CrowdStrike🔗
以下の手順は、Falcon Data Replicator (FDR) を使用してCrowdStrikeからSecureworks® Taegis™ XDRへテレメトリーおよび検知情報をネイティブに取り込むための設定方法です。
注意
このインテグレーションにはCrowdStrike Falcon Data Replicatorが必要です。サポートについてはSophosのアカウントチームまでご連絡ください。
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 発見事項 | テクニック発見事項 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CrowdStrike | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
対応しているCrowdStrikeイベント
| Taegisイベントタイプ | CrowdStrikeイベントタイプ |
|---|---|
| 資産 | AgentConnect LocalIpAddressIP4 LocalIpAddressIP6 NetworkContainmentCompleted NetworkUncontainmentCompleted OsVersionInfo |
| Auth | ActiveDirectoryAccountCreated ActiveDirectoryAccountDisabled ActiveDirectoryAccountEnabled ActiveDirectoryAccountLocked ActiveDirectoryAccountPasswordUpdate ActiveDirectoryAccountUnlocked ActiveDirectoryAuthentication ActiveDirectoryAuthenticationFailure ActiveDirectoryIncomingDceRpcEpmRequest ActiveDirectoryIncomingDceRpcRequest ActiveDirectoryIncomingLdapSearchRequest ActiveDirectoryIncomingPsExecExecution2 ActiveDirectoryInteractiveDomainLogon ActiveDirectoryServiceAccessRequest ActiveDirectoryServiceAccessRequestFailure EventLogCleared OpenDirectoryCreateUser OpenDirectoryDeleteUser OpenDirectoryGroupAdd OpenDirectoryGroupRemove OpenDirectoryGroupSet OpenDirectoryPasswordModification UserAccountAddedToGroup UserAccountCreated UserAccountDeleted UserIdentity UserLogoff UserLogon UserLogonFailed UserLogonFailed2 |
| Antivirus | QuarantinedFile OdsMaliciousFileFound |
| DNS | DnsRequest SuspiciousDnsRequest |
| ファイル変更 | ADExplorerFileWritten ArcFileWritten ArjFileWritten BlfFileWritten BmpFileWritten BZip2FileWritten CabFileWritten CriticalFileModified CrxFileWritten DebFileWritten DirectoryCreate DmgFileWritten DmpFileWritten DwgFileWritten ELFFileWritten EmailArchiveFileWritten EmailFileWritten EseFileWritten ExecutableDeleted FileCreateInfo FileDeleteInfo FileOpenInfo FileRenameInfo FileSetMode GenericFileWritten GifFileWritten GzipFileWritten IdwFileWritten ImgExtensionFileWritten IsoExtensionFileWritten JarFileWritten JavaClassFileWritten JpegFileWritten LnkFileWritten MachOFileWritten MotwWritten MSDocxFileWritten MsiFileWritten MSPptxFileWritten MSVsdxFileWritten MSXlsxFileWritten NewExecutableRenamed NewExecutableWritten NewScriptWritten OleFileWritten OoxmlFileWritten PackedExecutableWritten PdfFileWritten PeFileWritten PngFileWritten PythonFileWritten RarFileWritten RegistryHiveFileWritten RpmFileWritten RtfFileWritten SevenZipFileWritten SldFileWritten SourceCodeFileWritten SuspiciousEseFileWritten SuspiciousPeFileWritten TarFileWritten TiffFileWritten VdiFileWritten VmdkFileWritten WebScriptFileWritten XarFileWritten ZipFileWritten |
| Generic | DcBluetoothDeviceBlocked DcBluetoothDeviceConnected DcBluetoothDeviceDisconnected DcUsbDeviceBlocked DcUsbDeviceConnected DcUsbDeviceDisconnected DcBluetoothDevicePolicyViolation DcUsbDevicePolicyViolation DcUsbDeviceWhitelisted EarlyExploitPivotDetect EndOfProcess FsVolumeMounted FsVolumeUnmounted HostedServiceStarted HostedServiceStopped KernelServiceStarted LogonBehaviorCompositionDetectInfo NetShareAdd NetShareDelete ProcessActivitySummary RegCredAccessDetectInfo RemovableDiskModuleLoadAttempt RemovableMediaVolumeMounted ServiceStarted ServiceStopped TerminateProcess |
| HTTP | HttpRequest HttpRequestDetect HttpRequestV2DetectInfo HttpResponse |
| スレッドインジェクション | BrowserInjectedThread DllInjection DocumentProgramInjectedThread InjectedThread InjectedThreadFromUnsignedModule JavaInjectedThread ProcessInjection |
| 管理 | WmiCreateProcess WmiFilterConsumerBindingEtw WmiProviderRegistrationEtw WmiQueryDetectInfo SensitiveWmiQuery |
| Netflow | NetworkCloseIP4 NetworkCloseIP6 NetworkConnectIP4 NetworkConnectIP6 NetworkListenIP4 NetworkListenIP6 NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 |
| Persistence | AsepFileChange AsepFileChangeDetectInfo AsepFileChangeScanInfo AsepKeyUpdate AsepValueUpdate CreateService ScheduledTaskDeleted ScheduledTaskModified ScheduledTaskRegistered |
| Process | ProcessBlocked ProcessRollup2 SyntheticProcessRollup2 |
| プロセスモジュール | ClassifiedModuleLoad DotnetModuleLoadDetectInfo KernelModeLoadImage ModuleDetectInfo ModuleLoadV3DetectInfo ReflectiveDotnetModuleLoad UnsignedModuleLoad |
| レジストリ | RegGenericKeyUpdate RegGenericValueUpdate RegKeySecurityDecreasedFromUnsignedModule RegSystemConfigValueUpdate RegistryOperationBlocked RegistryOperationDetectInfo RegSystemConfigKeyUpdate SuspiciousRegAsepUpdate |
| Scriptblock | CommandHistory ScriptControlBlocked ScriptControlDetectInfo ScriptControlScanTelemetry ScriptFileContentsDetectInfo |
| サードパーティアラート | EppDetectionSummaryEvent IDPDetectionSummaryEvent |
対応しているCrowdStrikeセカンダリーイベント(有効化されていません)
| Taegisイベントタイプ | CrowdStrikeイベントタイプ |
|---|---|
| 資産 | aidmaster InstalledApplication |
注意
DNS、Netflow、およびProcessのTaegisイベントはDetectionSummaryEventイベントから抽出されます。
FDRのセットアップと情報の収集🔗
本ガイドは、CrowdStrikeソフトウェアの現時点での理解に基づき、XDRとCrowdStrike FDRのインテグレーションを支援するために作成していますが、CrowdStrike側の変更により保証できない場合があります。FDRフィードのセットアップやインテグレーションに必要な認証情報の作成については、公式のCrowdStrikeドキュメントを参照してください。本手順はあくまで補助的なものとしてご活用いただき、最終的な判断はお客様ご自身でお願いいたします。
-
Falcon Data Replicator をSupport and Resourcesから開くか、Falcon内の検索機能で該当機能を探してください。
Open FDR from Navigation 
Open FDR from Search -
Create Feedからフィード名を入力し、Customize your FDR feed を選択してから Next を選択します。
Create Feed -
Primary Eventsタブで、すべてのイベントタイプを選択し、+ Add selected events を選択します。
Select all Event Types -
Secondary Eventsタブで、利用可能なすべてのオプションを選択します。
Select All Secondary Events Options 重要
PrimaryとSecondaryの両方のイベントがFeed構成に追加されていることを確認してください。
-
Partitionsタブで、両方のパーティションタイプを選択します。
Select Both Partition Types -
この画面は一度しか表示されないため、表示されたフィード認証情報を必ず保存してください。
Save Feed Credentials 重要
FDRが提供する認証情報は再表示されないため、必ず保存してください。
-
XDRでCrowdStrikeインテグレーションを設定するには、以下の情報が必要です。
- CID — CrowdStrikeカスタマーアカウントのID(Client ID)
- AWSリージョン — FDRのSQSキューが存在するAWSリージョン名(ストレージリージョン)
- AWS Access Key ID (Client ID) — FDRリソース用のAWS Access Key ID(Client ID)
- AWS Secret Access Key (Secret) — FDRリソース用のAWS Secret Access Key(Secret)
- AWS SQS URL — FDRに関連付けられたAWS SQS URL
- AWS S3 Identifier — FDRに関連付けられたAWS S3識別子
注意
これらの情報はFeedの Overview タブおよび Create feed: copy feed credentials の確認画面から取得できます。
Feed Overview
XDRでのCrowdStrikeインテグレーション設定🔗
- Taegis Menu から インテグレーション → クラウドAPI → インテグレーションの追加 を選択します。
-
最適化タブから CrowdStrike を選択します。
CrowdStrike Integration Setup -
インテグレーション名を入力し、前のセクション で収集した情報を入力します。
- 完了したら 追加 を選択してインテグレーションを検証します。Cloud APIインテグレーションページに、正常に追加されたCrowdStrikeインテグレーションが表示されます。
検証🔗
詳細検索 を使用し、以下のクエリでこのインテグレーションに関連する検知を検索できます。
FROM detection WHERE sensor_types='ENDPOINT_CROWD_STRIKE'