# CrowdStrike のソース設定
## CrowdStrike Falcon との統合
CrowdStrike Falcon Data Replicator (FDR) は、CrowdStrike Security Cloud と世界クラスの人工知能 (AI) を使用してエンドポイント、クラウドワークロード、アイデンティティデータを配信および充実化し、チームが実用的なインサイトを取得してセキュリティオペレーションセンター (SOC) のパフォーマンスを向上させることを可能にします。Amazon CloudWatch Logs を使用すると、CloudWatch Logs でこのデータを収集できます。
## Amazon S3 と Amazon SQS を設定する手順
Amazon S3 バケットにログを送信するように CrowdStrike FDR を設定するには、いくつかのステップが必要です。主要なものは、Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の Amazon Telemetry Pipeline の設定です。
+ CrowdStrike Falcon 環境内で CrowdStrike FDR が有効になっていることを確認します。これには通常、特定のライセンスが必要であり、CrowdStrike サポートの利用が必要な場合があります。
+ CrowdStrike ログを保存する Amazon S3 バケットは、FDR が有効になっているのと同じ AWS リージョンに存在する必要があります。
+ イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。
+ Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。
## CloudWatch パイプラインの設定
CrowdStrike FDR からデータを読み取るようにパイプラインを設定するときは、データソースとして CrowdStrike を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合は、OCSF スキーマのバージョン v1.5.0 と、検出結果 (2004) とプロセスアクティビティ (1007) にマッピングする CrowdStrike FDR アクションをサポートします。
### 検出結果
検出結果には、次のアクションが含まれます。
+ CloudAssociateTreeIdWithRoot
+ CustomIOADomainNameDetectionInfoEvent
+ TemplateDetectAnalysis
### プロセスアクティビティ
プロセスアクティビティには、次のアクションが含まれます。
+ ActiveDirectoryIncomingPsExecExecution2
+ AndroidIntentSentIPC
+ AssociateTreeIdWithRoot
+ AutoRunProcessInfo
+ BamRegAppRunTime
+ BlockThreadFailed
+ BrowserInjectedThread
+ CidMigrationConfirmation
+ CodeSigningAltered
+ CommandHistory
+ CreateProcessArgs
+ CreateThreadNoStartImage
+ CriticalEnvironmentVariableChanged
+ CsUmProcessCrashAuxiliaryEvent
+ CsUmProcessCrashSummaryEvent
+ CustomIOABasicProcessDetectionInfoEvent
+ DebuggableFlagTurnedOn
+ DebuggedState
+ DllInjection
+ DocumentProgramInjectedThread
+ EarlyExploitPivotDetect
+ EndOfProcess
+ EnvironmentVariablesChanged
+ FalconProcessHandleOpDetectInfo
+ FlashThreadCreateProcess
+ IdpWatchdogRemediationActionTaken
+ InjectedThread
+ InjectedThreadFromUnsignedModule
+ IPCDetectInfo
+ JavaInjectedThread
+ KillProcessError
+ LsassHandleFromUnsignedModule
+ MacKnowledgeActivityEnd
+ MacKnowledgeActivityStart
+ NamespaceChanged
+ PcaAppLaunchEntry
+ PcaGeneralDbEntry
+ PrivilegedProcessHandle
+ PrivilegedProcessHandleFromUnsignedModule
+ ProcessActivitySummary
+ ProcessBlocked
+ ProcessControl
+ ProcessDataUsage
+ ProcessExecOnPackedExecutable
+ ProcessHandleOpDetectInfo
+ ProcessHandleOpDowngraded
+ ProcessInjection
+ ProcessPatternTelemetry
+ ProcessRollup
+ ProcessRollup2
+ ProcessRollup2Stats
+ ProcessSelfDeleted
+ ProcessSessionCreated
+ ProcessSubstituteUser
+ ProcessTokenStolen
+ ProcessTrace
+ ProcessTreeCompositionPatternTelemetry
+ PtTelemetry
+ PtyCreated
+ QueueApcEtw
+ ReflectiveDllOpenProcess
+ RegisterRawInputDevicesEtw
+ RemediationActionKillProcess
+ RemediationMonitorKillProcess
+ RuntimeEnvironmentVariable
+ ScriptControlDotNetMetadata
+ ScriptControlErrorEvent
+ ServiceStarted
+ SessionPatternTelemetry
+ SetThreadCtxEtw
+ SetWindowsHook
+ SetWindowsHookExEtw
+ SetWinEventHookEtw
+ ShellCommandLineInfo
+ SruApplicationTimelineProvider
+ SudoCommandAttempt
+ SuspectCreateThreadStack
+ SuspendProcessError
+ SuspiciousPrivilegedProcessHandle
+ SuspiciousUserFontLoad
+ SuspiciousUserRemoteAPCAttempt
+ SyntheticPR2Stats
+ SyntheticProcessRollup2
+ SyntheticProcessTrace
+ SystemTokenStolen
+ TerminateProcess
+ ThreadBlocked
+ UACAxisElevation
+ UACCOMElevation
+ UACExeElevation
+ UACMSIElevation
+ UmppcBypassSuspected
+ UnexpectedEnvironmentVariable
+ UserAssistAppLaunchInfo
+ UserSetProcessBreakOnTermination
+ WmiCreateProcess
+ WmiFilterConsumerBindingEtw