Conexión a un origen de datos CrowdStrike Falcon

Editar en línea

Conecte el origen de datos de CrowdStrike Falcon a la plataforma para permitir que las aplicaciones y los paneles de control recopilen y analicen datos de seguridad de CrowdStrike Falcon . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Antes de empezar

Colabore con una administración de CrowdStrike Falcon para recibir registros de los hosts de Falcon .
  1. Cree un usuario con el rol de administrador de Falcon .
    1. Inicie sesión en la consola de Falcon.
    2. Pulse Usuarios de Falcon > Gestión de usuarios.
    3. Pulse + para añadir un usuario.
    4. Especifique la dirección de correo electrónico, el nombre y el apellido del usuario.
    5. Seleccione el rol Administrador de Falcon.
    6. Pulse ADD USER.
  2. Configure el cliente de API de CrowdStrike para un acceso seguro a la API de CrowdStrike .
    1. Inicie sesión en la consola de Falcon.
    2. Pulse Soporte > Claves y clientes de API.
    3. Haga clic en + Añadir nuevo cliente de API.
    4. Especifique un nombre de cliente y una descripción.
    5. En la sección ÁMBITOS DE API, seleccione Leer junto a Detecciones.
    6. Haga clic en Agregar.
    7. Copie los valores de URL base, ID de cliente y Secreto. No copie la parte https:// del URL base. Necesita el valor de URL base en el paso 6 y los valores de ID de cliente y secreto en el paso 8.

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Configuración de Edge Gateway.

Acerca de esta tarea

CrowdStrike Falcon es una plataforma unificada de seguridad y protección de puntos finales. Utilice el conector para recuperar registros de detección y comportamiento de CrowdStrike Falcon.

Las conexiones de origen de datos para la API de supervisión de detecciones están soportadas.

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector de CrowdStrike Falcon utiliza el patrón STIX para consultar datos de CrowdStrike Falcon y devuelve los resultados como objetos STIX . Para obtener más información sobre cómo se correlaciona el esquema de datos de CrowdStrike Falcon con STIX, consulte Correlación deCrowdStrike Falcon STIX (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/crowdstrike_supported_stix.md).

Procedimiento

  1. Vaya a Menú > Connections > Orígenes de datos.
  2. En la pestaña Orígenes de datos , pulse Conectar un origen de datos.
  3. Pulse CrowdStrike Falcony, a continuación, pulse Siguiente.
  4. Configure la conexión con el origen de datos.
    1. En el campo Nombre de origen de datos , asigne un nombre para identificar de forma exclusiva la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, de modo que es buena idea distinguirlas por su nombre. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    2. En el campo Descripción de origen de datos , escriba una descripción para indicar la finalidad de la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Pasarela de Edge (opcional) , especifique qué Edge Gateway desea utilizar.
      Seleccione un Edge Gateway para alojar el conector. El estado de las conexiones de origen de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
    4. En el campo Dirección IP de gestión o nombre de host , especifique el URL base de la API de CrowdStrike que ha copiado en la sección Antes de empezar. Asegúrese de que no incluye https:// en el URL base.
    5. En el campo Puerto de host , establezca el número de puerto asociado con el URL base. El valor predeterminado es 443.
  5. Configure los parámetros de consulta que controlan el comportamiento de la consulta de búsqueda en el origen de datos.
    1. En el campo Límite de búsqueda simultánea , establezca el número de conexiones simultáneas que se pueden realizar con el origen de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
    2. En el campo Límite de tiempo de espera de búsqueda de consulta , establezca el límite de tiempo en minutos para el tiempo durante el que se ejecuta la consulta en el origen de datos. El límite de tiempo predeterminado es 30. Si el valor se establece en cero, no hay tiempo de espera. El valor no debe ser inferior a 1 ni superior a 120.
    3. En el campo Límite de tamaño de resultado , establezca el número máximo de entradas u objetos devueltos por la consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser menor que 1 y no debe ser mayor que 500.000.
    4. En el campo Rango de tiempo de consulta , establezca el rango de tiempo en minutos para la búsqueda, representado como la última X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
    Importante: Si aumenta el límite de búsqueda simultánea y el límite de tamaño de resultado, se puede enviar una mayor cantidad de datos al origen de datos, lo que aumenta la tensión en el origen de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
  6. Opcional: Si necesita personalizar la correlación de atributos STIX, pulse Personalizar correlación de atributos y edite el blob JSON para correlacionar las propiedades nuevas o existentes con sus campos de origen de datos de destino asociados.
  7. Configure la identidad y el acceso.
    1. Pulse Añadir una configuración.
    2. En el campo Nombre de configuración , especifique un nombre exclusivo para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. En el campo Descripción de configuración , especifique una descripción exclusiva para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    4. Pulse Editar acceso y elija qué usuarios pueden conectarse al origen de datos y el tipo de acceso.
    5. En el campo ID de cliente , especifique el ID de cliente que ha copiado en la sección Antes de empezar.
    6. En el campo Secreto de cliente , especifique el secreto de cliente que ha especificado en la sección Antes de empezar.
    7. Pulse Añadir.
    8. Para guardar la configuración y establecer la conexión, pulse Terminado.
    Verá la configuración de conexión de origen de datos que ha añadido bajo Conexiones en la página Valores de origen de datos. Un mensaje en la tarjeta indica conexión con el origen de datos.
    Cuando añade un origen de datos, puede tardar unos minutos antes de que el origen de datos se muestre como conectado.
    Sugerencia: Después de conectar un origen de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

    Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

  8. Para editar las configuraciones, realice los pasos siguientes:
    1. En el separador Orígenes de datos , seleccione la conexión de origen de datos que desea editar.
    2. En la sección Configuraciones , pulse Editar configuración (Icono Editar configuración).
    3. Edite los parámetros de identidad y acceso y pulse Guardar.

Qué hacer a continuación

Pruebe la conexión ejecutando una consulta con IBM Security Data Explorer. Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.