Visão geral
A integração do CrowdStrike Falcon (INT-008) ingere as detecções do Falcon no CaseBender e pode devolver as disposições dos casos ao Falcon quando um caso é fechado.Ingestão de entrada
As detecções do Falcon são ingeridas — extraídas automaticamente de forma
agendada (recomendado) ou enviadas por webhook — e então normalizadas,
enriquecidas com observáveis e técnicas MITRE ATT&CK, e convertidas em alertas.
Sincronização de saída
Quando um caso vinculado é fechado no CaseBender, o status da detecção do Falcon
é atualizado com um comentário de auditoria.
Esta integração usa a Alerts API v2 do Falcon e autentica com um cliente
de API OAuth2 (client ID + secret) via fluxo client-credentials.
Recursos
Pré-requisitos
1
Cliente de API do Falcon
No console do Falcon, vá em Support and resources → API clients and keys e crie um cliente
de API. Conceda o escopo Alerts: Read (e Alerts: Write se quiser o fechamento de
saída). Copie o Client ID e o Secret.
2
URL base da região de nuvem
Anote a URL base da sua nuvem Falcon (ex.:
https://api.crowdstrike.com,
https://api.us-2.crowdstrike.com ou https://api.eu-1.crowdstrike.com).3
Saída de rede
O serviço de sondagem do CaseBender deve conseguir alcançar a URL base da API do Falcon.
Configurar a integração no CaseBender
1
Abrir o catálogo de integrações
Vá em Settings → Integrations → Create e escolha CrowdStrike Falcon na categoria
EDR/XDR.
2
Inserir as credenciais da API do Falcon
3
Ativar a sondagem automática (recomendado)
No cartão Automatic polling, ative Enable automatic polling e configure:
4
Configurar a criação automática de casos
Entrada (sondagem automática)
Com a sondagem automática ativada, o sondador do CaseBender consulta periodicamente a Alerts API do Falcon e ingere novas detecções por conta própria.1
Extração agendada
A cada intervalo, o CaseBender consulta os IDs compostos atualizados desde o último cursor via
Alerts API v2 e então busca as entidades de detecção completas. Na primeira execução não há
cursor, então as detecções dentro de
pollingInitialLookbackHours são importadas.2
Cursor + deduplicação
O CaseBender avança um cursor por integração até o
updated_timestamp mais recente. As
detecções são deduplicadas por ID de detecção, de modo que janelas de sondagem sobrepostas
nunca criam alertas duplicados.3
Normalização
Cada detecção é normalizada em um alerta do CaseBender — mapeando a severidade, construindo o
título/descrição, extraindo observáveis e gerando TTPs MITRE.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que
esse serviço consiga alcançar a URL base da sua API do Falcon (diretamente ou através do seu proxy
configurado).
Entrada (webhook / push)
Como alternativa à sondagem, o Falcon (ou um intermediário) pode enviar payloads de detecção ao endpoint de ingestão do CaseBender:x-api-key. As
chaves de webhook do Falcon têm o prefixo cbr_crowdstrike_.
Saída: sincronização de disposições para o Falcon
Quando um caso é fechado, o eventocase_closed é despachado para o manipulador do CrowdStrike. Se
o caso estiver vinculado a uma detecção do Falcon (o ID de detecção é carimbado no alerta ingerido),
o manipulador atualiza o status da detecção e adiciona um comentário de auditoria. O fechamento de
saída requer o escopo Alerts: Write no cliente de API.
Considerações de segurança
- Privilégio mínimo — conceda Alerts: Read apenas para entrada; adicione Alerts: Write somente se ativar o fechamento de saída.
- Manejo de segredos — o client secret é armazenado nas configurações da integração; faça a rotação conforme a política da sua organização.
- Cache de tokens — os tokens de acesso são armazenados em cache na memória e renovados antes de expirar.
- Rede — restrinja a saída à URL base da sua API do Falcon.
Solução de problemas
O teste de conexão falha com um erro OAuth2
O teste de conexão falha com um erro OAuth2
Verifique o client ID, o secret e a URL base da API (região). Confirme que o cliente de API
está habilitado e possui o escopo Alerts.
A sondagem está ativada, mas nenhuma detecção aparece
A sondagem está ativada, mas nenhuma detecção aparece
Confirme que Enable automatic polling está ativado e que o cliente de API tem o escopo
Alerts: Read. Verifique se o sondador consegue alcançar sua URL base do Falcon. Na primeira
execução, apenas as detecções dentro de
pollingInitialLookbackHours são importadas.Certifique-se de que todos os serviços do CaseBender estejam em execução. As detecções são
buscadas pelo processador em segundo plano e convertidas em alertas (e opcionalmente casos) pelo
worker em segundo plano. Com o Docker, execute docker compose ps e confirme que os
serviços worker e misp-processor estão Up.O fechamento do caso não atualiza o Falcon
O fechamento do caso não atualiza o Falcon
Certifique-se de que o cliente de API tem o escopo Alerts: Write e que o caso está vinculado a
uma detecção do Falcon. Consulte a linha do tempo do caso para o resultado da sincronização.