Vai al contenuto principale

Panoramica

L’integrazione di CrowdStrike Falcon (INT-008) acquisisce le rilevazioni di Falcon in CaseBender e può restituire le disposizioni dei casi a Falcon quando un caso viene chiuso.

Acquisizione in entrata

Le rilevazioni di Falcon vengono acquisite — estratte automaticamente in modo pianificato (consigliato) o inviate tramite webhook — quindi normalizzate, arricchite con osservabili e tecniche MITRE ATT&CK e trasformate in avvisi.

Sincronizzazione in uscita

Quando un caso collegato viene chiuso in CaseBender, lo stato della rilevazione di Falcon viene aggiornato con un commento di audit.
Consigliato: abilita il polling automatico. CaseBender può estrarre nuove rilevazioni in modo pianificato utilizzando lo stesso client API di Falcon — non è richiesto alcun webhook o connettore SIEM. Vedi Polling automatico.
Questa integrazione utilizza l’Alerts API v2 di Falcon e si autentica con un client API OAuth2 (client ID + secret) tramite il flusso client-credentials.

Funzionalità

Prerequisiti

1

Client API di Falcon

Nella console di Falcon, vai su Support and resources → API clients and keys e crea un client API. Concedi l’ambito Alerts: Read (e Alerts: Write se desideri la chiusura in uscita). Copia il Client ID e il Secret.
2

URL di base della regione cloud

Annota l’URL di base del tuo cloud Falcon (es. https://api.crowdstrike.com, https://api.us-2.crowdstrike.com o https://api.eu-1.crowdstrike.com).
3

Uscita di rete

Il servizio di polling di CaseBender deve poter raggiungere l’URL di base dell’API di Falcon.

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli CrowdStrike Falcon nella categoria EDR/XDR.
2

Inserisci le credenziali dell'API di Falcon

3

Abilita il polling automatico (consigliato)

Nella scheda Automatic polling, attiva Enable automatic polling e configura:
4

Configura la creazione automatica dei casi

Entrata (polling automatico)

Con il polling automatico abilitato, il poller di CaseBender interroga periodicamente l’Alerts API di Falcon e acquisisce le nuove rilevazioni da solo.
1

Estrazione pianificata

A ogni intervallo, CaseBender interroga gli ID compositi aggiornati dall’ultimo cursore tramite l’Alerts API v2, quindi recupera le entità di rilevazione complete. Alla prima esecuzione non c’è cursore, quindi vengono importate le rilevazioni entro pollingInitialLookbackHours.
2

Cursore + deduplicazione

CaseBender avanza un cursore per integrazione fino all’updated_timestamp più recente. Le rilevazioni vengono deduplicate per ID rilevazione, quindi finestre di polling sovrapposte non creano mai duplicati.
3

Normalizzazione

Ogni rilevazione viene normalizzata in un avviso di CaseBender — mappando la gravità, costruendo titolo/descrizione, estraendo osservabili e generando TTP MITRE.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Assicurati che tale servizio possa raggiungere l’URL di base della tua API di Falcon (direttamente o tramite il tuo proxy configurato).

Entrata (webhook / push)

In alternativa al polling, Falcon (o un intermediario) può inviare payload di rilevazione all’endpoint di acquisizione di CaseBender:
Le richieste sono autenticate con una API key di integrazione nell’intestazione x-api-key. Le chiavi webhook di Falcon hanno il prefisso cbr_crowdstrike_.

Uscita: sincronizzazione delle disposizioni verso Falcon

Quando un caso viene chiuso, l’evento case_closed viene inviato al gestore di CrowdStrike. Se il caso è collegato a una rilevazione di Falcon (l’ID rilevazione è impresso sull’avviso acquisito), il gestore aggiorna lo stato della rilevazione e aggiunge un commento di audit. La chiusura in uscita richiede l’ambito Alerts: Write sul client API.

Considerazioni sulla sicurezza

  • Privilegio minimo — concedi Alerts: Read solo per l’entrata; aggiungi Alerts: Write solo se abiliti la chiusura in uscita.
  • Gestione dei segreti — il client secret è memorizzato nelle impostazioni dell’integrazione; ruotalo secondo la policy della tua organizzazione.
  • Cache dei token — i token di accesso sono memorizzati in cache in memoria e rinnovati prima della scadenza.
  • Rete — limita l’uscita all’URL di base della tua API di Falcon.

Risoluzione dei problemi

Verifica il client ID, il secret e l’URL di base dell’API (regione). Conferma che il client API sia abilitato e disponga dell’ambito Alerts.
Conferma che Enable automatic polling sia attivo e che il client API abbia l’ambito Alerts: Read. Verifica che il poller possa raggiungere l’URL di base di Falcon. Alla prima esecuzione vengono importate solo le rilevazioni entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione. Le rilevazioni vengono recuperate dal processore in background e trasformate in avvisi (ed eventualmente casi) dal worker in background. Con Docker, esegui docker compose ps e conferma che i servizi worker e misp-processor siano Up.
Assicurati che il client API abbia l’ambito Alerts: Write e che il caso sia collegato a una rilevazione di Falcon. Controlla la cronologia del caso per l’esito della sincronizzazione.

Documentazione correlata