CrowdStrike 的來源組態 - Amazon CloudWatch
與 CrowdStrike Falcon 整合設定 Amazon S3 和 Amazon SQS 的說明設定 CloudWatch 管道支援的開放式網路安全結構描述架構事件類別

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CrowdStrike 的來源組態

與 CrowdStrike Falcon 整合

CrowdStrike Falcon Data Replicator (FDR) 使用 CrowdStrike Security Cloud 和世界一流的人工智慧 (AI) 交付和豐富端點、雲端工作負載和身分資料,讓您的團隊能夠衍生可行的洞見,以改善安全營運中心 (SOC) 效能。Amazon CloudWatch Logs 可讓您在 CloudWatch Logs 中收集此資料。

設定 Amazon S3 和 Amazon SQS 的說明

設定 CrowdStrike FDR 將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟,主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色,然後設定 Amazon Telemetry Pipeline。

  • 確保在您的 CrowdStrike Falcon 環境中啟用 CrowdStrike FDR。這通常需要特定的授權,並且可能涉及使用 CrowdStrike 支援。

  • 存放 CrowdStrike 日誌的 Amazon S3 儲存貯體應位於啟用 FDR 的相同 AWS 區域。

  • 設定 Amazon S3 儲存貯體以建立事件通知,特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。

  • 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時,此佇列會收到通知。

設定 CloudWatch 管道

設定管道從 CrowdStrike FDR 讀取資料時,請選擇 CrowdStrike 作為資料來源。填入必要資訊並建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至偵測調查結果 (2004) 和程序活動 (1007) 的 CrowdStrike FDR 動作。

偵測問題清單

偵測調查結果包含下列動作:

  • CloudAssociateTreeIdWithRoot

  • CustomIOADomainNameDetectionInfoEvent

  • TemplateDetectAnalysis

程序活動

程序活動包含下列動作:

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • CustomIOABasicProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInfo

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2Stats

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • SyntheticPR2Stats

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisElevation

  • UACCOMElevation

  • UACExeElevation

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

顯示較多顯示較少