Pular para o conteúdo principal

Visão geral

A integração do CrowdStrike Falcon (INT-008) ingere as detecções do Falcon no CaseBender e pode devolver as disposições dos casos ao Falcon quando um caso é fechado.

Ingestão de entrada

As detecções do Falcon são ingeridas — extraídas automaticamente de forma agendada (recomendado) ou enviadas por webhook — e então normalizadas, enriquecidas com observáveis e técnicas MITRE ATT&CK, e convertidas em alertas.

Sincronização de saída

Quando um caso vinculado é fechado no CaseBender, o status da detecção do Falcon é atualizado com um comentário de auditoria.
Recomendado: ative a sondagem automática. O CaseBender pode extrair novas detecções de forma agendada usando o mesmo cliente de API do Falcon — nenhum webhook ou conector SIEM é necessário. Consulte Sondagem automática.
Esta integração usa a Alerts API v2 do Falcon e autentica com um cliente de API OAuth2 (client ID + secret) via fluxo client-credentials.

Recursos

Pré-requisitos

1

Cliente de API do Falcon

No console do Falcon, vá em Support and resources → API clients and keys e crie um cliente de API. Conceda o escopo Alerts: Read (e Alerts: Write se quiser o fechamento de saída). Copie o Client ID e o Secret.
2

URL base da região de nuvem

Anote a URL base da sua nuvem Falcon (ex.: https://api.crowdstrike.com, https://api.us-2.crowdstrike.com ou https://api.eu-1.crowdstrike.com).
3

Saída de rede

O serviço de sondagem do CaseBender deve conseguir alcançar a URL base da API do Falcon.

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha CrowdStrike Falcon na categoria EDR/XDR.
2

Inserir as credenciais da API do Falcon

3

Ativar a sondagem automática (recomendado)

No cartão Automatic polling, ative Enable automatic polling e configure:
4

Configurar a criação automática de casos

Entrada (sondagem automática)

Com a sondagem automática ativada, o sondador do CaseBender consulta periodicamente a Alerts API do Falcon e ingere novas detecções por conta própria.
1

Extração agendada

A cada intervalo, o CaseBender consulta os IDs compostos atualizados desde o último cursor via Alerts API v2 e então busca as entidades de detecção completas. Na primeira execução não há cursor, então as detecções dentro de pollingInitialLookbackHours são importadas.
2

Cursor + deduplicação

O CaseBender avança um cursor por integração até o updated_timestamp mais recente. As detecções são deduplicadas por ID de detecção, de modo que janelas de sondagem sobrepostas nunca criam alertas duplicados.
3

Normalização

Cada detecção é normalizada em um alerta do CaseBender — mapeando a severidade, construindo o título/descrição, extraindo observáveis e gerando TTPs MITRE.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que esse serviço consiga alcançar a URL base da sua API do Falcon (diretamente ou através do seu proxy configurado).

Entrada (webhook / push)

Como alternativa à sondagem, o Falcon (ou um intermediário) pode enviar payloads de detecção ao endpoint de ingestão do CaseBender:
As requisições são autenticadas com uma API key de integração no cabeçalho x-api-key. As chaves de webhook do Falcon têm o prefixo cbr_crowdstrike_.

Saída: sincronização de disposições para o Falcon

Quando um caso é fechado, o evento case_closed é despachado para o manipulador do CrowdStrike. Se o caso estiver vinculado a uma detecção do Falcon (o ID de detecção é carimbado no alerta ingerido), o manipulador atualiza o status da detecção e adiciona um comentário de auditoria. O fechamento de saída requer o escopo Alerts: Write no cliente de API.

Considerações de segurança

  • Privilégio mínimo — conceda Alerts: Read apenas para entrada; adicione Alerts: Write somente se ativar o fechamento de saída.
  • Manejo de segredos — o client secret é armazenado nas configurações da integração; faça a rotação conforme a política da sua organização.
  • Cache de tokens — os tokens de acesso são armazenados em cache na memória e renovados antes de expirar.
  • Rede — restrinja a saída à URL base da sua API do Falcon.

Solução de problemas

Verifique o client ID, o secret e a URL base da API (região). Confirme que o cliente de API está habilitado e possui o escopo Alerts.
Confirme que Enable automatic polling está ativado e que o cliente de API tem o escopo Alerts: Read. Verifique se o sondador consegue alcançar sua URL base do Falcon. Na primeira execução, apenas as detecções dentro de pollingInitialLookbackHours são importadas.Certifique-se de que todos os serviços do CaseBender estejam em execução. As detecções são buscadas pelo processador em segundo plano e convertidas em alertas (e opcionalmente casos) pelo worker em segundo plano. Com o Docker, execute docker compose ps e confirme que os serviços worker e misp-processor estão Up.
Certifique-se de que o cliente de API tem o escopo Alerts: Write e que o caso está vinculado a uma detecção do Falcon. Consulte a linha do tempo do caso para o resultado da sincronização.

Documentação relacionada