Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Quellkonfiguration für CrowdStrike
<a name="crowdstrike-source-setup"></a>

## Integration mit Falcon CrowdStrike
<a name="crowdstrike-integration"></a>

CrowdStrike Falcon Data Replicator (FDR) liefert und bereichert Endpunkt-, Cloud-Workload- und Identitätsdaten mit der CrowdStrike Security Cloud und erstklassiger künstlicher Intelligenz (KI), sodass Ihr Team umsetzbare Erkenntnisse zur Verbesserung der Leistung von Security Operations Center (SOC) ableiten kann. Amazon CloudWatch Logs ermöglicht es Ihnen, diese Daten in CloudWatch Logs zu sammeln.

## Anweisungen zur Einrichtung von Amazon S3 und Amazon SQS
<a name="crowdstrike-s3-sqs-setup"></a>

Die Konfiguration von CrowdStrike FDR für das Senden von Protokollen an einen Amazon S3 S3-Bucket umfasst mehrere Schritte, die sich hauptsächlich auf die Einrichtung des Amazon S3 S3-Buckets, der Amazon SQS SQS-Warteschlange, der IAM-Rollen und die anschließende Konfiguration der Amazon Telemetrie-Pipeline konzentrieren.
+ Stellen Sie sicher, dass CrowdStrike FDR in Ihrer Falcon-Umgebung aktiviert ist. CrowdStrike Dies erfordert in der Regel eine bestimmte Lizenz und kann die Zusammenarbeit mit dem CrowdStrike Support beinhalten.
+ Der Amazon S3 S3-Bucket, der die CrowdStrike Protokolle speichert, sollte sich in derselben AWS Region befinden, in der der FDR aktiviert ist.
+ Konfigurieren Sie den Amazon S3 S3-Bucket so, dass er Ereignisbenachrichtigungen erstellt, insbesondere für „Object Create“ -Ereignisse. Diese Benachrichtigungen sollten an eine Amazon SQS SQS-Warteschlange gesendet werden.
+ Erstellen Sie eine Amazon SQS SQS-Warteschlange in derselben AWS Region wie Ihr Amazon S3 S3-Bucket. Diese Warteschlange erhält Benachrichtigungen, wenn dem Amazon S3 S3-Bucket neue Protokolldateien hinzugefügt werden.

## Konfiguration der CloudWatch Pipeline
<a name="crowdstrike-pipeline-config"></a>

Wenn Sie die Pipeline für das Lesen von Daten aus CrowdStrike FDR konfigurieren, wählen Sie CrowdStrike als Datenquelle aus. Nachdem Sie die erforderlichen Informationen eingegeben und die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe „ CloudWatch Protokolle“ verfügbar.

## Unterstützte Open Cybersecurity Schema Framework-Eventklassen
<a name="crowdstrike-ocsf-support"></a>

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und die CrowdStrike FDR-Aktionen, die Detection Findings (2004) und Process Activity (1007) zugeordnet sind.

### Ergebnisse der Entdeckung
<a name="crowdstrike-detection-findings"></a>

Detection Findings umfasst die folgenden Aktionen:
+ CloudAssociateTreeIdWithRoot
+ Benutzerdefiniert IOADomain NameDetectionInfoEvent
+ TemplateDetectAnalysis

### Aktivität verarbeiten
<a name="crowdstrike-process-activity"></a>

Die Prozessaktivität umfasst die folgenden Aktionen:
+ ActiveDirectoryIncomingPsExecExecution2
+ AndroidIntentSentIPC
+ AssociateTreeIdWithRoot
+ AutoRunProcessInfo
+ BamRegAppRunTime
+ BlockThreadFailed
+ BrowserInjectedThread
+ CidMigrationConfirmation
+ CodeSigningAltered
+ CommandHistory
+ CreateProcessArgs
+ CreateThreadNoStartImage
+ CriticalEnvironmentVariableChanged
+ CsUmProcessCrashAuxiliaryEvent
+ CsUmProcessCrashSummaryEvent
+ Benutzerdefiniert IOABasic ProcessDetectionInfoEvent
+ DebuggableFlagTurnedOn
+ DebuggedState
+ DllInjection
+ DocumentProgramInjectedThread
+ EarlyExploitPivotDetect
+ EndOfProcess
+ EnvironmentVariablesChanged
+ FalconProcessHandleOpDetectInfo
+ FlashThreadCreateProcess
+ IdpWatchdogRemediationActionTaken
+ InjectedThread
+ InjectedThreadFromUnsignedModule
+ IPCDetectInformationen
+ JavaInjectedThread
+ KillProcessError
+ LsassHandleFromUnsignedModule
+ MacKnowledgeActivityEnd
+ MacKnowledgeActivityStart
+ NamespaceChanged
+ PcaAppLaunchEntry
+ PcaGeneralDbEntry
+ PrivilegedProcessHandle
+ PrivilegedProcessHandleFromUnsignedModule
+ ProcessActivitySummary
+ ProcessBlocked
+ ProcessControl
+ ProcessDataUsage
+ ProcessExecOnPackedExecutable
+ ProcessHandleOpDetectInfo
+ ProcessHandleOpDowngraded
+ ProcessInjection
+ ProcessPatternTelemetry
+ ProcessRollup
+ ProcessRollup2
+ ProcessRollup2 Statistiken
+ ProcessSelfDeleted
+ ProcessSessionCreated
+ ProcessSubstituteUser
+ ProcessTokenStolen
+ ProcessTrace
+ ProcessTreeCompositionPatternTelemetry
+ PtTelemetry
+ PtyCreated
+ QueueApcEtw
+ ReflectiveDllOpenProcess
+ RegisterRawInputDevicesEtw
+ RemediationActionKillProcess
+ RemediationMonitorKillProcess
+ RuntimeEnvironmentVariable
+ ScriptControlDotNetMetadata
+ ScriptControlErrorEvent
+ ServiceStarted
+ SessionPatternTelemetry
+ SetThreadCtxEtw
+ SetWindowsHook
+ SetWindowsHookExEtw
+ SetWinEventHookEtw
+ ShellCommandLineInfo
+ SruApplicationTimelineProvider
+ SudoCommandAttempt
+ SuspectCreateThreadStack
+ SuspendProcessError
+ SuspiciousPrivilegedProcessHandle
+ SuspiciousUserFontLoad
+ SuspiciousUserRemoteAPCAttempt
+ Synthetische Statistiken PR2
+ SyntheticProcessRollup2
+ SyntheticProcessTrace
+ SystemTokenStolen
+ TerminateProcess
+ ThreadBlocked
+ UACAxisHöhe
+ UACCOMElevation
+ UACExeHöhenlage
+ UACMSIElevation
+ UmppcBypassSuspected
+ UnexpectedEnvironmentVariable
+ UserAssistAppLaunchInfo
+ UserSetProcessBreakOnTermination
+ WmiCreateProcess
+ WmiFilterConsumerBindingEtw