Integrar CrowdStrike Falcon con Google SecOps
En este documento se explica cómo integrar CrowdStrike Falcon con Google Security Operations (Google SecOps).
Versión de integración: 56.0
Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el segmento de Cloud Storage.
Casos prácticos
En la plataforma Google SecOps, la integración de CrowdStrike Falcon resuelve los siguientes casos prácticos:
Contención de malware automatizada: usa las funciones de la plataforma Google SecOps para poner en cuarentena automáticamente el endpoint afectado, obtener el hash del archivo para analizarlo en mayor profundidad y evitar la propagación del malware. La contención automática de malware se activa cuando un correo de phishing activa una alerta de CrowdStrike Falcon por la descarga de un archivo sospechoso.
Respuesta a incidentes más rápida: usa Google SecOps para recoger datos contextuales, como árboles de procesos y conexiones de red, aislar el host vulnerado y crear un ticket para investigar el problema.
Búsqueda e investigación de amenazas: usa las funciones de la plataforma Google SecOps para consultar CrowdStrike Falcon sobre acciones de usuarios específicas, modificaciones de archivos y conexiones de red durante un periodo definido. La búsqueda e investigación de amenazas permite a tus analistas de seguridad investigar una posible amenaza interna y analizar la actividad histórica de un endpoint, al tiempo que agiliza el proceso de investigación.
Respuesta y corrección de phishing: usa CrowdStrike Falcon y la plataforma Google SecOps para analizar los archivos adjuntos de los correos, abrirlos en un entorno aislado y bloquear automáticamente la dirección de correo del remitente si se detecta actividad maliciosa.
Gestión de vulnerabilidades: usa las funciones de la plataforma Google SecOps para crear automáticamente incidencias por cada sistema vulnerable, priorizarlas en función de la gravedad y el valor de los recursos, y activar flujos de trabajo de aplicación de parches automatizados. La gestión de vulnerabilidades te ayuda a identificar una vulnerabilidad crítica en varios endpoints.
Antes de empezar
Antes de configurar la integración en Google SecOps, completa los siguientes pasos:
Configura el cliente de la API CrowdStrike Falcon.
Configura los permisos de acción.
Configura los permisos del conector.
Configurar el cliente de la API CrowdStrike Falcon
Para definir un cliente de la API de CrowdStrike y ver, crear o modificar clientes o claves de la API, debes tener el rol FalconAdministrator.
Los secretos solo se muestran cuando creas un cliente de API o lo restableces.
Para configurar el cliente de la API CrowdStrike Falcon, sigue estos pasos:
- En la interfaz de usuario de Falcon, vaya a Asistencia y recursos > Recursos y herramientas > Clientes y claves de API. En esta página, puede encontrar clientes, añadir clientes de API o ver el registro de auditoría.
- Haz clic en Crear cliente de API.
- Proporciona un nombre para tu nuevo cliente de API.
- Selecciona los permisos de la API adecuados.
Haz clic en Crear. Aparecerán los valores ID de cliente y Secreto de cliente.
Esta es la única vez que verás el valor del secreto de cliente. Asegúrate de almacenarla de forma segura. Si pierdes tu secreto de cliente, restablece tu cliente de API y actualiza todas las aplicaciones que dependan del secreto de cliente con las nuevas credenciales.
Para obtener más información sobre el acceso a la API de CrowdStrike, consulta la guía Getting Access to the CrowdStrike API del blog de CrowdStrike.
Configurar permisos de acción
Consulta los permisos mínimos para las acciones, tal como se indica en la siguiente tabla:
| Acción | Permisos obligatorios |
|---|---|
| Añadir comentario a la detección | Detections.ReadDetection.Write |
| Add Identity Protection Detection Comment | Alerts.ReadAlerts.Write |
| Add Incident Comment | Incidents.Write |
| Cerrar detección | Detections.ReadDetection.Write |
| Contener endpoint | Hosts.ReadHosts.Write |
| Eliminar IOC | IOC Management.ReadIOC Management.Write |
| Descargar archivo | Hosts.ReadReal time response.ReadReal time response.Write |
| Ejecutar comando | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* para los comandos con todos los privilegios.
|
| Obtener desplazamiento de evento | Event streams.Read |
| Obtener hosts por IOC | No disponible: obsoleto |
| Obtener información del host | Hosts.Read |
| Obtener el nombre del proceso por IOC | No disponible: obsoleto |
| Lift Contained Endpoint | Hosts.ReadHosts.Write |
| Mostrar hosts | Hosts.Read |
| Mostrar vulnerabilidades de hosts | Hosts.ReadSpotlight vulnerabilities.Read |
| Listar IOCs subidos | IOC Management.Read |
| Análisis bajo demanda | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Enviar archivo | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Enviar URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Update Detection | Detections.ReadDetection.WriteUser management.Read |
| Actualizar la detección de Identity Protection | Alerts.ReadAlerts.Write |
| Actualizar incidente | Incidents.Write |
| Actualizar la información de los IOCs | IOC Management.ReadIOC Management.Write |
| Subir IOCs | IOC Management.ReadIOC Management.Write |
Configurar permisos de conector
Consulta los permisos mínimos de los conectores, que se indican en la siguiente tabla:
| Conector | Permisos obligatorios |
|---|---|
| Conector de detecciones de CrowdStrike | Detection.Read |
| Conector de eventos de streaming de CrowdStrike Falcon | Event streams.Read |
| Conector de detecciones de protección de identidades de CrowdStrike | Alerts.Read |
| Conector de incidentes de CrowdStrike | Incidents.Read |
Endpoints
La integración de CrowdStrike Falcon interactúa con los siguientes endpoints de la API de CrowdStrike Falcon:
Endpoints generales de la API:
/oauth2/token
Hosts y dispositivos:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Detecciones y eventos:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicadores de compromiso (IoCs):
/intel/entities/indicators/v1/intel/queries/devices/v1
Vulnerabilidades:
/devices/combined/devices/vulnerabilities/v1
Respuesta y contención:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidentes:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Análisis de archivos y URLs:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parámetros de integración
Para que la integración funcione correctamente, se necesita una versión premium de CrowdStrike Falcon con todas las funciones. Algunas acciones no funcionan con una versión básica de CrowdStrike Falcon.
La integración de CrowdStrike Falcon requiere los siguientes parámetros:
| Parámetros | |
|---|---|
API Root |
Una raíz de API de la instancia de CrowdStrike. El valor predeterminado es |
Client API ID |
Obligatorio El ID de cliente de la API de CrowdStrike. |
Client API Secret |
Obligatorio Secreto de cliente de la API de CrowdStrike. |
Verify SSL |
Si se selecciona esta opción, la integración verifica si el certificado SSL para conectarse al servidor de CrowdStrike Falcon es válido. No está seleccionada de forma predeterminada. |
Customer ID |
Optional ID de cliente del arrendatario en el que se va a ejecutar la integración. Para usar en entornos multiempresa (MSSP). |
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Antes de continuar con la configuración de la integración, configure los permisos mínimos necesarios para cada elemento de integración. Para obtener más información, consulta la sección Permisos de acción de este documento.
Añadir comentario de alerta
Usa la acción Añadir comentario de alerta para añadir un comentario a una alerta en CrowdStrike Falcon.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Añadir comentario de alerta requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Alert |
Obligatorio ID de la alerta que se va a actualizar. |
Comment |
Obligatorio El comentario que se va a añadir a la alerta. |
Resultados de la acción
La acción Añadir comentario de alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Añadir comentario de alerta proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
La acción se ha realizado correctamente. |
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir comentario de alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Añadir comentario a la detección
Usa la acción Añadir comentario a la detección para añadir un comentario a la detección en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
La acción Añadir comentario a la detección requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
ID de la detección a la que se va a añadir un comentario. |
Comment |
Obligatorio
El comentario que se va a añadir a la detección. |
Resultados de la acción
La acción Añadir comentario a la detección proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Añadir comentario a la detección:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Add Identity Protection Detection Comment
Usa la acción Añadir comentario de detección de protección de identidad para añadir un comentario a la detección de protección de identidad en CrowdStrike.
Esta acción requiere una licencia de Identity Protection.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Añadir comentario de detección de protección de identidad requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
ID de la detección que se va a actualizar. |
Comment |
Obligatorio
El comentario que se va a añadir a la detección. |
Resultados de la acción
La acción Añadir comentario de detección de protección de identidad proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Añadir comentario de detección de protección de identidad proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
La acción se ha realizado correctamente. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Ha fallado la acción. Comprueba que estén correctamente escritas. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir comentario de detección de protección de la identidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Add Incident Comment
Usa la acción Añadir comentario de incidencia para añadir un comentario a una incidencia en CrowdStrike.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Añadir comentario de incidencia requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Incident ID |
Obligatorio
ID del incidente que se va a actualizar. |
Comment |
Obligatorio
El comentario que se va a añadir a la incidencia. |
Resultados de la acción
La acción Añadir comentario de incidencia proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Añadir comentario de incidencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
La acción se ha realizado correctamente. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Ha fallado la acción. Comprueba que estén correctamente escritas. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Añadir comentario de incidencia:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Cerrar detección
Usa la acción Cerrar detección para cerrar una detección de CrowdStrike Falcon.
La acción Actualizar detección es la práctica recomendada para este caso práctico.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
La acción Detección de cierre requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
El ID de la detección que se va a cerrar. |
Hide Detection |
Optional
Si se selecciona, la acción oculta la detección en la interfaz de usuario. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Detección de cierre proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Detección de cierre:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Contener endpoint
Usa la acción Contener endpoint para contener el endpoint en CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acciones
La acción Contener endpoint requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Fail If Timeout |
Obligatorio
Si se selecciona y no se incluyen todos los endpoints, la acción falla. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Contener endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Contener endpoint admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
status |
Devuelve si existe en el resultado JSON. |
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
policies |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
bios_manufacturer |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
device_policies |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Contiene endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensajes de salida
La acción Contener punto final proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Ha fallado la acción. Comprueba el estado del endpoint y el valor del parámetro |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Contener endpoint:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Eliminar IOC
Usa la acción Eliminar IOC para eliminar IOCs personalizados en CrowdStrike Falcon.
Esta acción trata las entidades de nombre de host como IOCs de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Eliminar IOC se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acciones
Ninguno
Resultados de la acción
La acción Eliminar IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Eliminar IOC:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mensajes de salida
En un muro de casos, la acción Eliminar IOC proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Descargar archivo
Usa la acción Descargar archivo para descargar archivos de los hosts de CrowdStrike Falcon.
Para realizar esta acción, se deben incluir en el ámbito de la alerta de Google SecOps tanto el nombre de archivo como la dirección IP o una entidad de nombre de host.
Puedes encontrar el archivo descargado en un paquete ZIP protegido con contraseña. Para acceder al archivo, introduce la siguiente contraseña: infected.
La acción Descargar archivo se ejecuta en las siguientes entidades:
- Nombre del archivo
- Dirección IP
- Host
Entradas de acciones
La acción Descargar archivo requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Download Folder Path |
Obligatorio
Ruta a la carpeta que almacena el archivo descargado. El formato depende de tu implementación:
|
Overwrite |
Obligatorio
Si se selecciona esta opción, la acción sobrescribe el archivo con el mismo nombre. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de entidades | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla de entidades
La acción Descargar archivo proporciona la siguiente tabla de entidades:
| Entidad | |
|---|---|
filepath |
Ruta absoluta del archivo. |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Descargar archivo:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Mensajes de salida
La acción Descargar archivo proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Ha fallado la acción. Comprueba el valor del parámetro |
Waiting for results for the following
entities: ENTITY_ID |
Mensaje asíncrono. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Descargar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar comando
Usa la acción Ejecutar comando para ejecutar comandos en los hosts de CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acciones
La acción Ejecutar comando requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Command |
Obligatorio
Un comando que se ejecuta en los hosts. |
Admin Command |
Optional
Si
|
Resultados de la acción
La acción Ejecutar comando proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
En un muro de casos, la acción Ejecutar comando proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
La acción se ha realizado correctamente. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Waiting for results for the following
entities: ENTITY_ID |
Mensaje asíncrono. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar comando:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Alert Details
Usa la acción Obtener detalles de alerta para recuperar los detalles de una alerta en CrowdStrike Falcon.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Alert Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. ID único de la alerta de la que se van a obtener los detalles. |
Resultados de la acción
La acción Obtener detalles de la alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Get Alert Details (Obtener detalles de la alerta):
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
La acción Obtener detalles de la alerta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles de alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener desplazamiento de evento
Usa la acción Obtener desplazamiento de evento para recuperar el desplazamiento de evento que usa el conector de eventos de streaming.
Esta acción empieza a procesar eventos de hace 30 días.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Obtener desplazamiento de evento requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Max Events To Process |
Obligatorio
Número de eventos que debe procesar la acción a partir de hace 30 días. El valor predeterminado es |
Resultados de la acción
La acción Obtener desplazamiento de evento proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Obtener desplazamiento de evento:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Mensajes de salida
La acción Obtener desplazamiento de evento proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
La acción se ha realizado correctamente. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Get Event Offset (Obtener desplazamiento de evento):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener información del host
Usa la acción Obtener información del host para recuperar información sobre el nombre de host de CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Entradas de acciones
La acción Obtener información del host requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Create Insight |
Optional
Si se selecciona esta opción, la acción crea estadísticas que contienen información sobre las entidades. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Obtener información del host proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Obtener información del host admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
site_name |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
status |
Devuelve si existe en el resultado JSON. |
bios_manufacturer |
Devuelve si existe en el resultado JSON. |
machine_domain |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get Host Information (Obtener información del host):
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Mensajes de salida
La acción Obtener información del host proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener información del host:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener hosts por IOC (obsoleto)
Lista los hosts relacionados con los IOCs en CrowdStrike Falcon. Entidades admitidas:
nombre de host, URL, dirección IP y hash.
Nota: Las entidades de nombre de host se tratan como IOCs de dominio. La acción extrae la parte del dominio de las URLs. Solo se admiten los hashes MD5 y SHA-256.
Entidades
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acciones
N/A
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Enriquecimiento de entidades
| Campo de enriquecimiento | Lógica |
|---|---|
| modified_timestamp | Devuelve si existe en el resultado JSON. |
| major_version | Devuelve si existe en el resultado JSON. |
| site_name | Devuelve si existe en el resultado JSON. |
| platform_id | Devuelve si existe en el resultado JSON. |
| config_id_platform | Devuelve si existe en el resultado JSON. |
| system_manufacturer | Devuelve si existe en el resultado JSON. |
| meta | Devuelve si existe en el resultado JSON. |
| first_seen | Devuelve si existe en el resultado JSON. |
| service_pack_minor | Devuelve si existe en el resultado JSON. |
| product_type_desc | Devuelve si existe en el resultado JSON. |
| build_number | Devuelve si existe en el resultado JSON. |
| nombre de host | Devuelve si existe en el resultado JSON. |
| config_id_build | Devuelve si existe en el resultado JSON. |
| minor_version | Devuelve si existe en el resultado JSON. |
| os_version | Devuelve si existe en el resultado JSON. |
| provision_status | Devuelve si existe en el resultado JSON. |
| mac_address | Devuelve si existe en el resultado JSON. |
| bios_version | Devuelve si existe en el resultado JSON. |
| agent_load_flags | Devuelve si existe en el resultado JSON. |
| status | Devuelve si existe en el resultado JSON. |
| bios_manufacturer | Devuelve si existe en el resultado JSON. |
| machine_domain | Devuelve si existe en el resultado JSON. |
| Device_policies | Devuelve si existe en el resultado JSON. |
| agent_local_time | Devuelve si existe en el resultado JSON. |
| slow_changing_modified_timestamp | Devuelve si existe en el resultado JSON. |
| service_pack_major | Devuelve si existe en el resultado JSON. |
| system_product_name | Devuelve si existe en el resultado JSON. |
| product_type | Devuelve si existe en el resultado JSON. |
| local_ip | Devuelve si existe en el resultado JSON. |
| external_ip | Devuelve si existe en el resultado JSON. |
| cid | Devuelve si existe en el resultado JSON. |
| platform_name | Devuelve si existe en el resultado JSON. |
| config_id_base | Devuelve si existe en el resultado JSON. |
| políticas | Devuelve si existe en el resultado JSON. |
| last_seen | Devuelve si existe en el resultado JSON. |
| pointer_size | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
Información valiosa sobre la entidad
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si se completa correctamente y se encuentra al menos un host relacionado con los IOCs proporcionados (is_success=true): "Successfully retrieved hosts related to the provided IOCs in CrowdStrike Falcon." ("Se han recuperado correctamente los hosts relacionados con los IOCs proporcionados en CrowdStrike Falcon"). Si no se encuentran hosts relacionados (is_success=false): "No se han encontrado hosts relacionados con los IOCs proporcionados en CrowdStrike Falcon." La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se informa de un error crítico: "Error al ejecutar la acción "{action name}". Motivo: {traceback}." |
General |
Obtener el nombre del proceso por IOC (obsoleto)
Recupera los procesos relacionados con los IOCs y los dispositivos proporcionados en CrowdStrike Falcon. Entidades admitidas: nombre de host, URL, dirección IP y hash.
Nota: Las entidades de nombre de host se tratan como IOCs de dominio. La acción extrae la parte del dominio de las URLs. Solo se admiten los hashes MD5, SHA-1 y SHA-256. Las entidades de direcciones IP se tratan como indicadores de compromiso.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de los dispositivos | 11 | N/A | Sí | Especifica una lista de dispositivos separados por comas de los que quieras obtener procesos relacionados con entidades. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| Nombre de proceso | Devuelve si existe en el resultado JSON. |
| Indicador | Devuelve si existe en el resultado JSON. |
| Nombre de host | Devuelve si existe en el resultado JSON. |
Estadísticas de entidades
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si se encuentran procesos relacionados con entidades en al menos un endpoint (is_success=true): "Se han recuperado correctamente los procesos relacionados con los IOCs en los siguientes endpoints de CrowdStrike Falcon: {device name}." Si no se encuentra ningún proceso en al menos un endpoint o no se encuentra el dispositivo (is_success=true): "No se han encontrado procesos relacionados en los siguientes endpoints de CrowdStrike Falcon: {device name}". Si no se encuentran procesos en todos los endpoints o no se encuentra ningún dispositivo (is_success=false): "No se han encontrado procesos relacionados en los endpoints proporcionados en CrowdStrike Falcon. La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se informa de un error crítico: "Error al ejecutar "{action name}". Motivo: {trace back}." |
Obtener detalles de Vertex
Usa la acción Obtener detalles de Vertex para enumerar todas las propiedades asociadas a un indicador concreto.
Las entidades de Google SecOps se consideran indicadores de compromiso.
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Hash
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener detalles de Vertex proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Obtener detalles de Vertex admite el siguiente enriquecimiento:
| Campo de enriquecimiento | Lógica |
|---|---|
vertex_type |
Devuelve si existe en el resultado JSON. |
timestamp |
Devuelve si existe en el resultado JSON. |
object_id |
Devuelve si existe en el resultado JSON. |
properties |
Devuelve si existe en el resultado JSON. |
edges |
Devuelve si existe en el resultado JSON. |
scope |
Devuelve si existe en el resultado JSON. |
customer_id |
Devuelve si existe en el resultado JSON. |
id |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get Vertex Details (Obtener detalles de Vertex):
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener detalles de Vertex:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Lift Contained Endpoint
Usa la acción Levantar la contención de un endpoint para levantar la contención de un endpoint en CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acciones
La acción Lift Contained Endpoint requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Fail If Timeout |
Obligatorio
Si se selecciona y no se levanta la contención en todos los endpoints, la acción falla. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Levantar endpoint contenido proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Endpoint de aumento contenido admite el siguiente enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
status |
Devuelve si existe en el resultado JSON. |
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
device_policies |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Lift Contained Endpoint (Levantar endpoint contenido):
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensajes de salida
La acción Lift Contained Endpoint (Elevar endpoint contenido) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Mensaje asíncrono. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Ha fallado la acción. Comprueba el estado del endpoint y el valor del parámetro |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Endpoint de Lift Contained:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar vulnerabilidades de hosts
Usa la acción List Host Vulnerabilities (Listar vulnerabilidades del host) para enumerar las vulnerabilidades encontradas en el host de CrowdStrike Falcon.
Esta acción requiere una licencia y permisos de Falcon Spotlight.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acciones
La acción List Host Vulnerabilities requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Severity Filter |
Optional
Lista de gravedades de vulnerabilidades separadas por comas. Si no proporcionas ningún valor, la acción ingiere todas las vulnerabilidades relacionadas. Estos son los valores posibles:
|
Create Insight |
Optional
Si se selecciona esta opción, se creará una estadística de cada entidad que contenga información estadística sobre las vulnerabilidades relacionadas. Esta opción está seleccionada de forma predeterminada. |
Max Vulnerabilities To Return |
Optional
Número de vulnerabilidades que se van a devolver de un solo host. Si no proporcionas ningún valor, la acción procesa todas las vulnerabilidades relacionadas. El valor predeterminado es |
Resultados de la acción
La acción List Host Vulnerabilities (Lista de vulnerabilidades del host) proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
En un muro de casos, la acción List Host Vulnerabilities (Lista de vulnerabilidades del host) proporciona la siguiente tabla:
Tipo: Entity
Columnas:
- Nombre
- Puntuación
- Gravedad
- Estado
- Aplicación
- Has Remediation
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List Host Vulnerabilities (Listar vulnerabilidades del host):
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Mensajes de salida
La acción List Host Vulnerabilities (Lista de vulnerabilidades del host) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Ha fallado la acción. Comprueba el valor del parámetro |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Host Vulnerabilities (Listar vulnerabilidades del host):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar hosts
Usa la acción List Hosts para enumerar los hosts disponibles en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
La acción List Hosts requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Filter Logic |
Optional
Lógica que se usa al buscar hosts. El valor predeterminado es
|
Filter Value |
Optional
Valor que se usará para filtrar hosts. |
Max Hosts To Return |
Optional
Número de hosts que se van a devolver. El valor predeterminado es El valor máximo es |
Resultados de la acción
La acción List Hosts (Listar hosts) proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List Hosts (Listar hosts):
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Mensajes de salida
La acción List Hosts (Listar hosts) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Hosts (Listar hosts):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Listar IOCs subidos
Usa la acción List Uploaded IOCs (Lista de IOCs subidos) para enumerar los IOCs personalizados disponibles en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
La acción List Uploaded IOCs requiere los siguientes parámetros:
| Parámetros | |
|---|---|
IOC Type Filter |
Optional
Lista separada por comas de los tipos de IOC que se van a devolver. El valor predeterminado es
|
Value Filter Logic |
Optional
Valor de la lógica del filtro. El valor predeterminado es
Si se define |
Value Filter String |
Optional
Cadena para buscar entre los IOCs. |
Max IOCs To Return |
Optional
Número de IOCs que se van a devolver. El valor predeterminado es El valor máximo es 500. |
Resultados de la acción
La acción List Uploaded IOCs (Lista de IOCs subidos) proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
En un muro de casos, la acción List Uploaded IOCs (Listar IOCs subidos) proporciona la siguiente tabla:
Columnas:
- Acción
- Gravedad
- Firmado
- Éxitos de AV
- Plataformas
- Etiquetas
- Creada el
- Creado por
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción List Uploaded IOCs (Lista de IOCs subidos):
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Mensajes de salida
La acción List Uploaded IOCs (Lista de IOCs subidos) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
La acción se ha realizado correctamente. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Ha fallado la acción. Comprueba la ortografía y el valor del parámetro |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Uploaded IOCs (Lista de IOCs subidos):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Análisis bajo demanda
Usa la acción Análisis bajo demanda para analizar el endpoint bajo demanda en CrowdStrike.
Esta acción solo se ejecuta en hosts Windows y en las siguientes entidades:
- Dirección IP
- Nombre de host
La acción Análisis bajo demanda se ejecuta de forma asíncrona. Ajusta el valor del tiempo de espera de la secuencia de comandos en el IDE de Google SecOps, si es necesario.
Entradas de acciones
La acción On-Demand Scan requiere los siguientes parámetros:
| Parámetros | |
|---|---|
File Paths To Scan |
Obligatorio Lista de rutas separadas por comas que se van a analizar. El valor predeterminado es |
File Paths To Exclude From Scan |
Optional Lista de rutas separadas por comas que se excluirán del análisis. |
Host Group Name |
Optional Lista de nombres de grupos de hosts separados por comas para iniciar la búsqueda. Esta acción crea un proceso de análisis independiente para cada grupo de hosts. |
Scan Description |
Optional Descripción que se usará en el proceso de análisis. Si no define ningún valor, la acción asignará la siguiente descripción: |
CPU Priority |
Optional Cantidad de CPU que se va a usar para el host subyacente durante la búsqueda. Estos son los valores posibles:
El valor predeterminado es |
Sensor Anti-malware Detection Level |
Optional Valor del nivel de detección antimalware del sensor. El nivel de detección debe ser igual o superior al nivel de prevención. Estos son los valores posibles:
El valor predeterminado es |
Sensor Anti-malware Prevention Level |
Optional Valor del nivel de prevención de malware del sensor. El nivel de detección debe ser igual o superior al nivel de prevención. Estos son los valores posibles:
El valor predeterminado es |
Cloud Anti-malware Detection Level |
Optional Valor del nivel de detección de antimalware en la nube. El nivel de detección debe ser igual o superior al nivel de prevención. Estos son los valores posibles:
El valor predeterminado es |
Cloud Anti-malware Prevention Level |
Optional Valor del nivel de prevención de malware en la nube. El nivel de detección debe ser igual o superior al nivel de prevención. Estos son los valores posibles:
El valor predeterminado es |
Quarantine Hosts |
Optional Si se selecciona esta opción, la acción pone en cuarentena los hosts subyacentes como parte del análisis. No está seleccionada de forma predeterminada. |
Create Endpoint Notification |
Optional Si se selecciona esta opción, el proceso de análisis crea una notificación de endpoint. Esta opción está seleccionada de forma predeterminada. |
Max Scan Duration |
Optional Número de horas que debe durar un análisis. Si no proporcionas ningún valor, el análisis se ejecutará de forma continua. |
Resultados de la acción
La acción Análisis bajo demanda proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Análisis bajo demanda:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Mensajes de salida
La acción Análisis bajo demanda proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Análisis bajo demanda:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar secuencia de comandos
Usa la acción Ejecutar secuencia de comandos para ejecutar una secuencia de comandos de PowerShell en los endpoints de CrowdStrike.
Esta acción es asíncrona. Si es necesario, ajusta el valor del tiempo de espera de la secuencia de comandos en el IDE de Google SecOps.
Esta acción se ejecuta en las entidades de dirección IP y nombre de host.
Entradas de acciones
La acción Ejecutar secuencia de comandos requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Customer ID |
Optional ID del cliente para el que se va a ejecutar la acción. |
Script Name |
Optional Nombre del archivo de secuencia de comandos que se va a ejecutar. Configure el parámetro |
Raw Script |
Optional Una carga útil de secuencia de comandos de PowerShell sin formato para ejecutar en endpoints. Configure el parámetro |
Resultados de la acción
La acción Ejecutar secuencia de comandos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
En un panel de casos, la acción Ejecutar secuencia de comandos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar secuencia de comandos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar eventos
Usa esta acción para buscar eventos en CrowdStrike. Nota: La acción se está ejecutando de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción, según sea necesario.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Buscar eventos requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Repository |
Obligatorio
Repositorio en el que se debe buscar. Estos son los valores posibles:
|
Query |
Obligatorio
Consulta que debe ejecutarse en CrowdStrike. Nota: No proporciones "head" como parte de la consulta. Action lo proporcionará automáticamente en función del valor proporcionado en el parámetro "Número máximo de resultados que se devolverán". |
Time Frame |
Optional
Periodo de los resultados. Si se selecciona "Personalizado", también debe indicar la "Hora de inicio". Los valores posibles de Última hora son los siguientes:
|
Start Time |
Optional
Hora de inicio de los resultados. Si se selecciona "Personalizado" en el parámetro "Periodo", este parámetro es obligatorio. Formato: ISO 8601. |
End Time |
Optional
Número de resultados que se devolverán para la consulta. La acción añadirá "head" a la consulta proporcionada. Valor predeterminado: 50. Máximo: 1000. |
Resultados de la acción
La acción Buscar eventos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
En un panel de casos, la acción Buscar eventos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
|
La acción no debe fallar ni detener la ejecución de un libro de jugadas. |
|
|
Ha fallado la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Buscar eventos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Enviar archivo para enviar archivos a un sandbox en CrowdStrike.
Esta acción requiere una licencia de Falcon Sandbox.
Esta acción no se ejecuta en entidades.
Formatos de archivo y de almacenamiento admitidos
Según el portal de CrowdStrike, la sandbox admite los siguientes formatos de archivo:
| Formatos de archivo admitidos | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Ejecutables portátiles |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documentos de Microsoft Office |
.pdf |
|
.apk |
APK |
.jar |
JAR ejecutable |
.sct |
Componente de script de Windows |
.lnk |
Acceso directo de Windows |
.chm |
Ayuda de Windows |
.hta |
Aplicación HTML |
.wsf |
Archivo de secuencia de comandos de Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Gráficos vectoriales escalables |
.py |
Python |
.elf |
Ejecutables ELF de Linux |
.eml |
Archivos de correo electrónico: MIME RFC 822 |
.msg |
Archivos de correo electrónico: Outlook |
Según el portal de CrowdStrike, la sandbox admite los siguientes formatos de archivo:
.zip.7z
Entradas de acciones
La acción Enviar archivo requiere los siguientes parámetros:
| Parámetros | |
|---|---|
File Paths |
Obligatorio
Lista de rutas absolutas a los archivos enviados. El formato depende de tu implementación:
Para ver una lista de los formatos de archivo admitidos, consulta Formatos de archivo y de archivo comprimido admitidos. |
Sandbox Environment |
Optional
Un entorno aislado para analizar. El valor predeterminado es
|
Network Environment |
Optional
Un entorno de red que analizar. El valor predeterminado es
|
Archive Password |
Optional
Una contraseña que se usará al trabajar con archivos. |
Document Password |
Optional
Una contraseña que se usa al trabajar con archivos de Adobe u Office. La longitud máxima de la contraseña es de 32 caracteres. |
Check Duplicate |
Optional
Si se selecciona esta opción, la acción comprueba si el archivo ya se ha enviado anteriormente y devuelve el informe disponible. Durante la validación, la acción no tiene en cuenta los parámetros Esta opción está seleccionada de forma predeterminada. |
Comment |
Optional
Un comentario que enviar. |
Confidential Submission |
Optional
Si se selecciona esta opción, el archivo solo se mostrará a los usuarios de su cuenta de cliente. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enviar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
En un muro de casos, la acción Enviar archivo proporciona la siguiente tabla:
Columnas:
- Resultados
- Nombre
- Puntuación de amenaza
- Veredicto
- Etiquetas
Mensajes de salida
La acción Enviar archivo proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
|
La acción ha devuelto un error. Comprueba los formatos de archivo admitidos para esta acción. |
Waiting for results for the following
files: PATHS |
Mensaje asíncrono. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Ha fallado la acción. Aumenta el tiempo de espera en el IDE. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enviar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enviar URL
Use la acción Enviar URL para enviar URLs a un sandbox en CrowdStrike.
Esta acción requiere una licencia de Falcon Sandbox. Para consultar qué formatos de archivo admite el sandbox, consulta la sección Formatos de archivo y de archivo comprimido admitidos de este documento.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Enviar URL requiere los siguientes parámetros:
| Parámetros | |
|---|---|
URLs |
Obligatorio
URLs que quieras enviar. |
Sandbox Environment |
Optional
Un entorno aislado para analizar. El valor predeterminado es
|
Network Environment |
Optional
Un entorno de red que analizar. El valor predeterminado es
|
Check Duplicate |
Optional
Si se selecciona esta opción, la acción comprueba si la URL ya se ha enviado anteriormente y devuelve el informe disponible. Durante la validación, la acción no tiene en cuenta los parámetros Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enviar URL proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Enviar URL proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Waiting for results for the following
URLs: PATHS |
Mensaje asíncrono. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Ha fallado la acción. Aumenta el tiempo de espera en el IDE. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enviar URL:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Actualizar alerta para actualizar las alertas en CrowdStrike Falcon.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Actualizar alerta requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Alert ID |
Obligatorio ID de la alerta que se va a actualizar. |
Status |
Optional Estado de la alerta. Los valores posibles son los siguientes:
|
Verdict |
Optional El veredicto de la alerta. Los valores posibles son los siguientes:
|
Assign To |
Optional Nombre del analista al que se asignará la alerta. Si proporciona La API acepta cualquier valor, aunque el usuario proporcionado no exista en el sistema. |
Resultados de la acción
La acción Actualizar alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Update Alert:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
La acción Update Alert (Actualizar alerta) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
La acción se ha realizado correctamente. |
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Actualizar alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Update Detection
Usa la acción Actualizar detección para actualizar las detecciones en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acciones
La acción Update Detection requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
ID de la detección que se va a actualizar. |
Status |
Obligatorio
Estado de detección. El valor predeterminado es
|
Assign Detection to |
Optional
Dirección de correo electrónico del usuario de CrowdStrike Falcon al que se ha asignado la detección. |
Resultados de la acción
La acción Actualizar detección proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Detection (Actualizar detección) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
La acción se ha realizado correctamente. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Ha fallado la acción. Comprueba los valores de los parámetros |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Detección de actualizaciones:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar la detección de Identity Protection
Usa Update Identity Protection Detection para actualizar una detección de protección de identidad en CrowdStrike.
Esta acción requiere una licencia de Identity Protection.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Actualizar detección de protección de identidad requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
ID de la detección que se va a actualizar. |
Status |
Optional
Estado de la detección. El valor predeterminado es Estos son los valores posibles:
|
Assign to |
Optional
Nombre del analista asignado. Si se proporciona Si se proporciona un valor no válido, la acción no cambiará el asignatario actual. |
Resultados de la acción
La acción Update Identity Protection Detection (Actualizar detección de protección de identidad) proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Update Identity Protection Detection (Actualizar detección de protección de identidad):
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
En un muro de casos, la acción Actualizar detección de protección de identidad proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
La acción se ha realizado correctamente. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Ha fallado la acción. Comprueba que estén correctamente escritas. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Ha fallado la acción. Comprueba los valores de los parámetros |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Actualizar detección de protección de identidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar incidente
Usa la acción Update Incident para actualizar los incidentes en CrowdStrike.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Update Incident (Actualizar incidencia) requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Incident ID |
Obligatorio
ID del incidente que se va a actualizar. |
Status |
Optional
El estado del incidente. Estos son los valores posibles:
|
Assign to |
Optional
El nombre o la dirección de correo del analista asignado. Si se proporciona Para especificar un nombre, indica el nombre y los apellidos del analista con el siguiente formato:
|
Resultados de la acción
La acción Actualizar incidencia proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Update Incident (Actualizar incidencia):
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Mensajes de salida
La acción Actualizar incidencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
La acción se ha realizado correctamente. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Ha fallado la acción. Comprueba que estén correctamente escritas. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Ha fallado la acción. Comprueba que estén correctamente escritas. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Ha fallado la acción. Comprueba los parámetros de entrada. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Update Incident (Actualizar incidencia):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar la información de los IOCs
Usa la acción Actualizar información de IOC para actualizar la información sobre IOCs personalizados en CrowdStrike Falcon.
Esta acción trata las entidades de nombre de host como IOCs de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Actualizar información de IOC se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Dirección IP
- Hash
Entradas de acciones
La acción Update IOC Information (Actualizar información de IOC) requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Description |
Optional
Una nueva descripción para los IOCs personalizados. |
Source |
Optional
Una fuente de IOCs personalizados. |
Expiration days |
Optional
Número de días que quedan hasta el vencimiento. Este parámetro solo afecta a las entidades URL, dirección IP y nombre de host. |
Detect policy |
Optional
Si se selecciona esta opción, la acción envía una notificación de los IOCs identificados. Si no se selecciona, la acción no envía ninguna notificación. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Actualizar información de IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Update IOC Information (Actualizar información de IOC):
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Mensajes de salida
En un muro de casos, la acción Actualizar información de IOC proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Actualizar información de IOC:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Subir IOCs
Usa la acción Subir IOCs para añadir IOCs personalizados en CrowdStrike Falcon.
Esta acción trata las entidades de nombre de host como IOCs de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Subir indicadores de compromiso se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acciones
La acción Subir indicadores de compromiso requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Platform |
Obligatorio
Lista de plataformas relacionadas con el indicador separadas por comas. El valor predeterminado es
|
Severity |
Obligatorio
Gravedad del IOC. El valor predeterminado es
|
Comment |
Optional
Un comentario que contenga más contexto relacionado con el IOC. |
Host Group Name |
Obligatorio
Nombre del grupo de hosts. |
Action |
Optional
Una acción para los IOCs subidos. El valor predeterminado es Los valores posibles son los siguientes:
El valor |
Resultados de la acción
La acción Subir indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Subir indicadores de compromiso proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Ha fallado la acción. Comprueba el valor del parámetro |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Ha fallado la acción. Comprueba el valor del parámetro |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Subir IOCs:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Asegúrate de haber configurado los permisos mínimos para cada conector de CrowdStrike. Para obtener más información, consulta la sección Permisos de conectores de este documento.
Para obtener instrucciones sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).
Eventos de CrowdStrike
Los eventos son fragmentos de información que recogen los sensores de Falcon en tus hosts. Hay cuatro tipos de eventos en CrowdStrike:
| Tipos de eventos de CrowdStrike | |
|---|---|
| Eventos de auditoría de actividad de autenticación | Eventos generados cada vez que se solicita, se permite o se completa la autorización en los endpoints. |
| Eventos de resumen de detección | Eventos generados cuando se detectan amenazas en los endpoints. |
| Eventos de finalización de sesión de respuesta remota | Eventos generados a partir de sesiones remotas en endpoints. |
| Eventos de auditoría de la actividad de los usuarios | Eventos generados para monitorizar las actividades llevadas a cabo por usuarios activos en endpoints. |
Los conectores ingieren eventos en Google SecOps para crear alertas y enriquecer casos con datos de eventos. Puede seleccionar qué eventos quiere ingerir en Google SecOps: todos los tipos de eventos o solo algunos.
Conector de detecciones de CrowdStrike
Usa el conector de detecciones de CrowdStrike para extraer detecciones de CrowdStrike.
La lista dinámica funciona con los filtros admitidos por la API de CrowdStrike.
Cómo trabajar con la lista dinámica
Cuando trabajes con la lista dinámica, sigue estas recomendaciones:
- Usa el lenguaje FQL de CrowdStrike para modificar el filtro enviado por el conector.
- Proporcione una entrada independiente en la lista dinámica para cada filtro.
Para ingerir todas las detecciones asignadas a un analista específico, asegúrese de que el analista proporcione la siguiente entrada de lista dinámica:
assigned_to_name:'ANALYST_USER_NAME'
La lista dinámica admite los siguientes parámetros:
| Parámetros admitidos | |
|---|---|
q |
Una búsqueda de texto completo en todos los campos de metadatos. |
date_updated |
Fecha de la actualización de detección más reciente. |
assigned_to_name |
Nombre de usuario legible del responsable de la detección. |
max_confidence |
Cuando una detección tiene más de un comportamiento asociado con diferentes niveles de confianza, este campo recoge el valor de confianza más alto de todos los comportamientos. El valor del parámetro puede ser cualquier número entero entre 1 y 100. |
detection_id |
El ID de detección que se puede usar junto con otras APIs, como la API Detection Details o la API Resolve Detection. |
max_severity |
Cuando una detección tiene más de un comportamiento asociado con diferentes niveles de gravedad, este campo recoge el valor de gravedad más alto de todos los comportamientos. El valor del parámetro puede ser cualquier número entero entre 1 y 100. |
max_severity_displayname |
Nombre usado en la interfaz de usuario para determinar la gravedad de la detección. Estos son los valores posibles:
|
seconds_to_triaged |
El tiempo necesario para que una detección cambie su estado de
new a in_progress. |
seconds_to_resolved |
El tiempo necesario para que una detección cambie su estado de
new a cualquiera de los estados resueltos (true_positive,
false_positive, ignored y
closed). |
status |
Estado actual de la detección. Los valores posibles son los siguientes:
|
adversary_ids |
El adversario monitorizado por CrowdStrike Falcon Intelligence tiene un ID asociado a los comportamientos o indicadores atribuidos en una detección. Estos IDs se encuentran en los metadatos de detección, a los que se puede acceder a través de la API Detection Details. |
cid |
El ID de cliente (CID) de tu organización. |
Parámetros del conector
El conector de detecciones de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
La raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
El ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
El secreto de cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
La puntuación de gravedad más baja de las detecciones que se van a obtener. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Lowest Confidence Score To Fetch |
Optional
La puntuación de confianza más baja de las detecciones que se van a obtener. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Max Hours Backwards |
Optional
Número de horas de las que se obtendrán las detecciones. El valor predeterminado es |
Max Detections To Fetch |
Optional
Número de detecciones que se procesarán en una sola iteración del conector. El valor predeterminado es |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional
Nombre de usuario de proxy para autenticarte. |
Proxy Password |
Optional
Una contraseña de proxy para autenticarte. |
Case Name Template |
Optional
Si se proporciona, el conector añade una nueva clave llamada Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Padding Period |
Optional
Número de horas que usa el conector para el relleno. El valor máximo es |
Include Hidden Alerts |
Optional
Si se habilita, el conector también obtendrá las alertas etiquetadas como "hidden" por CrowdStrike. |
Fallback Severity |
Optional
Gravedad alternativa de la alerta de Google SecOps que se debe aplicar a las alertas de CrowdStrike que no tienen información sobre la gravedad. Valores posibles: Informativa, Baja, Media, Alta y Crítica. Si no se proporciona nada, el conector usará la gravedad "Informativa". |
Customer ID |
Optional El ID de cliente del arrendatario en el que se va a ejecutar el conector. Para usar en entornos multiempresa (MSSP). |
Reglas de conectores
El conector admite proxies.
Eventos del conector
A continuación, se muestra un ejemplo del evento del conector:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Conector de eventos de streaming de CrowdStrike Falcon
El conector de eventos de streaming de CrowdStrike Falcon aborda los siguientes casos prácticos:
Ingestión de datos de eventos de detección.
CrowdStrike Falcon detecta un intento de ejecutar el archivo
SophosCleanM.exemalicioso en un endpoint. CrowdStrike detiene la operación y crea una alerta que contiene los hashes de los archivos en los datos del evento.Un analista interesado en la reputación de los archivos ejecuta los hashes descubiertos en VirusTotal y descubre que un hash es malicioso. Como paso siguiente, la acción de McAfee EDR pone en cuarentena el archivo malicioso.
Ingestión de datos de eventos de auditoría de actividad de los usuarios.
Un usuario de CrowdStrike, Dani, cambia el estado de la detección de
newafalse-positive. Esta acción del usuario crea un evento llamado detection_update.El analista hace un seguimiento para saber por qué Dani ha marcado la acción como falso positivo y comprueba el evento insertado que contiene la información sobre la identidad de Dani.
A continuación, el analista ejecuta la acción Enriquecer entidades de Active Directory para obtener más detalles sobre el incidente y simplificar el seguimiento de Dani.
Ingestión de datos de eventos de auditoría de actividad de autenticación.
Un evento indica que Dani ha creado una cuenta de usuario y le ha asignado roles de usuario.
Para investigar el evento y saber por qué se creó el usuario, el analista usa el ID de usuario de Dani para ejecutar la acción Enriquecer entidades de Active Directory y averiguar el rol de usuario de Dani para confirmar si tiene autorización para añadir nuevos usuarios.
Ingestión de datos de eventos de finalización de respuestas remotas.
Un evento remoto indica que Dani tenía una conexión remota a un host específico y ejecutó comandos como usuario raíz para acceder a un directorio de servidor web.
Para obtener más información sobre Dani y el host implicados, el analista ejecuta la acción de Active Directory para enriquecer tanto el usuario como el host. En función de la información devuelta, el analista puede decidir suspender a Dani hasta que se aclare el propósito de la conexión remota.
Entradas de conectores
El conector de eventos de streaming de CrowdStrike Falcon requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
API Root |
Obligatorio
La raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
El ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
El secreto de cliente de la cuenta de CrowdStrike. |
Event types |
Optional
Lista de tipos de eventos separados por comas. Estos son algunos ejemplos de tipos de eventos:
|
Max Days Backwards |
Optional
Número de días anteriores a hoy desde los que se recuperarán las detecciones. El valor predeterminado es |
Max Events Per Cycle |
Optional
Número de eventos que se deben procesar en una sola iteración del conector. El valor predeterminado es |
Min Severity |
Optional Eventos que se van a ingerir en función de la gravedad del evento (eventos de detección). El valor va de 0 a 5. Si se ingieren otros tipos de eventos además de las detecciones, su gravedad se establece en |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 60 segundos. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional
Nombre de usuario de proxy para autenticarte. |
Proxy Password |
Optional
Una contraseña de proxy para autenticarte. |
Rule Generator Template |
Optional
Si se proporciona, el conector usa este valor para el generador de reglas de Google SecOps. Puedes incluir marcadores de posición en el siguiente formato: [ Si no proporciona ningún valor o una plantilla no válida, el conector usará el generador de reglas predeterminado. El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Customer ID |
Optional El ID de cliente del arrendatario en el que se va a ejecutar el conector. Para usar en entornos multiempresa (MSSP). |
Reglas de conectores
Este conector admite proxies.
Este conector no admite la lista dinámica.
Conector de detecciones de protección de identidades de CrowdStrike
Usa el conector de detecciones de protección de identidades de CrowdStrike para extraer las detecciones de protección de identidades de CrowdStrike. La lista dinámica funciona con el parámetro display_name.
Este conector requiere una licencia de Identity Protection.
Entradas de conectores
El conector de detecciones de protección de identidades de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
La raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
El ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
El secreto de cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
La puntuación de gravedad más baja de las detecciones que se van a obtener. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es El conector también admite los siguientes valores para este parámetro:
|
Lowest Confidence Score To Fetch |
Optional
La puntuación de confianza más baja de las detecciones que se van a obtener. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Max Hours Backwards |
Optional
Número de horas anteriores a la hora actual desde las que se obtendrán las detecciones. El valor predeterminado es |
Max Detections To Fetch |
Optional
Número de detecciones que se procesarán en una sola iteración del conector. El valor predeterminado es |
Case Name Template |
Optional
Si se proporciona, el conector añade una nueva clave llamada Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional
Nombre de usuario de proxy para autenticarte. |
Proxy Password |
Optional
Una contraseña de proxy para autenticarte. |
Customer ID |
Optional El ID de cliente del arrendatario en el que se va a ejecutar el conector. Para usar en entornos multiempresa (MSSP). |
Reglas de conectores
Este conector admite proxies.
Evento de conector
A continuación, se muestra un ejemplo del evento del conector:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Conector de incidentes de CrowdStrike
Usa el conector de incidentes de CrowdStrike para extraer incidentes y comportamientos relacionados de CrowdStrike.
La lista dinámica funciona con el parámetro incident_type.
Parámetros del conector
El conector de incidencias de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
La raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
El ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
El secreto de cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
La puntuación de gravedad más baja de los incidentes que se van a obtener. Si no se proporciona ningún valor, el conector ingiere incidencias de todas las gravedades. El valor máximo es
|
Max Hours Backwards |
Optional
Número de horas anteriores al momento actual desde el que se recuperarán los incidentes. El valor predeterminado es |
Max Incidents To Fetch |
Optional
Número de incidentes que se deben procesar en una sola iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional
Nombre de usuario de proxy para autenticarte. |
Proxy Password |
Optional
Una contraseña de proxy para autenticarte. |
Customer ID |
Optional El ID de cliente del arrendatario en el que se va a ejecutar el conector. Para usar en entornos multiempresa (MSSP). |
Reglas de conectores
Este conector admite proxies.
Eventos del conector
El conector de incidencias de CrowdStrike tiene dos tipos de eventos: uno se basa en incidencias y el otro en el comportamiento.
A continuación, se muestra un ejemplo de evento basado en un incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
A continuación, se muestra un ejemplo de evento basado en el comportamiento:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike: conector de alertas
Usa el conector de alertas de CrowdStrike para extraer alertas de CrowdStrike.
La lista dinámica funciona con el parámetro display_name.
Para obtener detecciones de protección de identidad, usa el conector Detecciones de protección de identidad.
Entradas de conectores
El conector de alertas de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
La raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
El ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
El secreto de cliente de la cuenta de CrowdStrike. |
Case Name Template |
Optional
Si se proporciona, el conector añade una nueva clave llamada Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición
en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Lowest Severity Score To Fetch |
Optional
La puntuación de gravedad más baja de los incidentes que se van a obtener. Si no se proporciona ningún valor, el conector ingiere incidencias de todas las gravedades. El valor máximo es
En la interfaz de usuario de CrowdStrike, el mismo valor se presenta dividido entre 10. |
Max Hours Backwards |
Optional
Número de horas anteriores al momento actual desde el que se recuperarán los incidentes. El valor predeterminado es |
Max Alerts To Fetch |
Optional
Número de alertas que se deben procesar en una sola iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL de la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional
Nombre de usuario de proxy para autenticarte. |
Proxy Password |
Optional
Una contraseña de proxy para autenticarte. |
Customer ID |
Optional El ID de cliente del arrendatario en el que se va a ejecutar el conector. Para usar en entornos multiempresa (MSSP). |
Reglas de conectores
Este conector admite proxies.
Eventos del conector
A continuación, se muestra un ejemplo de evento basado en alertas:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.