> ## Documentation Index
> Fetch the complete documentation index at: https://docs.casebender.com/llms.txt
> Use this file to discover all available pages before exploring further.

# CrowdStrike Falcon

> Integración bidireccional entre CaseBender y CrowdStrike Falcon para la ingesta de detecciones (pull o push) y la sincronización de disposiciones.

## Descripción general

La integración de CrowdStrike Falcon (**INT-008**) ingiere las detecciones de Falcon en
CaseBender y puede devolver las disposiciones de los casos a Falcon cuando se cierra un caso.

<CardGroup cols={2}>
  <Card title="Ingesta entrante" icon="arrow-right-to-bracket">
    Las detecciones de Falcon se ingieren — ya sea **extraídas automáticamente**
    de forma programada (recomendado) o **enviadas** por webhook — y luego se
    normalizan, se enriquecen con observables y técnicas MITRE ATT\&CK, y se
    convierten en alertas.
  </Card>

  <Card title="Sincronización saliente" icon="arrow-right-from-bracket">
    Cuando se cierra un caso vinculado en CaseBender, el estado de la detección de
    Falcon se actualiza con un comentario de auditoría.
  </Card>
</CardGroup>

<Tip>
  **Recomendado: active el sondeo automático.** CaseBender puede extraer nuevas
  detecciones de forma programada usando el mismo cliente de API de Falcon — no
  se requiere webhook ni conector SIEM. Véase
  [Sondeo automático](#entrada-sondeo-automatico-recomendado).
</Tip>

<Note>
  Esta integración usa la **Alerts API v2 de Falcon** y se autentica con un
  **cliente de API OAuth2** (client ID + secret) mediante el flujo de
  credenciales de cliente.
</Note>

## Capacidades

| Capacidad                        | Dirección     | Descripción                                                                                                                     |
| -------------------------------- | ------------- | ------------------------------------------------------------------------------------------------------------------------------- |
| **Sondeo de detecciones (pull)** | Entrante      | CaseBender consulta la Alerts API de forma programada e ingiere nuevas detecciones automáticamente, sin configuración en Falcon |
| Ingesta de detecciones (push)    | Entrante      | Las detecciones de Falcon se envían por webhook y se normalizan como alertas                                                    |
| Extracción de observables        | Entrante      | Se extraen IP, hashes de archivos, nombres de archivos, hosts y usuarios                                                        |
| Correlación MITRE ATT\&CK        | Entrante      | Los ID de técnica/táctica se añaden como etiquetas y TTP                                                                        |
| Sincronización de disposiciones  | Saliente      | El estado de la detección + comentario se envían al cerrar el caso                                                              |
| Prueba de conexión               | Bidireccional | Valida las credenciales OAuth2 y el acceso a la API                                                                             |

## Requisitos previos

<Steps>
  <Step title="Cliente de API de Falcon">
    En la consola de Falcon, vaya a **Support and resources → API clients and keys** y cree un
    cliente de API. Otorgue el permiso **Alerts: Read** (y **Alerts: Write** si desea el cierre
    saliente). Copie el **Client ID** y el **Secret**.
  </Step>

  <Step title="URL base de la región en la nube">
    Anote la URL base de su nube de Falcon (p. ej. `https://api.crowdstrike.com`,
    `https://api.us-2.crowdstrike.com` o `https://api.eu-1.crowdstrike.com`).
  </Step>

  <Step title="Salida de red">
    El servicio de sondeo de CaseBender debe poder alcanzar la URL base de la API de Falcon.
  </Step>
</Steps>

## Configurar la integración en CaseBender

<Steps>
  <Step title="Abrir el catálogo de integraciones">
    Vaya a **Settings → Integrations → Create** y elija **CrowdStrike Falcon** en la categoría
    **EDR/XDR**.
  </Step>

  <Step title="Introducir las credenciales de la API de Falcon">
    | Campo                    | Descripción                                                               |
    | ------------------------ | ------------------------------------------------------------------------- |
    | API URL                  | URL base de la nube de Falcon (por defecto `https://api.crowdstrike.com`) |
    | Falcon API Client ID     | El client ID de OAuth2                                                    |
    | Falcon API Client Secret | El client secret de OAuth2                                                |
  </Step>

  <Step title="Activar el sondeo automático (recomendado)">
    En la tarjeta **Automatic polling**, active **Enable automatic polling** y configure:

    | Opción                        | Efecto                                                                                                           |
    | ----------------------------- | ---------------------------------------------------------------------------------------------------------------- |
    | `pollingEnabled`              | Activa la extracción programada de detecciones de Falcon                                                         |
    | `pollingIntervalMinutes`      | Frecuencia de sondeo (por defecto `5`, rango 1–1440)                                                             |
    | `pollingInitialLookbackHours` | En la primera ejecución, importa detecciones actualizadas dentro de esta ventana (por defecto `24`, rango 1–168) |
    | `pollMaxItemsPerRun`          | Límite de seguridad de elementos por ejecución (por defecto `500`)                                               |
  </Step>

  <Step title="Configurar la creación automática de casos">
    | Opción               | Efecto                                                                                                                                                     |
    | -------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- |
    | `autoCreateCases`    | Promueve cada detección ingerida a un **Caso** (deduplicado por ID de detección). Si está desactivado, las detecciones permanecen en la bandeja de alertas |
    | `minSeverityForCase` | Solo crea casos automáticamente a partir de esta severidad                                                                                                 |
  </Step>
</Steps>

## Entrada (sondeo automático, recomendado)

Con el **sondeo automático** activado, el sondeador de CaseBender consulta periódicamente la
Alerts API de Falcon e ingiere nuevas detecciones por sí solo.

<Steps>
  <Step title="Extracción programada">
    En cada intervalo, CaseBender consulta los ID compuestos actualizados desde el último cursor
    en la Alerts API v2 y luego obtiene las entidades completas de detección. En la primera
    ejecución no hay cursor, por lo que se importan las detecciones dentro de
    `pollingInitialLookbackHours`.
  </Step>

  <Step title="Cursor + deduplicación">
    CaseBender avanza un cursor por integración hasta el `updated_timestamp` más reciente. Las
    detecciones se **deduplican por ID de detección**, por lo que las ventanas de sondeo
    superpuestas nunca crean alertas duplicadas.
  </Step>

  <Step title="Normalización">
    Cada detección se normaliza como una alerta de CaseBender — mapeando la severidad,
    construyendo el título/descripción, extrayendo observables y generando TTP MITRE.
  </Step>
</Steps>

<Info>
  El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que
  dicho servicio pueda alcanzar la URL base de su API de Falcon (directamente o a través de su
  proxy configurado).
</Info>

## Entrada (webhook / push)

Como alternativa al sondeo, Falcon (o un intermediario) puede enviar cargas de detección al
endpoint de ingesta de CaseBender:

```
POST https://<your-casebender-domain>/api/v1/ingest/crowdstrike
```

Las solicitudes se autentican con una **API key** de integración en el encabezado `x-api-key`.
Las claves de webhook de Falcon llevan el prefijo `cbr_crowdstrike_`.

## Salida: sincronización de disposiciones a Falcon

Cuando se cierra un caso, el evento `case_closed` se envía al manejador de CrowdStrike. Si el
caso está vinculado a una detección de Falcon (el ID de detección se estampa en la alerta
ingerida), el manejador actualiza el estado de la detección y añade un comentario de auditoría.
El cierre saliente requiere el permiso **Alerts: Write** en el cliente de API.

## Consideraciones de seguridad

* **Privilegio mínimo** — otorgue **Alerts: Read** solo para entrada; añada **Alerts: Write**
  únicamente si activa el cierre saliente.
* **Manejo de secretos** — el client secret se almacena en la configuración de la integración;
  rótelo según la política de su organización.
* **Caché de tokens** — los tokens de acceso se cachean en memoria y se renuevan antes de expirar.
* **Red** — restrinja la salida a la URL base de su API de Falcon.

## Solución de problemas

<AccordionGroup>
  <Accordion title="La prueba de conexión falla con un error OAuth2">
    Verifique el client ID, el secret y la URL base de la API (región). Confirme que el cliente
    de API está habilitado y tiene el permiso Alerts.
  </Accordion>

  <Accordion title="El sondeo está activado pero no aparecen detecciones">
    Confirme que **Enable automatic polling** está activado y que el cliente de API tiene el
    permiso Alerts: Read. Verifique que el sondeador puede alcanzar su URL base de Falcon. En la
    primera ejecución solo se importan detecciones dentro de `pollingInitialLookbackHours`.

    **Asegúrese de que todos los servicios de CaseBender estén en ejecución.** Las detecciones
    las obtiene el procesador en segundo plano y las convierte en alertas (y opcionalmente
    casos) el **worker** en segundo plano. Con Docker, ejecute `docker compose ps` y confirme que
    los servicios `worker` y `misp-processor` están `Up`.
  </Accordion>

  <Accordion title="El cierre del caso no actualiza Falcon">
    Asegúrese de que el cliente de API tiene el permiso Alerts: Write y de que el caso está
    vinculado a una detección de Falcon. Consulte la línea de tiempo del caso para ver el
    resultado de la sincronización.
  </Accordion>
</AccordionGroup>

## Documentación relacionada

* [Descripción general de integraciones](./introduction.mdx)
* [Documentación de la API de CrowdStrike Falcon](https://falcon.crowdstrike.com/documentation/)
