CrowdStrike Falcon Intelligence
编辑CrowdStrike Falcon Intelligence
编辑CrowdStrike Falcon Intelligence 是一种威胁情报产品,可为组织提供高级网络安全见解。Falcon Intelligence 利用机器学习和行为分析,提供实时威胁数据,从而实现主动的威胁检测和响应。它专注于可操作的情报,使企业能够领先于网络攻击者并增强其整体安全态势。此 CrowdStrike Falcon Intelligence 集成使您能够在 Elastic Security 中使用和分析 CrowdStrike Falcon Intelligence 数据,包括 Intel 指标和 IOC,从而为您在 Elastic Security 中的云环境提供可见性和上下文。
数据流
编辑CrowdStrike Falcon Intelligence 集成收集两种类型的数据:IOC 和 Intel 指标。
这两个端点都与威胁情报相关。Intel 指标提供有关哈希的信息,特别是与恶意软件和威胁类型相关的信息,而 IOC 提供有关 IPv4 地址检测的信息,包括严重性、平台和全局应用程序状态。
CrowdStrike Falcon Intelligence API 参考 - https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis。→ 转到“访问 CrowdStrike API 规范”,找到您云环境区域的 API 参考链接。
您的基本 URL 取决于您的云环境区域。例如,美国-2 云环境的基本 URL 将为 https://falcon.us-2.crowdstrike.com。
要求
编辑必须安装 Elastic Agent。有关更多信息,请参阅链接 此处。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。Elastic Docker 注册表提供了所有版本的 Elastic Agent 的 Docker 镜像,我们还提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅链接 此处。
权限
编辑此集成包括最新转换等资产,这要求安装集成的用户具有 kibana_system 内置角色。请参阅 文档,了解有关 kibana_system 内置角色的信息。
此模块已针对 CrowdStrike Falcon Intelligence API 版本 v1 进行了测试。
设置
编辑要从 CrowdStrike Falcon Intelligence 收集数据,需要您 CrowdStrike Falcon Intelligence 实例中的以下参数
编辑- 客户端 ID
- 客户端密钥
- 令牌 URL
- API 端点 URL
-
每个数据流所需的范围
数据流 范围 Intel
read:intel
IOC
read:iocs
请参阅 文档,了解如何从 CrowdStrike 控制台中启用范围。
用户应具有 admin 角色或 Detection Exception Manager 角色才能访问 IOC 端点。请参阅 文档,了解如何管理用户角色和权限。
在 Elastic 中启用集成
编辑- 在 Kibana 中转到“管理”>“集成”
- 在“搜索集成”搜索栏中,键入 CrowdStrike Falcon Intelligence
- 从搜索结果中单击“CrowdStrike Falcon Intelligence”集成。
- 单击“添加 CrowdStrike Falcon Intelligence”按钮以添加集成。
- 添加所有必需的集成配置参数,例如客户端 ID、客户端密钥、URL 和令牌 URL。对于所有数据流,必须提供这些参数才能检索日志。
- 保存集成。
IoC 过期
编辑摄取的 IOC 在一定时间后过期。将为 Intel 和 IOC 数据集创建单独的 Elastic 转换,以方便最终用户仅使用活动的指标和 IOC。由于我们只想保留有价值的信息并避免重复数据,CrowdStrike Falcon Intelligence Elastic 集成强制将 Intel 指标轮换到名为 logs-ti_crowdstrike_latest.dest_intel 的自定义索引中,并强制将 IOC 日志轮换到名为 logs-ti_crowdstrike_latest.dest_ioc 的自定义索引中。请参考此索引以设置警报等。
转换权限
编辑Intel 和 IOC 数据集的最新转换都需要用户具有 权限中提到的 kibana_system 角色。
处理孤立的 IOC
编辑IOC 过期在 CrowdStrike 控制台中默认设置为 false,但用户可以使用管理控制台设置过期时间。某些 CrowdStrike IOC 可能永远不会过期,并会继续保留在最新的目标索引中。为避免此类孤立 IOC 产生任何误报,允许用户在设置集成时分别为数据集 Intel 和 IOC 配置 IOC 过期时间 参数。此参数会在达到指定时间后删除目标索引 logs-ti_crowdstrike_latest.intel 和 logs-ti_crowdstrike_latest.ioc 中的所有数据。当此过期发生时,用户必须拉取整个源而不是增量源,以便重置 IOC。
工作原理
编辑这要归功于与集成一起安装的转换规则。转换规则解析从 CrowdStrike Falcon Intelligence 中提取的数据流内容,并且仅添加新的 Intel 指标。
数据流和最新索引都分别通过 ILM 和转换中的保留策略应用了过期。
日志参考
编辑Intel
编辑这是 Intel 数据集。
示例
intel 的示例事件如下所示
{
"@timestamp": "2023-11-21T06:16:01.000Z",
"agent": {
"ephemeral_id": "6d3e7b87-a3f6-47b1-81a5-0264e901b3f9",
"id": "36b03887-7783-4bc4-b8c5-6f8997e4cd1a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_crowdstrike.intel",
"namespace": "36922",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "36b03887-7783-4bc4-b8c5-6f8997e4cd1a",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"dataset": "ti_crowdstrike.intel",
"id": "hash_sha256_c98e1a7f563824cd448b47613743dcd1c853742b78f42b000192b83d",
"ingested": "2024-08-01T08:31:15Z",
"kind": "enrichment",
"original": "{\"_marker\":\"17005473618d17ae6353d123235e4158c5c81f25f0\",\"actors\":[\"SALTYSPIDER\"],\"deleted\":false,\"domain_types\":[\"abc.com\"],\"id\":\"hash_sha256_c98e1a7f563824cd448b47613743dcd1c853742b78f42b000192b83d\",\"indicator\":\"c98e192bf71a7f97563824cd448b47613743dcd1c853742b78f42b000192b83d\",\"ip_address_types\":[\"81.2.69.192\"],\"kill_chains\":[\"Installation\",\"C2\"],\"labels\":[{\"created_on\":1700547356,\"last_valid_on\":1700547360,\"name\":\"MaliciousConfidence/High\"},{\"created_on\":1700547359,\"last_valid_on\":1700547359,\"name\":\"Malware/Mofksys\"},{\"created_on\":1700547359,\"last_valid_on\":1700547359,\"name\":\"ThreatType/Commodity\"},{\"created_on\":1700547359,\"last_valid_on\":1700547359,\"name\":\"ThreatType/CredentialHarvesting\"},{\"created_on\":1700547359,\"last_valid_on\":1700547359,\"name\":\"ThreatType/InformationStealer\"}],\"last_updated\":1700547361,\"malicious_confidence\":\"high\",\"malware_families\":[\"Mofksys\"],\"published_date\":1700547356,\"relations\":[{\"created_date\":1700547339,\"id\":\"domain.com.yy\",\"indicator\":\"domain.ds\",\"last_valid_date\":1700547339,\"type\":\"domain\"},{\"created_date\":1700547339,\"id\":\"domain.xx.yy\",\"indicator\":\"domain.xx.fd\",\"last_valid_date\":1700547339,\"type\":\"domain\"}],\"reports\":[\"reports\"],\"targets\":[\"abc\"],\"threat_types\":[\"Commodity\",\"CredentialHarvesting\",\"InformationStealer\"],\"type\":\"hash_sha256\",\"vulnerabilities\":[\"vuln\"]}",
"type": [
"indicator"
]
},
"input": {
"type": "cel"
},
"related": {
"hash": [
"c98e192bf71a7f97563824cd448b47613743dcd1c853742b78f42b000192b83d"
],
"ip": [
"81.2.69.192"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"ti_crowdstrike-intel"
],
"threat": {
"indicator": {
"confidence": "High",
"file": {
"hash": {
"sha256": "c98e192bf71a7f97563824cd448b47613743dcd1c853742b78f42b000192b83d"
}
},
"name": "c98e192bf71a7f97563824cd448b47613743dcd1c853742b78f42b000192b83d",
"provider": "crowdstrike",
"type": "file"
}
},
"ti_crowdstrike": {
"intel": {
"_marker": "17005473618d17ae6353d123235e4158c5c81f25f0",
"actors": [
"SALTYSPIDER"
],
"deleted": false,
"deleted_at": "2023-11-21T11:16:01.000Z",
"domain_types": [
"abc.com"
],
"expiration_duration": "5h",
"id": "hash_sha256_c98e1a7f563824cd448b47613743dcd1c853742b78f42b000192b83d",
"ip_address_types": [
"81.2.69.192"
],
"kill_chains": [
"Installation",
"C2"
],
"labels": [
{
"created_on": "2023-11-21T06:15:56.000Z",
"last_valid_on": "2023-11-21T06:16:00.000Z",
"name": "MaliciousConfidence/High"
},
{
"created_on": "2023-11-21T06:15:59.000Z",
"last_valid_on": "2023-11-21T06:15:59.000Z",
"name": "Malware/Mofksys"
},
{
"created_on": "2023-11-21T06:15:59.000Z",
"last_valid_on": "2023-11-21T06:15:59.000Z",
"name": "ThreatType/Commodity"
},
{
"created_on": "2023-11-21T06:15:59.000Z",
"last_valid_on": "2023-11-21T06:15:59.000Z",
"name": "ThreatType/CredentialHarvesting"
},
{
"created_on": "2023-11-21T06:15:59.000Z",
"last_valid_on": "2023-11-21T06:15:59.000Z",
"name": "ThreatType/InformationStealer"
}
],
"last_updated": "2023-11-21T06:16:01.000Z",
"malicious_confidence": "high",
"malware_families": [
"Mofksys"
],
"published_date": "2023-11-21T06:15:56.000Z",
"relations": [
{
"created_date": "2023-11-21T06:15:39.000Z",
"id": "domain.com.yy",
"indicator": "domain.ds",
"last_valid_date": "2023-11-21T06:15:39.000Z",
"type": "domain"
},
{
"created_date": "2023-11-21T06:15:39.000Z",
"id": "domain.xx.yy",
"indicator": "domain.xx.fd",
"last_valid_date": "2023-11-21T06:15:39.000Z",
"type": "domain"
}
],
"reports": [
"reports"
],
"targets": [
"abc"
],
"threat_types": [
"Commodity",
"CredentialHarvesting",
"InformationStealer"
],
"type": "hash_sha256",
"value": "c98e192bf71a7f97563824cd448b47613743dcd1c853742b78f42b000192b83d",
"vulnerabilities": [
"vuln"
]
}
},
"vulnerability": {
"category": [
"vuln"
]
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
关键字 |
labels.is_ioc_transform_source |
指示 IOC 是在原始源数据流中还是在最新的目标索引中。 |
constant_keyword |
log.offset |
日志偏移量。 |
长整型 |
threat.feed.name |
显示友好的源名称。 |
constant_keyword |
threat.indicator.first_seen |
情报源首次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报源上次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报源上次修改此指标信息的日期和时间。 |
日期 |
ti_crowdstrike.intel._marker |
与 Intel 指标关联的特殊标记。 |
关键字 |
ti_crowdstrike.intel.actors |
与 Intel 指标关联的参与者相关的信息。 |
关键字 |
ti_crowdstrike.intel.deleted |
指示 Intel 指标是否已删除。 |
布尔值 |
ti_crowdstrike.intel.deleted_at |
IOC 删除/过期的日期。 |
日期 |
ti_crowdstrike.intel.domain_types |
与 Intel 指标关联的域类型相关的信息。 |
关键字 |
ti_crowdstrike.intel.expiration_duration |
关键字 |
|
ti_crowdstrike.intel.id |
Intel 指标的唯一标识符。 |
关键字 |
ti_crowdstrike.intel.ip_address_types |
与 Intel 指标关联的 IP 地址类型相关的信息。 |
关键字 |
ti_crowdstrike.intel.kill_chains |
与 Intel 指标关联的杀伤链相关的信息。 |
关键字 |
ti_crowdstrike.intel.labels.created_on |
指示创建标签的时间戳。 |
日期 |
ti_crowdstrike.intel.labels.last_valid_on |
指示标签上次有效的时间戳。 |
日期 |
ti_crowdstrike.intel.labels.name |
与 Intel 指标关联的标签的名称。 |
关键字 |
ti_crowdstrike.intel.last_updated |
时间戳,指示 Intel 指标上次更新的时间。 |
日期 |
ti_crowdstrike.intel.malicious_confidence |
指示 Intel 指标为恶意指标的置信度。 |
关键字 |
ti_crowdstrike.intel.malware_families |
与 Intel 指标关联的恶意软件家族相关的信息。 |
关键字 |
ti_crowdstrike.intel.published_date |
时间戳,指示 Intel 指标发布的时间。 |
日期 |
ti_crowdstrike.intel.relations.created_date |
关系的创建日期。 |
日期 |
ti_crowdstrike.intel.relations.id |
关系的 ID。 |
关键字 |
ti_crowdstrike.intel.relations.indicator |
与关系关联的指标。 |
关键字 |
ti_crowdstrike.intel.relations.last_valid_date |
关系的最后有效日期。 |
日期 |
ti_crowdstrike.intel.relations.type |
关系的类型。 |
关键字 |
ti_crowdstrike.intel.reports |
与 Intel 指标关联的报告相关的信息。 |
关键字 |
ti_crowdstrike.intel.targets |
与 Intel 指标关联的目标相关的信息。 |
关键字 |
ti_crowdstrike.intel.threat_types |
与 Intel 指标关联的威胁类型相关的信息。 |
关键字 |
ti_crowdstrike.intel.type |
指标的类型,表明它是一个 SHA256 哈希值。 |
关键字 |
ti_crowdstrike.intel.value |
指标的具体值。 |
关键字 |
ti_crowdstrike.intel.vulnerabilities |
与 Intel 指标关联的漏洞相关的信息。 |
关键字 |
IOC
编辑这是 IOC 数据集。
示例
一个 ioc 的示例事件如下所示
{
"@timestamp": "2023-11-01T10:22:23.106Z",
"agent": {
"ephemeral_id": "6b69edbe-1d0f-4094-80d6-12915b7784ed",
"id": "36b03887-7783-4bc4-b8c5-6f8997e4cd1a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_crowdstrike.ioc",
"namespace": "60867",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "36b03887-7783-4bc4-b8c5-6f8997e4cd1a",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "detect-again",
"agent_id_status": "verified",
"category": [
"threat"
],
"dataset": "ti_crowdstrike.ioc",
"id": "34874a88935860cf6yyfc856d6abb6f35a29d8c077195ed6291aa8373696b44",
"ingested": "2024-08-01T08:32:09Z",
"kind": "enrichment",
"original": "{\"action\":\"detect again\",\"applied_globally\":true,\"created_by\":\"[email protected]\",\"created_on\":\"2023-11-01T10:22:23.10607613Z\",\"deleted\":false,\"description\":\"IS-38887\",\"expired\":false,\"from_parent\":false,\"id\":\"34874a88935860cf6yyfc856d6abb6f35a29d8c077195ed6291aa8373696b44\",\"metadata\":{\"filename\":\"High_Serverity_Heuristic_Sandbox_Threat.docx\"},\"modified_by\":\"[email protected]\",\"modified_on\":\"2023-11-01T10:22:23.10607613Z\",\"platforms\":[\"windows\",\"mac\",\"linux\"],\"severity\":\"critical\",\"tags\":[\"IS-38887\"],\"type\":\"ipv4\",\"value\":\"81.2.69.192\"}",
"type": [
"indicator"
]
},
"file": {
"name": "High_Serverity_Heuristic_Sandbox_Threat.docx"
},
"input": {
"type": "cel"
},
"related": {
"ip": [
"81.2.69.192"
],
"user": [
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"ti_crowdstrike-ioc"
],
"threat": {
"indicator": {
"description": "IS-38887",
"first_seen": "2023-11-01T10:22:23.106Z",
"ip": "81.2.69.192",
"modified_at": "2023-11-01T10:22:23.106Z",
"name": "81.2.69.192",
"provider": "crowdstrike",
"type": "ipv4-addr"
}
},
"ti_crowdstrike": {
"ioc": {
"action": "detect again",
"applied_globally": true,
"created_by": "[email protected]",
"created_on": "2023-11-01T10:22:23.106Z",
"deleted": false,
"deleted_at": "2023-11-01T15:22:23.106Z",
"description": "IS-38887",
"expiration_duration": "5h",
"expired": false,
"from_parent": false,
"id": "34874a88935860cf6yyfc856d6abb6f35a29d8c077195ed6291aa8373696b44",
"metadata": {
"filename": "High_Serverity_Heuristic_Sandbox_Threat.docx"
},
"modified_by": "[email protected]",
"modified_on": "2023-11-01T10:22:23.106Z",
"platforms": [
"windows",
"mac",
"linux"
],
"severity": "critical",
"tags": [
"IS-38887"
],
"type": "ipv4",
"value": "81.2.69.192"
}
},
"user": {
"domain": "example.com",
"name": "abc.it"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
关键字 |
labels.is_ioc_transform_source |
指示 IOC 是在原始源数据流中还是在最新的目标索引中。 |
constant_keyword |
log.offset |
日志偏移量。 |
长整型 |
threat.feed.name |
显示友好的源名称。 |
constant_keyword |
threat.indicator.first_seen |
情报源首次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.last_seen |
情报源上次报告发现此指标的日期和时间。 |
日期 |
threat.indicator.modified_at |
情报源上次修改此指标信息的日期和时间。 |
日期 |
ti_crowdstrike.ioc.action |
描述检测到 IOC 时采取的操作。 |
关键字 |
ti_crowdstrike.ioc.applied_globally |
指示 IOC 是否全局应用。 |
布尔值 |
ti_crowdstrike.ioc.created_by |
指示创建 IOC 的实体或用户。 |
关键字 |
ti_crowdstrike.ioc.created_on |
时间戳,指示 IOC 创建的时间。 |
日期 |
ti_crowdstrike.ioc.deleted |
指示 IOC 是否已删除。 |
布尔值 |
ti_crowdstrike.ioc.deleted_at |
IOC 删除/过期的日期。 |
日期 |
ti_crowdstrike.ioc.description |
与 IOC 关联的文本描述。 |
关键字 |
ti_crowdstrike.ioc.expiration_duration |
关键字 |
|
ti_crowdstrike.ioc.expired |
指示 IOC 是否已过期。 |
布尔值 |
ti_crowdstrike.ioc.from_parent |
指示 IOC 是否源自父实体。 |
布尔值 |
ti_crowdstrike.ioc.id |
IOC 的唯一标识符。 |
关键字 |
ti_crowdstrike.ioc.metadata |
关于 IOC 的其他信息或上下文。 |
已扁平化 |
ti_crowdstrike.ioc.modified_by |
指示上次修改 IOC 的实体或用户。 |
关键字 |
ti_crowdstrike.ioc.modified_on |
时间戳,指示 IOC 上次修改的时间。 |
日期 |
ti_crowdstrike.ioc.platforms |
指定与 IOC 关联的平台。 |
关键字 |
ti_crowdstrike.ioc.severity |
指示与检测关联的严重程度级别。 |
关键字 |
ti_crowdstrike.ioc.tags |
与 IOC 关联的标签。 |
关键字 |
ti_crowdstrike.ioc.type |
指标的类型。 |
关键字 |
ti_crowdstrike.ioc.value |
指标的具体值。 |
关键字 |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
2.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.7 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.6 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.5 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.4 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.2 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.5.5 |
增强 (查看拉取请求) |
— |
0.5.4 |
增强 (查看拉取请求) |
— |
0.5.3 |
Bug 修复 (查看拉取请求) |
— |
0.5.2 |
Bug 修复 (查看拉取请求) |
— |
0.5.1 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.1 |
Bug 修复 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.1 |
Bug 修复 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.1.2 |
增强 (查看拉取请求) |
— |
0.1.1 |
Bug 修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |