Saltar al contenido principal

Descripción general

La integración de CrowdStrike Falcon (INT-008) ingiere las detecciones de Falcon en CaseBender y puede devolver las disposiciones de los casos a Falcon cuando se cierra un caso.

Ingesta entrante

Las detecciones de Falcon se ingieren — ya sea extraídas automáticamente de forma programada (recomendado) o enviadas por webhook — y luego se normalizan, se enriquecen con observables y técnicas MITRE ATT&CK, y se convierten en alertas.

Sincronización saliente

Cuando se cierra un caso vinculado en CaseBender, el estado de la detección de Falcon se actualiza con un comentario de auditoría.
Recomendado: active el sondeo automático. CaseBender puede extraer nuevas detecciones de forma programada usando el mismo cliente de API de Falcon — no se requiere webhook ni conector SIEM. Véase Sondeo automático.
Esta integración usa la Alerts API v2 de Falcon y se autentica con un cliente de API OAuth2 (client ID + secret) mediante el flujo de credenciales de cliente.

Capacidades

Requisitos previos

1

Cliente de API de Falcon

En la consola de Falcon, vaya a Support and resources → API clients and keys y cree un cliente de API. Otorgue el permiso Alerts: Read (y Alerts: Write si desea el cierre saliente). Copie el Client ID y el Secret.
2

URL base de la región en la nube

Anote la URL base de su nube de Falcon (p. ej. https://api.crowdstrike.com, https://api.us-2.crowdstrike.com o https://api.eu-1.crowdstrike.com).
3

Salida de red

El servicio de sondeo de CaseBender debe poder alcanzar la URL base de la API de Falcon.

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija CrowdStrike Falcon en la categoría EDR/XDR.
2

Introducir las credenciales de la API de Falcon

3

Activar el sondeo automático (recomendado)

En la tarjeta Automatic polling, active Enable automatic polling y configure:
4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

Con el sondeo automático activado, el sondeador de CaseBender consulta periódicamente la Alerts API de Falcon e ingiere nuevas detecciones por sí solo.
1

Extracción programada

En cada intervalo, CaseBender consulta los ID compuestos actualizados desde el último cursor en la Alerts API v2 y luego obtiene las entidades completas de detección. En la primera ejecución no hay cursor, por lo que se importan las detecciones dentro de pollingInitialLookbackHours.
2

Cursor + deduplicación

CaseBender avanza un cursor por integración hasta el updated_timestamp más reciente. Las detecciones se deduplican por ID de detección, por lo que las ventanas de sondeo superpuestas nunca crean alertas duplicadas.
3

Normalización

Cada detección se normaliza como una alerta de CaseBender — mapeando la severidad, construyendo el título/descripción, extrayendo observables y generando TTP MITRE.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que dicho servicio pueda alcanzar la URL base de su API de Falcon (directamente o a través de su proxy configurado).

Entrada (webhook / push)

Como alternativa al sondeo, Falcon (o un intermediario) puede enviar cargas de detección al endpoint de ingesta de CaseBender:
Las solicitudes se autentican con una API key de integración en el encabezado x-api-key. Las claves de webhook de Falcon llevan el prefijo cbr_crowdstrike_.

Salida: sincronización de disposiciones a Falcon

Cuando se cierra un caso, el evento case_closed se envía al manejador de CrowdStrike. Si el caso está vinculado a una detección de Falcon (el ID de detección se estampa en la alerta ingerida), el manejador actualiza el estado de la detección y añade un comentario de auditoría. El cierre saliente requiere el permiso Alerts: Write en el cliente de API.

Consideraciones de seguridad

  • Privilegio mínimo — otorgue Alerts: Read solo para entrada; añada Alerts: Write únicamente si activa el cierre saliente.
  • Manejo de secretos — el client secret se almacena en la configuración de la integración; rótelo según la política de su organización.
  • Caché de tokens — los tokens de acceso se cachean en memoria y se renuevan antes de expirar.
  • Red — restrinja la salida a la URL base de su API de Falcon.

Solución de problemas

Verifique el client ID, el secret y la URL base de la API (región). Confirme que el cliente de API está habilitado y tiene el permiso Alerts.
Confirme que Enable automatic polling está activado y que el cliente de API tiene el permiso Alerts: Read. Verifique que el sondeador puede alcanzar su URL base de Falcon. En la primera ejecución solo se importan detecciones dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución. Las detecciones las obtiene el procesador en segundo plano y las convierte en alertas (y opcionalmente casos) el worker en segundo plano. Con Docker, ejecute docker compose ps y confirme que los servicios worker y misp-processor están Up.
Asegúrese de que el cliente de API tiene el permiso Alerts: Write y de que el caso está vinculado a una detección de Falcon. Consulte la línea de tiempo del caso para ver el resultado de la sincronización.

Documentación relacionada