

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CrowdStrike 的來源組態
<a name="crowdstrike-source-setup"></a>

## 與 CrowdStrike Falcon 整合
<a name="crowdstrike-integration"></a>

CrowdStrike Falcon Data Replicator (FDR) 使用 CrowdStrike Security Cloud 和世界一流的人工智慧 (AI) 交付和豐富端點、雲端工作負載和身分資料，讓您的團隊能夠衍生可行的洞見，以改善安全營運中心 (SOC) 效能。Amazon CloudWatch Logs 可讓您在 CloudWatch Logs 中收集此資料。

## 設定 Amazon S3 和 Amazon SQS 的說明
<a name="crowdstrike-s3-sqs-setup"></a>

設定 CrowdStrike FDR 將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟，主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色，然後設定 Amazon Telemetry Pipeline。
+ 確保在您的 CrowdStrike Falcon 環境中啟用 CrowdStrike FDR。這通常需要特定的授權，並且可能涉及使用 CrowdStrike 支援。
+ 存放 CrowdStrike 日誌的 Amazon S3 儲存貯體應位於啟用 FDR 的相同 AWS 區域。
+ 設定 Amazon S3 儲存貯體以建立事件通知，特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。
+ 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時，此佇列會收到通知。

## 設定 CloudWatch 管道
<a name="crowdstrike-pipeline-config"></a>

設定管道從 CrowdStrike FDR 讀取資料時，請選擇 CrowdStrike 作為資料來源。填入必要資訊並建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

## 支援的開放式網路安全結構描述架構事件類別
<a name="crowdstrike-ocsf-support"></a>

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至偵測調查結果 (2004) 和程序活動 (1007) 的 CrowdStrike FDR 動作。

### 偵測問題清單
<a name="crowdstrike-detection-findings"></a>

偵測調查結果包含下列動作：
+ CloudAssociateTreeIdWithRoot
+ CustomIOADomainNameDetectionInfoEvent
+ TemplateDetectAnalysis

### 程序活動
<a name="crowdstrike-process-activity"></a>

程序活動包含下列動作：
+ ActiveDirectoryIncomingPsExecExecution2
+ AndroidIntentSentIPC
+ AssociateTreeIdWithRoot
+ AutoRunProcessInfo
+ BamRegAppRunTime
+ BlockThreadFailed
+ BrowserInjectedThread
+ CidMigrationConfirmation
+ CodeSigningAltered
+ CommandHistory
+ CreateProcessArgs
+ CreateThreadNoStartImage
+ CriticalEnvironmentVariableChanged
+ CsUmProcessCrashAuxiliaryEvent
+ CsUmProcessCrashSummaryEvent
+ CustomIOABasicProcessDetectionInfoEvent
+ DebuggableFlagTurnedOn
+ DebuggedState
+ DllInjection
+ DocumentProgramInjectedThread
+ EarlyExploitPivotDetect
+ EndOfProcess
+ EnvironmentVariablesChanged
+ FalconProcessHandleOpDetectInfo
+ FlashThreadCreateProcess
+ IdpWatchdogRemediationActionTaken
+ InjectedThread
+ InjectedThreadFromUnsignedModule
+ IPCDetectInfo
+ JavaInjectedThread
+ KillProcessError
+ LsassHandleFromUnsignedModule
+ MacKnowledgeActivityEnd
+ MacKnowledgeActivityStart
+ NamespaceChanged
+ PcaAppLaunchEntry
+ PcaGeneralDbEntry
+ PrivilegedProcessHandle
+ PrivilegedProcessHandleFromUnsignedModule
+ ProcessActivitySummary
+ ProcessBlocked
+ ProcessControl
+ ProcessDataUsage
+ ProcessExecOnPackedExecutable
+ ProcessHandleOpDetectInfo
+ ProcessHandleOpDowngraded
+ ProcessInjection
+ ProcessPatternTelemetry
+ ProcessRollup
+ ProcessRollup2
+ ProcessRollup2Stats
+ ProcessSelfDeleted
+ ProcessSessionCreated
+ ProcessSubstituteUser
+ ProcessTokenStolen
+ ProcessTrace
+ ProcessTreeCompositionPatternTelemetry
+ PtTelemetry
+ PtyCreated
+ QueueApcEtw
+ ReflectiveDllOpenProcess
+ RegisterRawInputDevicesEtw
+ RemediationActionKillProcess
+ RemediationMonitorKillProcess
+ RuntimeEnvironmentVariable
+ ScriptControlDotNetMetadata
+ ScriptControlErrorEvent
+ ServiceStarted
+ SessionPatternTelemetry
+ SetThreadCtxEtw
+ SetWindowsHook
+ SetWindowsHookExEtw
+ SetWinEventHookEtw
+ ShellCommandLineInfo
+ SruApplicationTimelineProvider
+ SudoCommandAttempt
+ SuspectCreateThreadStack
+ SuspendProcessError
+ SuspiciousPrivilegedProcessHandle
+ SuspiciousUserFontLoad
+ SuspiciousUserRemoteAPCAttempt
+ SyntheticPR2Stats
+ SyntheticProcessRollup2
+ SyntheticProcessTrace
+ SystemTokenStolen
+ TerminateProcess
+ ThreadBlocked
+ UACAxisElevation
+ UACCOMElevation
+ UACExeElevation
+ UACMSIElevation
+ UmppcBypassSuspected
+ UnexpectedEnvironmentVariable
+ UserAssistAppLaunchInfo
+ UserSetProcessBreakOnTermination
+ WmiCreateProcess
+ WmiFilterConsumerBindingEtw