CrowdStrike🔗
以下の手順は、Falcon Data Replicator (FDR) を使用してCrowdStrikeからSecureworks® Taegis™ XDRへテレメトリーおよび検知情報をネイティブに取り込むための設定方法です。
注意
このインテグレーションにはCrowdStrike Falcon Data Replicatorが必要です。サポートについてはSophosアカウントチームにお問い合わせください。
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 検出結果 | テクニックの検出結果 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CrowdStrike | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
対応しているCrowdStrikeイベント
| Taegisイベントタイプ | CrowdStrikeイベントタイプ |
|---|---|
| Asset | AgentConnect LocalIpAddressIP4 LocalIpAddressIP6 NetworkContainmentCompleted NetworkUncontainmentCompleted OsVersionInfo |
| Auth | ActiveDirectoryAccountCreated ActiveDirectoryAccountDisabled ActiveDirectoryAccountEnabled ActiveDirectoryAccountLocked ActiveDirectoryAccountPasswordUpdate ActiveDirectoryAccountUnlocked ActiveDirectoryAuthentication ActiveDirectoryAuthenticationFailure ActiveDirectoryIncomingDceRpcEpmRequest ActiveDirectoryIncomingDceRpcRequest ActiveDirectoryIncomingLdapSearchRequest ActiveDirectoryIncomingPsExecExecution2 ActiveDirectoryInteractiveDomainLogon ActiveDirectoryServiceAccessRequest ActiveDirectoryServiceAccessRequestFailure EventLogCleared OpenDirectoryCreateUser OpenDirectoryDeleteUser OpenDirectoryGroupAdd OpenDirectoryGroupRemove OpenDirectoryGroupSet OpenDirectoryPasswordModification UserAccountAddedToGroup UserAccountCreated UserAccountDeleted UserIdentity UserLogoff UserLogon UserLogonFailed UserLogonFailed2 |
| Antivirus | QuarantinedFile OdsMaliciousFileFound |
| DNS | DnsRequest SuspiciousDnsRequest |
| File Modification | ADExplorerFileWritten ArcFileWritten ArjFileWritten BlfFileWritten BmpFileWritten BZip2FileWritten CabFileWritten CriticalFileModified CrxFileWritten DebFileWritten DirectoryCreate DmgFileWritten DmpFileWritten DwgFileWritten ELFFileWritten EmailArchiveFileWritten EmailFileWritten EseFileWritten ExecutableDeleted FileCreateInfo FileDeleteInfo FileOpenInfo FileRenameInfo FileSetMode GenericFileWritten GifFileWritten GzipFileWritten IdwFileWritten ImgExtensionFileWritten IsoExtensionFileWritten JarFileWritten JavaClassFileWritten JpegFileWritten LnkFileWritten MachOFileWritten MotwWritten MSDocxFileWritten MsiFileWritten MSPptxFileWritten MSVsdxFileWritten MSXlsxFileWritten NewExecutableRenamed NewExecutableWritten NewScriptWritten OleFileWritten OoxmlFileWritten PackedExecutableWritten PdfFileWritten PeFileWritten PngFileWritten PythonFileWritten RarFileWritten RegistryHiveFileWritten RpmFileWritten RtfFileWritten SevenZipFileWritten SldFileWritten SourceCodeFileWritten SuspiciousEseFileWritten SuspiciousPeFileWritten TarFileWritten TiffFileWritten VdiFileWritten VmdkFileWritten WebScriptFileWritten XarFileWritten ZipFileWritten |
| Generic | DcBluetoothDeviceBlocked DcBluetoothDeviceConnected DcBluetoothDeviceDisconnected DcUsbDeviceBlocked DcUsbDeviceConnected DcUsbDeviceDisconnected DcBluetoothDevicePolicyViolation DcUsbDevicePolicyViolation DcUsbDeviceWhitelisted EarlyExploitPivotDetect EndOfProcess FsVolumeMounted FsVolumeUnmounted HostedServiceStarted HostedServiceStopped KernelServiceStarted LogonBehaviorCompositionDetectInfo NetShareAdd NetShareDelete ProcessActivitySummary RegCredAccessDetectInfo RemovableDiskModuleLoadAttempt RemovableMediaVolumeMounted ServiceStarted ServiceStopped TerminateProcess |
| HTTP | HttpRequest HttpRequestDetect HttpRequestV2DetectInfo HttpResponse |
| Thread Injection | BrowserInjectedThread DllInjection DocumentProgramInjectedThread InjectedThread InjectedThreadFromUnsignedModule JavaInjectedThread ProcessInjection |
| Management | WmiCreateProcess WmiFilterConsumerBindingEtw WmiProviderRegistrationEtw WmiQueryDetectInfo SensitiveWmiQuery |
| Netflow | NetworkCloseIP4 NetworkCloseIP6 NetworkConnectIP4 NetworkConnectIP6 NetworkListenIP4 NetworkListenIP6 NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 |
| Persistence | AsepFileChange AsepFileChangeDetectInfo AsepFileChangeScanInfo AsepKeyUpdate AsepValueUpdate CreateService ScheduledTaskDeleted ScheduledTaskModified ScheduledTaskRegistered |
| Process | ProcessBlocked ProcessRollup2 SyntheticProcessRollup2 |
| Process Module | ClassifiedModuleLoad DotnetModuleLoadDetectInfo KernelModeLoadImage ModuleDetectInfo ModuleLoadV3DetectInfo ReflectiveDotnetModuleLoad UnsignedModuleLoad |
| Registry | RegGenericKeyUpdate RegGenericValueUpdate RegKeySecurityDecreasedFromUnsignedModule RegSystemConfigValueUpdate RegistryOperationBlocked RegistryOperationDetectInfo RegSystemConfigKeyUpdate SuspiciousRegAsepUpdate |
| Scriptblock | CommandHistory ScriptControlBlocked ScriptControlDetectInfo ScriptControlScanTelemetry ScriptFileContentsDetectInfo |
| Third Party Alert | EppDetectionSummaryEvent IDPDetectionSummaryEvent |
対応しているCrowdStrikeセカンダリエベント(有効化されていません)
| Taegisイベントタイプ | CrowdStrikeイベントタイプ |
|---|---|
| Asset | aidmaster InstalledApplication |
注意
DNS、Netflow、およびProcessのTaegisイベントはDetectionSummaryEventイベントから抽出されます。
FDRのセットアップと情報の収集🔗
本ガイドは、CrowdStrikeソフトウェアに関する現時点での理解に基づき、XDRとCrowdStrike FDRの連携を支援するために作成していますが、CrowdStrikeによる変更の可能性があるため保証はできません。FDRフィードのセットアップやインテグレーションに必要な認証情報の作成については、公式のCrowdStrikeドキュメントを参照してください。本手順はあくまで補助的なものとしてご活用いただき、参考情報としてご利用ください。
-
Falcon Data Replicator をSupport and Resourcesから開くか、Falcon内の検索機能で該当機能を探してください。
Open FDR from Navigation 
Open FDR from Search -
Create Feedからフィード名を入力し、Customize your FDR feed を選択してから Next をクリックします。
Create Feed -
Primary Eventsタブで、すべてのイベントタイプを選択し、+ Add selected events をクリックします。
Select all Event Types -
Secondary Eventsタブで、利用可能なすべてのオプションを選択します。
Select All Secondary Events Options 重要
Feed設定にPrimaryイベントとSecondaryイベントの両方が追加されていることを確認してください。
-
Partitionsタブで、両方のパーティションタイプを選択します。
Select Both Partition Types -
この画面は一度しか表示されないため、表示されたフィード認証情報を必ず保存してください。
Save Feed Credentials 重要
FDRが提供する認証情報は再表示されないため、必ず保存してください。
-
XDRでCrowdStrikeインテグレーションを設定するには、以下の情報が必要です。
- CID — CrowdStrikeカスタマーアカウントのID(Client ID)
- AWSリージョン — FDRのSQSキューが存在するAWSリージョン名(ストレージリージョン)
- AWS Access Key ID (Client ID) — FDRリソース用のAWS Access Key ID(Client ID)
- AWS Secret Access Key (Secret) — FDRリソース用のAWS Secret Access Key(Secret)
- AWS SQS URL — FDRに関連付けられたAWS SQS URL
- AWS S3 Identifier — FDRに関連付けられたAWS S3識別子
注意
これらの情報はFeedの Overview タブおよび Create feed: copy feed credentials の確認画面から取得できます。
Feed Overview
XDRでのCrowdStrikeインテグレーション設定🔗
- Taegis Menuから インテグレーション → クラウドAPI → インテグレーションの追加 を選択します。
-
最適化タブから CrowdStrike を選択します。
CrowdStrike Integration Setup -
インテグレーション名を入力し、前のセクションで収集した情報を入力します。
- 完了したら 追加 を選択してインテグレーションを検証します。Cloud APIインテグレーションページに、正常に追加されたCrowdStrikeインテグレーションが表示されます。
検証🔗
データレイク検索 を使用し、以下のクエリでこのインテグレーションに関連する検知を検索できます。
FROM detection WHERE sensor_types='ENDPOINT_CROWD_STRIKE'