIdentity 이벤트는 사용자가 호스트에 로그인할 때 생성됩니다. 사용자 이름과 같은 사용자와 관련된 중요한 보안 특성을 CrowdStrike 클라우드로 전달합니다. 일반적으로 보안 주체별로 한 번 생성되므로 그 자체만으로 의심스러운 활동의 징후는 아닙니다. Mac 및 Windows 플랫폼에서 사용 가능합니다.

참조: CrowdStrike의 사용자 아이덴티티 이벤트에 대한 문서.arrow-up-right

hashtag
Crowdstrike.UserInfo

Falcon Discover에서 제공하는 사용자 계정 및 로그인 정보.

참조: Falcon Data Replicator의 UserInfo에 대한 CrowdStrike 문서.arrow-up-right

hashtag
Crowdstrike.UserLogonLogoff

UserLogon 및 UserLogoff 이벤트를 포함합니다.

참조: CrowdStrike의 User Logon Logoff에 대한 문서.arrow-up-right

PreviousCrowdStrike 로그NextCrowdStrike 이벤트 스트림

Last updated

Was this helpful?