Descripción general
La integración de CrowdStrike Falcon (INT-008) ingiere las detecciones de Falcon en CaseBender y puede devolver las disposiciones de los casos a Falcon cuando se cierra un caso.Ingesta entrante
Las detecciones de Falcon se ingieren — ya sea extraídas automáticamente
de forma programada (recomendado) o enviadas por webhook — y luego se
normalizan, se enriquecen con observables y técnicas MITRE ATT&CK, y se
convierten en alertas.
Sincronización saliente
Cuando se cierra un caso vinculado en CaseBender, el estado de la detección de
Falcon se actualiza con un comentario de auditoría.
Esta integración usa la Alerts API v2 de Falcon y se autentica con un
cliente de API OAuth2 (client ID + secret) mediante el flujo de
credenciales de cliente.
Capacidades
Requisitos previos
1
Cliente de API de Falcon
En la consola de Falcon, vaya a Support and resources → API clients and keys y cree un
cliente de API. Otorgue el permiso Alerts: Read (y Alerts: Write si desea el cierre
saliente). Copie el Client ID y el Secret.
2
URL base de la región en la nube
Anote la URL base de su nube de Falcon (p. ej.
https://api.crowdstrike.com,
https://api.us-2.crowdstrike.com o https://api.eu-1.crowdstrike.com).3
Salida de red
El servicio de sondeo de CaseBender debe poder alcanzar la URL base de la API de Falcon.
Configurar la integración en CaseBender
1
Abrir el catálogo de integraciones
Vaya a Settings → Integrations → Create y elija CrowdStrike Falcon en la categoría
EDR/XDR.
2
Introducir las credenciales de la API de Falcon
3
Activar el sondeo automático (recomendado)
En la tarjeta Automatic polling, active Enable automatic polling y configure:
4
Configurar la creación automática de casos
Entrada (sondeo automático, recomendado)
Con el sondeo automático activado, el sondeador de CaseBender consulta periódicamente la Alerts API de Falcon e ingiere nuevas detecciones por sí solo.1
Extracción programada
En cada intervalo, CaseBender consulta los ID compuestos actualizados desde el último cursor
en la Alerts API v2 y luego obtiene las entidades completas de detección. En la primera
ejecución no hay cursor, por lo que se importan las detecciones dentro de
pollingInitialLookbackHours.2
Cursor + deduplicación
CaseBender avanza un cursor por integración hasta el
updated_timestamp más reciente. Las
detecciones se deduplican por ID de detección, por lo que las ventanas de sondeo
superpuestas nunca crean alertas duplicadas.3
Normalización
Cada detección se normaliza como una alerta de CaseBender — mapeando la severidad,
construyendo el título/descripción, extrayendo observables y generando TTP MITRE.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que
dicho servicio pueda alcanzar la URL base de su API de Falcon (directamente o a través de su
proxy configurado).
Entrada (webhook / push)
Como alternativa al sondeo, Falcon (o un intermediario) puede enviar cargas de detección al endpoint de ingesta de CaseBender:x-api-key.
Las claves de webhook de Falcon llevan el prefijo cbr_crowdstrike_.
Salida: sincronización de disposiciones a Falcon
Cuando se cierra un caso, el eventocase_closed se envía al manejador de CrowdStrike. Si el
caso está vinculado a una detección de Falcon (el ID de detección se estampa en la alerta
ingerida), el manejador actualiza el estado de la detección y añade un comentario de auditoría.
El cierre saliente requiere el permiso Alerts: Write en el cliente de API.
Consideraciones de seguridad
- Privilegio mínimo — otorgue Alerts: Read solo para entrada; añada Alerts: Write únicamente si activa el cierre saliente.
- Manejo de secretos — el client secret se almacena en la configuración de la integración; rótelo según la política de su organización.
- Caché de tokens — los tokens de acceso se cachean en memoria y se renuevan antes de expirar.
- Red — restrinja la salida a la URL base de su API de Falcon.
Solución de problemas
La prueba de conexión falla con un error OAuth2
La prueba de conexión falla con un error OAuth2
Verifique el client ID, el secret y la URL base de la API (región). Confirme que el cliente
de API está habilitado y tiene el permiso Alerts.
El sondeo está activado pero no aparecen detecciones
El sondeo está activado pero no aparecen detecciones
Confirme que Enable automatic polling está activado y que el cliente de API tiene el
permiso Alerts: Read. Verifique que el sondeador puede alcanzar su URL base de Falcon. En la
primera ejecución solo se importan detecciones dentro de
pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución. Las detecciones
las obtiene el procesador en segundo plano y las convierte en alertas (y opcionalmente
casos) el worker en segundo plano. Con Docker, ejecute docker compose ps y confirme que
los servicios worker y misp-processor están Up.El cierre del caso no actualiza Falcon
El cierre del caso no actualiza Falcon
Asegúrese de que el cliente de API tiene el permiso Alerts: Write y de que el caso está
vinculado a una detección de Falcon. Consulte la línea de tiempo del caso para ver el
resultado de la sincronización.