CrowdStrike: Configuración de la Integración XOps

Usando un conector API, puede integrar datos de detecciones de CrowdStrike para generar historias para dispositivos de punto final. Las historias de punto final le ayudan a obtener una imagen más completa de amenazas potenciales en su red.

Una historia es creada en el CMA correlacionando las detecciones de CrowdStrike basadas en el ID de Incidente. Estas historias incluyen toda la evidencia relevante para la detección identificada por CrowdStrike. El Banco de Trabajo de Historias muestra las historias de punto final junto con otros tipos de historias, y puede ordenar y filtrar las historias para enfocarse en los incidentes de Endpoint.

Las historias de CrowdStrike se crean en casi tiempo real después de que se genera la alerta original. 

Para integrar datos de Detección de EndPoint de CrowdStrike con Cato XOps, necesita configurar los conectores API para CrowdStrike. Después de crear el conector, el motor de Detección de Endpoint recupera y analiza los datos de detección de CrowdStrike.

Para obtener más información sobre la revisión de historias XOps, incluidos los datos de CrowdStrike, consulte Profundizando y Analizando Historias de Seguridad XOps.

Para crear el conector entre Cato y su inquilino de CrowdStrike, necesita:

Paso 1: Crear el Cliente API en la Plataforma Falcon CrowdStrike

En la plataforma Falcon CrowdStrike, cree el Cliente API.

Para crear el Cliente API:

1. En su plataforma Falcon CrowdStrike, navegue a Soporte y recursos > Clientes y claves API.

   
2. Haga clic en Crear cliente API.

3. Agregue un Nombre del Cliente y Descripción, y acceso Leer para estos alcances:

   • Alertas
   • Incidentes
   • Threatgraph
4. Guarde el ID del Cliente, el Secreto y el URL base para que puedan ser agregados en el CMA.

Paso 2: Crear el Conector API en el CMA

Después de haber creado el cliente API, agregue los detalles en el CMA.

Para configurar el Conector CrowdStrike en el CMA:

1. Desde el menú de navegación, seleccione Recursos > Integraciones.
2. En la pestaña Aplicaciones Integradas, haga clic en Nuevo. El panel de Nueva Integración se abre.
3. Desde el menú desplegable Aplicación SaaS, seleccione CrowdStrike.
4. Ingrese un Nombre, Descripción (opcional), y el URL Base, ID de Aplicación, y Valor Secreto del Cliente del paso 1.
5. (Opcional) Elija rastrear errores en la integración creando un evento.
6. Haz clic en Guardar.

Entendiendo el Estado del Conector

La columna Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación CrowdStrike y su cuenta Cato. Estas son las explicaciones de los estados:

• Conectado - Su cuenta está conectada a la aplicación y funcionando correctamente
• Consentimiento del usuario pendiente - No se han otorgado permisos para permitir que Cato acceda a la aplicación CrowdStrike. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema está resuelto, si el Estado no cambia, elimine y recree el conector.
• Error - Hay un problema de conectividad, permisos, licencia u otro problema con el conector. Elimine y vuelva a crear el conector.