メインコンテンツへスキップ

概要

CrowdStrike Falcon 統合(INT-008)は、Falcon の検知を CaseBender に取り込み、ケースがクローズ されたときに Falcon へディスポジションを返すことができます。

インバウンド取り込み

Falcon の検知は、スケジュールに基づいて 自動的にプル(推奨)されるか、 Webhook で プッシュ され、その後、正規化されて観測対象と MITRE ATT&CK テクニックで強化され、アラートに変換されます。

アウトバウンド同期

CaseBender でリンクされたケースがクローズされると、Falcon の検知のステータスが 監査コメント付きで更新されます。
推奨: 自動ポーリングを有効にしてください。 CaseBender は同じ Falcon API クライアントを使用してスケジュールに基づき新しい検知をプルできます。Webhook や SIEM コネクタは不要です。自動ポーリング を参照してください。
この統合は Falcon Alerts API v2 を使用し、client-credentials フローで OAuth2 API クライアント(client ID + secret)を用いて認証します。

機能

前提条件

1

Falcon API クライアント

Falcon コンソールで Support and resources → API clients and keys に移動し、API クライアント を作成します。Alerts: Read スコープ(アウトバウンドクローズが必要な場合は Alerts: Write) を付与します。Client IDSecret をコピーします。
2

クラウドリージョンのベース URL

Falcon クラウドのベース URL(例: https://api.crowdstrike.comhttps://api.us-2.crowdstrike.comhttps://api.eu-1.crowdstrike.com)をメモします。
3

ネットワーク送信

CaseBender のポーリングサービスが Falcon API のベース URL に到達できる必要があります。

CaseBender で統合を構成

1

統合カタログを開く

Settings → Integrations → Create に移動し、EDR/XDR カテゴリの CrowdStrike Falcon を選択します。
2

Falcon API 認証情報を入力

3

自動ポーリングを有効にする(推奨)

Automatic polling カードで Enable automatic polling をオンにし、次を設定します。
4

ケースの自動作成を構成

インバウンド(自動ポーリング)

自動ポーリング を有効にすると、CaseBender のポーラーが定期的に Falcon の Alerts API を照会し、 新しい検知を自動的に取り込みます。
1

スケジュール取得

各間隔で、CaseBender は Alerts API v2 を通じて前回のカーソル以降に更新された複合 ID を照会し、 完全な検知エンティティを取得します。初回実行時はカーソルがないため、pollingInitialLookbackHours 以内の検知が取り込まれます。
2

カーソル + 重複排除

CaseBender は統合ごとのカーソルを最新の updated_timestamp まで進めます。検知は 検知 ID で 重複排除 されるため、ポーリングウィンドウが重なっても重複アラートは作成されません。
3

正規化

各検知は CaseBender のアラートに正規化されます(深刻度のマッピング、タイトル/説明の生成、 観測対象の抽出、MITRE TTP の生成)。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。そのサービスが Falcon API のベース URL に(直接または構成済みプロキシ経由で)到達できることを確認してください。

インバウンド(Webhook / プッシュ)

ポーリングの代替として、Falcon(または中継役)が検知ペイロードを CaseBender の取り込みエンドポイント にプッシュできます。
リクエストは x-api-key ヘッダー内の統合 API キー で認証されます。Falcon の Webhook API キーには cbr_crowdstrike_ の接頭辞が付きます。

アウトバウンド: Falcon へのディスポジション同期

ケースがクローズされると、case_closed イベントが CrowdStrike ハンドラーへディスパッチされます。 ケースが Falcon の検知にリンクされている場合(検知 ID が取り込み済みアラートに刻まれています)、 ハンドラーは検知ステータスを更新し監査コメントを追加します。アウトバウンドクローズには API クライアント の Alerts: Write スコープが必要です。

セキュリティ上の考慮事項

  • 最小権限 — インバウンドのみの場合は Alerts: Read を付与し、アウトバウンドクローズを有効に する場合のみ Alerts: Write を追加します。
  • シークレットの取り扱い — client secret は統合設定に保存されます。組織のポリシーに従ってローテー ションしてください。
  • トークンキャッシュ — アクセストークンはメモリにキャッシュされ、有効期限前に更新されます。
  • ネットワーク — 送信を Falcon API のベース URL に制限してください。

トラブルシューティング

client ID、secret、API ベース URL(リージョン)を確認してください。API クライアントが有効で Alerts スコープを持っていることを確認します。
Enable automatic polling がオンで、API クライアントに Alerts: Read スコープがあることを確認 してください。ポーラーが Falcon のベース URL に到達できることを確認します。初回実行時は pollingInitialLookbackHours 以内の検知のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください。 検知はバックグラウンド プロセッサーが取得し、バックグラウンド worker がアラート(および任意でケース)に変換します。 Docker では docker compose ps を実行し、workermisp-processor サービスが Up である ことを確認してください。
API クライアントに Alerts: Write スコープがあり、ケースが Falcon の検知にリンクされていることを 確認してください。同期結果はケースのタイムラインで確認できます。

関連ドキュメント