View a markdown version of this page

Configurazione del codice sorgente per CrowdStrike - Amazon CloudWatch
Integrazione con Falcon CrowdStrikeIstruzioni per configurare Amazon S3 e Amazon SQSConfigurazione della pipeline CloudWatchClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per CrowdStrike

Integrazione con Falcon CrowdStrike

CrowdStrike Falcon Data Replicator (FDR) fornisce e arricchisce i dati relativi a endpoint, carichi di lavoro nel cloud e identità con CrowdStrike Security Cloud e l'intelligenza artificiale (AI) di livello mondiale, che consentono al team di ricavare informazioni utili per migliorare le prestazioni del Security Operations Center (SOC). Amazon CloudWatch Logs ti consente di raccogliere questi dati in CloudWatch Logs.

Istruzioni per configurare Amazon S3 e Amazon SQS

La configurazione di CrowdStrike FDR per l'invio di log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS, dei ruoli IAM e quindi sulla configurazione di Amazon Telemetry Pipeline.

  • Assicurati che CrowdStrike FDR sia abilitato nel tuo ambiente Falcon. CrowdStrike Ciò richiede in genere una licenza specifica e può comportare la collaborazione con CrowdStrike l'assistenza.

  • Il bucket Amazon S3 che memorizza CrowdStrike i log dovrebbe risiedere nella stessa AWS regione in cui è abilitato l'FDR.

  • Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate a una coda Amazon SQS.

  • Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.

Configurazione della pipeline CloudWatch

Quando configuri la pipeline per leggere i dati da CrowdStrike FDR, scegli CrowdStrike come origine dati. Dopo aver inserito le informazioni richieste e aver creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato CloudWatch .

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e le azioni CrowdStrike FDR associate a Detection Findings (2004) e Process Activity (1007).

Risultati del rilevamento

Detection Findings contiene le seguenti azioni:

  • CloudAssociateTreeIdWithRoot

  • Personalizzato IOADomain NameDetectionInfoEvent

  • TemplateDetectAnalysis

Attività di processo

L'attività di processo contiene le seguenti azioni:

  • ActiveDirectoryIncomingPsExecExecution2

  • AndroidIntentSentIPC

  • AssociateTreeIdWithRoot

  • AutoRunProcessInfo

  • BamRegAppRunTime

  • BlockThreadFailed

  • BrowserInjectedThread

  • CidMigrationConfirmation

  • CodeSigningAltered

  • CommandHistory

  • CreateProcessArgs

  • CreateThreadNoStartImage

  • CriticalEnvironmentVariableChanged

  • CsUmProcessCrashAuxiliaryEvent

  • CsUmProcessCrashSummaryEvent

  • Personalizzato IOABasic ProcessDetectionInfoEvent

  • DebuggableFlagTurnedOn

  • DebuggedState

  • DllInjection

  • DocumentProgramInjectedThread

  • EarlyExploitPivotDetect

  • EndOfProcess

  • EnvironmentVariablesChanged

  • FalconProcessHandleOpDetectInfo

  • FlashThreadCreateProcess

  • IdpWatchdogRemediationActionTaken

  • InjectedThread

  • InjectedThreadFromUnsignedModule

  • IPCDetectInformazioni

  • JavaInjectedThread

  • KillProcessError

  • LsassHandleFromUnsignedModule

  • MacKnowledgeActivityEnd

  • MacKnowledgeActivityStart

  • NamespaceChanged

  • PcaAppLaunchEntry

  • PcaGeneralDbEntry

  • PrivilegedProcessHandle

  • PrivilegedProcessHandleFromUnsignedModule

  • ProcessActivitySummary

  • ProcessBlocked

  • ProcessControl

  • ProcessDataUsage

  • ProcessExecOnPackedExecutable

  • ProcessHandleOpDetectInfo

  • ProcessHandleOpDowngraded

  • ProcessInjection

  • ProcessPatternTelemetry

  • ProcessRollup

  • ProcessRollup2

  • ProcessRollup2 Statistiche

  • ProcessSelfDeleted

  • ProcessSessionCreated

  • ProcessSubstituteUser

  • ProcessTokenStolen

  • ProcessTrace

  • ProcessTreeCompositionPatternTelemetry

  • PtTelemetry

  • PtyCreated

  • QueueApcEtw

  • ReflectiveDllOpenProcess

  • RegisterRawInputDevicesEtw

  • RemediationActionKillProcess

  • RemediationMonitorKillProcess

  • RuntimeEnvironmentVariable

  • ScriptControlDotNetMetadata

  • ScriptControlErrorEvent

  • ServiceStarted

  • SessionPatternTelemetry

  • SetThreadCtxEtw

  • SetWindowsHook

  • SetWindowsHookExEtw

  • SetWinEventHookEtw

  • ShellCommandLineInfo

  • SruApplicationTimelineProvider

  • SudoCommandAttempt

  • SuspectCreateThreadStack

  • SuspendProcessError

  • SuspiciousPrivilegedProcessHandle

  • SuspiciousUserFontLoad

  • SuspiciousUserRemoteAPCAttempt

  • Statistiche sintetiche PR2

  • SyntheticProcessRollup2

  • SyntheticProcessTrace

  • SystemTokenStolen

  • TerminateProcess

  • ThreadBlocked

  • UACAxisElevazione

  • UACCOMElevation

  • UACExeElevazione

  • UACMSIElevation

  • UmppcBypassSuspected

  • UnexpectedEnvironmentVariable

  • UserAssistAppLaunchInfo

  • UserSetProcessBreakOnTermination

  • WmiCreateProcess

  • WmiFilterConsumerBindingEtw

Mostra piùMostra meno