概要
CrowdStrike Falcon 統合(INT-008)は、Falcon の検知を CaseBender に取り込み、ケースがクローズ されたときに Falcon へディスポジションを返すことができます。インバウンド取り込み
Falcon の検知は、スケジュールに基づいて 自動的にプル(推奨)されるか、
Webhook で プッシュ され、その後、正規化されて観測対象と MITRE ATT&CK
テクニックで強化され、アラートに変換されます。
アウトバウンド同期
CaseBender でリンクされたケースがクローズされると、Falcon の検知のステータスが
監査コメント付きで更新されます。
この統合は Falcon Alerts API v2 を使用し、client-credentials フローで
OAuth2 API クライアント(client ID + secret)を用いて認証します。
機能
前提条件
1
Falcon API クライアント
Falcon コンソールで Support and resources → API clients and keys に移動し、API クライアント
を作成します。Alerts: Read スコープ(アウトバウンドクローズが必要な場合は Alerts: Write)
を付与します。Client ID と Secret をコピーします。
2
クラウドリージョンのベース URL
Falcon クラウドのベース URL(例:
https://api.crowdstrike.com、
https://api.us-2.crowdstrike.com、https://api.eu-1.crowdstrike.com)をメモします。3
ネットワーク送信
CaseBender のポーリングサービスが Falcon API のベース URL に到達できる必要があります。
CaseBender で統合を構成
1
統合カタログを開く
Settings → Integrations → Create に移動し、EDR/XDR カテゴリの CrowdStrike Falcon
を選択します。
2
Falcon API 認証情報を入力
3
自動ポーリングを有効にする(推奨)
Automatic polling カードで Enable automatic polling をオンにし、次を設定します。
4
ケースの自動作成を構成
インバウンド(自動ポーリング)
自動ポーリング を有効にすると、CaseBender のポーラーが定期的に Falcon の Alerts API を照会し、 新しい検知を自動的に取り込みます。1
スケジュール取得
各間隔で、CaseBender は Alerts API v2 を通じて前回のカーソル以降に更新された複合 ID を照会し、
完全な検知エンティティを取得します。初回実行時はカーソルがないため、
pollingInitialLookbackHours
以内の検知が取り込まれます。2
カーソル + 重複排除
CaseBender は統合ごとのカーソルを最新の
updated_timestamp まで進めます。検知は 検知 ID で
重複排除 されるため、ポーリングウィンドウが重なっても重複アラートは作成されません。3
正規化
各検知は CaseBender のアラートに正規化されます(深刻度のマッピング、タイトル/説明の生成、
観測対象の抽出、MITRE TTP の生成)。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。そのサービスが
Falcon API のベース URL に(直接または構成済みプロキシ経由で)到達できることを確認してください。
インバウンド(Webhook / プッシュ)
ポーリングの代替として、Falcon(または中継役)が検知ペイロードを CaseBender の取り込みエンドポイント にプッシュできます。x-api-key ヘッダー内の統合 API キー で認証されます。Falcon の Webhook API キーには
cbr_crowdstrike_ の接頭辞が付きます。
アウトバウンド: Falcon へのディスポジション同期
ケースがクローズされると、case_closed イベントが CrowdStrike ハンドラーへディスパッチされます。
ケースが Falcon の検知にリンクされている場合(検知 ID が取り込み済みアラートに刻まれています)、
ハンドラーは検知ステータスを更新し監査コメントを追加します。アウトバウンドクローズには API クライアント
の Alerts: Write スコープが必要です。
セキュリティ上の考慮事項
- 最小権限 — インバウンドのみの場合は Alerts: Read を付与し、アウトバウンドクローズを有効に する場合のみ Alerts: Write を追加します。
- シークレットの取り扱い — client secret は統合設定に保存されます。組織のポリシーに従ってローテー ションしてください。
- トークンキャッシュ — アクセストークンはメモリにキャッシュされ、有効期限前に更新されます。
- ネットワーク — 送信を Falcon API のベース URL に制限してください。
トラブルシューティング
接続テストが OAuth2 エラーで失敗する
接続テストが OAuth2 エラーで失敗する
client ID、secret、API ベース URL(リージョン)を確認してください。API クライアントが有効で
Alerts スコープを持っていることを確認します。
ポーリングは有効だが検知が表示されない
ポーリングは有効だが検知が表示されない
Enable automatic polling がオンで、API クライアントに Alerts: Read スコープがあることを確認
してください。ポーラーが Falcon のベース URL に到達できることを確認します。初回実行時は
pollingInitialLookbackHours 以内の検知のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください。 検知はバックグラウンド
プロセッサーが取得し、バックグラウンド worker がアラート(および任意でケース)に変換します。
Docker では docker compose ps を実行し、worker と misp-processor サービスが Up である
ことを確認してください。ケースのクローズが Falcon を更新しない
ケースのクローズが Falcon を更新しない
API クライアントに Alerts: Write スコープがあり、ケースが Falcon の検知にリンクされていることを
確認してください。同期結果はケースのタイムラインで確認できます。