Integra CrowdStrike Falcon con Google SecOps
En este documento, se explica cómo integrar CrowdStrike Falcon con Google Security Operations (Google SecOps).
Versión de la integración: 56.0
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el bucket de Cloud Storage.
Casos de uso
En la plataforma de SecOps de Google, la integración de CrowdStrike Falcon resuelve los siguientes casos de uso:
Contención automática de software malicioso: Usa las capacidades de la plataforma de SecOps de Google para poner en cuarentena automáticamente el endpoint afectado, recuperar el hash del archivo para su análisis posterior y evitar la propagación del software malicioso. La contención automatizada de software malicioso se activa cuando un correo electrónico de phishing activa una alerta de CrowdStrike Falcon por una descarga de archivo sospechoso.
Respuesta acelerada ante incidentes: Usa Google SecOps para recopilar datos contextuales, como árboles de procesos y conexiones de red, aislar el host comprometido y crear un ticket para la investigación.
Búsqueda e investigación de amenazas: Usa las capacidades de la plataforma de SecOps de Google para consultar CrowdStrike Falcon sobre acciones específicas del usuario, modificaciones de archivos y conexiones de red durante un período definido. La búsqueda y la investigación de amenazas permiten que tus analistas de seguridad investiguen una posible amenaza interna y analicen la actividad histórica de un endpoint, a la vez que optimizan el proceso de investigación.
Respuesta y corrección ante phishing: Usa CrowdStrike Falcon y la plataforma de Google SecOps para analizar los archivos adjuntos de correo electrónico, abrirlos en un entorno de zona de pruebas y bloquear automáticamente la dirección de correo electrónico del remitente si se detecta actividad maliciosa.
Administración de vulnerabilidades: Usa las capacidades de la plataforma de SecOps de Google para crear automáticamente tickets para cada sistema vulnerable, priorizarlos según la gravedad y el valor del activo, y activar flujos de trabajo de aplicación de parches automatizados. La administración de vulnerabilidades te ayuda a identificar una vulnerabilidad crítica en varios endpoints.
Antes de comenzar
Antes de configurar la integración en Google SecOps, completa los siguientes pasos:
Configura el cliente de la API de CrowdStrike Falcon.
Configura los permisos de acción.
Configura los permisos del conector.
Configura el cliente de la API de CrowdStrike Falcon
Para definir un cliente de la API de CrowdStrike y ver, crear o modificar clientes o claves de la API, debes tener el rol de FalconAdministrator.
Los secretos solo se muestran cuando creas un cliente de API nuevo o restableces el cliente de API.
Para configurar el cliente de la API de CrowdStrike Falcon, completa los siguientes pasos:
- En la IU de Falcon, navega a Support and resources > Resources and tools > API clients and keys. En esta página, puedes encontrar clientes existentes, agregar clientes de API nuevos o ver el registro de auditoría.
- Haz clic en Crear cliente de API.
- Proporciona un nombre para tu nuevo cliente de API.
- Selecciona los permisos de API adecuados.
Haz clic en Crear. Aparecerán los valores de ID de cliente y Secreto del cliente.
Esta es la única vez que verás el valor del secreto del cliente. Asegúrate de guardarla en un lugar seguro. Si pierdes el secreto del cliente, restablece tu cliente de API y actualiza todas las aplicaciones que dependen del secreto del cliente con credenciales nuevas.
Para obtener más detalles sobre el acceso a la API de CrowdStrike, consulta la guía Cómo obtener acceso a la API de CrowdStrike en el blog de CrowdStrike.
Configura permisos de acción
Consulta los permisos mínimos para las acciones, como se indica en la siguiente tabla:
| Acción | Permisos necesarios |
|---|---|
| Agregar comentario a la detección | Detections.ReadDetection.Write |
| Agregar comentario de detección de Protección de identidad | Alerts.ReadAlerts.Write |
| Agregar comentario sobre el incidente | Incidents.Write |
| Detección de cierre | Detections.ReadDetection.Write |
| Contención de extremos | Hosts.ReadHosts.Write |
| Borra el IOC | IOC Management.ReadIOC Management.Write |
| Descargar archivo | Hosts.ReadReal time response.ReadReal time response.Write |
| Ejecutar comando | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* para comandos con privilegios completos.
|
| Obtener desplazamiento del evento | Event streams.Read |
| Obtén hosts por IOC | No disponible: En desuso |
| Obtén información del host | Hosts.Read |
| Obtén el nombre del proceso por IOC | No disponible: En desuso |
| Extremo de Lift Contained | Hosts.ReadHosts.Write |
| Enumera los hosts | Hosts.Read |
| Enumera las vulnerabilidades del host | Hosts.ReadSpotlight vulnerabilities.Read |
| Enumera los IOCs cargados | IOC Management.Read |
| Análisis a pedido | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Enviar archivo | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Enviar URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Actualización de detección | Detections.ReadDetection.WriteUser management.Read |
| Actualiza la detección de Protección de identidad | Alerts.ReadAlerts.Write |
| Actualizar incidente | Incidents.Write |
| Actualiza la información del IOC | IOC Management.ReadIOC Management.Write |
| Cómo subir IOC | IOC Management.ReadIOC Management.Write |
Configura los permisos del conector
Consulta los permisos mínimos para los conectores, como se indica en la siguiente tabla:
| Conector | Permisos necesarios |
|---|---|
| Conector de Detecciones de CrowdStrike | Detection.Read |
| Conector de eventos de transmisión de CrowdStrike Falcon | Event streams.Read |
| Conector de detecciones de protección de identidad de CrowdStrike | Alerts.Read |
| Conector de incidentes de CrowdStrike | Incidents.Read |
Extremos
La integración de CrowdStrike Falcon interactúa con los siguientes extremos de la API de CrowdStrike Falcon:
Extremos generales de la API:
/oauth2/token
Hosts y dispositivos:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Detecciones y eventos:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicadores de compromiso (IoCs):
/intel/entities/indicators/v1/intel/queries/devices/v1
Vulnerabilidades:
/devices/combined/devices/vulnerabilities/v1
Respuesta y contención:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidentes:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Análisis de archivos y URLs:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parámetros de integración
Para que la integración funcione correctamente, se requiere una versión premium de CrowdStrike Falcon con todas las capacidades. Algunas acciones no funcionan con la versión básica de CrowdStrike Falcon.
La integración de CrowdStrike Falcon requiere los siguientes parámetros:
| Parámetros | |
|---|---|
API Root |
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client API ID |
Obligatorio Es el ID de cliente de la API de CrowdStrike. |
Client API Secret |
Obligatorio Es el secreto del cliente de la API de CrowdStrike. |
Verify SSL |
Si se selecciona esta opción, la integración verifica si el certificado SSL para conectarse al servidor de CrowdStrike Falcon es válido. No está seleccionada de forma predeterminada. |
Customer ID |
Optional Es el ID del cliente del grupo de usuarios en el que se ejecutará la integración. Se usa en entornos de múltiples usuarios (MSSP). |
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Antes de continuar con la configuración de la integración, configura los permisos mínimos requeridos para cada elemento de integración. Para obtener más detalles, consulta la sección Permisos de acción de este documento.
Agregar comentario de alerta
Usa la acción Add Alert Comment para agregar un comentario a una alerta en CrowdStrike Falcon.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Add Alert Comment requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Alert |
Obligatorio Es el ID de la alerta que se actualizará. |
Comment |
Obligatorio Es el comentario que se agregará a la alerta. |
Resultados de la acción
La acción Add Alert Comment proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Alert Comment proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Add Alert Comment:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Agregar comentario a la detección
Usa la acción Add Comment to Detection para agregar un comentario a la detección en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
La acción Add Comment to Detection requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
Es el ID de la detección a la que se agregará un comentario. |
Comment |
Obligatorio
Comentario que se agregará a la detección. |
Resultados de la acción
La acción Add Comment to Detection proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Add Comment to Detection:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Agregar comentario de detección de Protección de identidad
Usa la acción Add Identity Protection Detection Comment para agregar un comentario a la detección de protección de identidad en CrowdStrike.
Esta acción requiere una licencia de Identity Protection.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Add Identity Protection Detection Comment requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
Es el ID de la detección que se actualizará. |
Comment |
Obligatorio
Comentario que se agregará a la detección. |
Resultados de la acción
La acción Add Identity Protection Detection Comment proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Identity Protection Detection Comment proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
La acción se completó correctamente. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
No se pudo realizar la acción. Verifica la ortografía. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Add Identity Protection Detection Comment:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Agregar comentario sobre el incidente
Usa la acción Add Incident Comment para agregar un comentario a un incidente en CrowdStrike.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Add Incident Comment requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Incident ID |
Obligatorio
ID del incidente que se actualizará. |
Comment |
Obligatorio
Es el comentario que se agregará al incidente. |
Resultados de la acción
La acción Add Incident Comment proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Incident Comment proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
La acción se completó correctamente. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
No se pudo realizar la acción. Verifica la ortografía. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Add Incident Comment:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Detección de cierre
Usa la acción Close Detection para cerrar una detección de CrowdStrike Falcon.
La acción Update Detection es la mejor práctica para este caso de uso.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
La acción Close Detection requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
Es el ID de la detección que se cerrará. |
Hide Detection |
Optional
Si se selecciona, la acción oculta la detección en la IU. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Close Detection proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Close Detection:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Contención de extremos
Usa la acción Contain Endpoint para aislar el endpoint en CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acción
La acción Contain Endpoint requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Fail If Timeout |
Obligatorio
Si se selecciona y no se incluyen todos los extremos, la acción falla. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Contain Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Contain Endpoint admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
status |
Devuelve si existe en el resultado JSON. |
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
policies |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
bios_manufacturer |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
device_policies |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Contain Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensajes de salida
La acción Contain Endpoint proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
No se pudo realizar la acción. Verifica el estado del extremo y el valor del parámetro |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Contain Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Borra el IOC
Usa la acción Delete IOC para borrar IOCs personalizados en CrowdStrike Falcon.
Esta acción trata las entidades de nombres de host como IOC de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Delete IOC se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acción
Ninguno
Resultados de la acción
La acción Delete IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Delete IOC:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Mensajes de salida
En un muro de casos, la acción Borrar IOC proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Descargar archivo
Usa la acción Download File para descargar archivos de los hosts en CrowdStrike Falcon.
Esta acción requiere que tanto el nombre de archivo como la dirección IP o una entidad de nombre de host estén dentro del alcance de la alerta de Google SecOps.
Puedes encontrar el archivo descargado en un paquete zip protegido con contraseña. Para acceder al archivo, proporciona la siguiente contraseña: infected.
La acción Download File se ejecuta en las siguientes entidades:
- Nombre del archivo
- Dirección IP
- Host
Entradas de acción
La acción Download File requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Download Folder Path |
Obligatorio
Es la ruta de acceso a la carpeta que almacena el archivo descargado. El formato depende de tu implementación:
|
Overwrite |
Obligatorio
Si se selecciona, la acción reemplaza el archivo con el mismo nombre. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de entidades | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla de entidades
La acción Descargar archivo proporciona la siguiente tabla de entidades:
| Entidad | |
|---|---|
filepath |
Ruta de acceso absoluta al archivo. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Download File:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Mensajes de salida
La acción Download File proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Download
File". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
No se pudo realizar la acción. Verifica el valor del parámetro |
Waiting for results for the following
entities: ENTITY_ID |
Es un mensaje asíncrono. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Download File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar comando
Usa la acción Ejecutar comando para ejecutar comandos en los hosts de CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acción
La acción Ejecutar comando requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Command |
Obligatorio
Es un comando para ejecutar en los hosts. |
Admin Command |
Optional
Si es De forma predeterminada, |
Resultados de la acción
La acción Ejecutar comando proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
En un muro de casos, la acción Ejecutar comando proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
La acción se completó correctamente. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Waiting for results for the following
entities: ENTITY_ID |
Es un mensaje asíncrono. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Execute Command:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles de la alerta
Usa la acción Get Alert Details para recuperar los detalles de una alerta en CrowdStrike Falcon.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Alert Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. Es el ID único de la alerta de la que se recuperarán los detalles. |
Resultados de la acción
La acción Get Alert Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados en formato JSON que se reciben cuando se usa la acción Get Alert Details:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
La acción Get Alert Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Alert Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener desplazamiento del evento
Usa la acción Get Event Offset para recuperar el desplazamiento del evento que usa el conector de eventos de transmisión.
Esta acción comienza a procesar eventos de hace 30 días.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Get Event Offset requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Max Events To Process |
Obligatorio
Es la cantidad de eventos que la acción debe procesar a partir de hace 30 días. El valor predeterminado es |
Resultados de la acción
La acción Get Event Offset proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Event Offset:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Mensajes de salida
La acción Get Event Offset proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
La acción se completó correctamente. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Event Offset:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén información del host
Usa la acción Get Host Information para recuperar información sobre el nombre de host de CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Entradas de acción
La acción Get Host Information requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Create Insight |
Optional
Si se selecciona, la acción crea estadísticas que contienen información sobre entidades. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Get Host Information proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Get Host Information admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
site_name |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
status |
Devuelve si existe en el resultado JSON. |
bios_manufacturer |
Devuelve si existe en el resultado JSON. |
machine_domain |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Get Host Information:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Mensajes de salida
La acción Get Host Information proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Host Information:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén hosts por IOC (obsoleto)
Enumera los hosts relacionados con los IOC en CrowdStrike Falcon. Entidades admitidas:
Nombre de host, URL, dirección IP y hash.
Nota: Las entidades de nombre de host se tratan como IOC de dominio. La acción extrae la parte del dominio de las URLs. Solo se admiten los hashes MD5 y SHA-256.
Entidades
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acción
N/A
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Enriquecimiento de entidades
| Campo de enriquecimiento | Lógica |
|---|---|
| modified_timestamp | Devuelve si existe en el resultado JSON. |
| major_version | Devuelve si existe en el resultado JSON. |
| site_name | Devuelve si existe en el resultado JSON. |
| platform_id | Devuelve si existe en el resultado JSON. |
| config_id_platform | Devuelve si existe en el resultado JSON. |
| system_manufacturer | Devuelve si existe en el resultado JSON. |
| meta | Devuelve si existe en el resultado JSON. |
| first_seen | Devuelve si existe en el resultado JSON. |
| service_pack_minor | Devuelve si existe en el resultado JSON. |
| product_type_desc | Devuelve si existe en el resultado JSON. |
| build_number | Devuelve si existe en el resultado JSON. |
| Nombre de host | Devuelve si existe en el resultado JSON. |
| config_id_build | Devuelve si existe en el resultado JSON. |
| minor_version | Devuelve si existe en el resultado JSON. |
| os_version | Devuelve si existe en el resultado JSON. |
| provision_status | Devuelve si existe en el resultado JSON. |
| mac_address | Devuelve si existe en el resultado JSON. |
| bios_version | Devuelve si existe en el resultado JSON. |
| agent_load_flags | Devuelve si existe en el resultado JSON. |
| estado | Devuelve si existe en el resultado JSON. |
| bios_manufacturer | Devuelve si existe en el resultado JSON. |
| machine_domain | Devuelve si existe en el resultado JSON. |
| Device_policies | Devuelve si existe en el resultado JSON. |
| agent_local_time | Devuelve si existe en el resultado JSON. |
| slow_changing_modified_timestamp | Devuelve si existe en el resultado JSON. |
| service_pack_major | Devuelve si existe en el resultado JSON. |
| system_product_name | Devuelve si existe en el resultado JSON. |
| product_type | Devuelve si existe en el resultado JSON. |
| local_ip | Devuelve si existe en el resultado JSON. |
| external_ip | Devuelve si existe en el resultado JSON. |
| CID | Devuelve si existe en el resultado JSON. |
| platform_name | Devuelve si existe en el resultado JSON. |
| config_id_base | Devuelve si existe en el resultado JSON. |
| políticas | Devuelve si existe en el resultado JSON. |
| last_seen | Devuelve si existe en el resultado JSON. |
| pointer_size | Devuelve si existe en el resultado JSON. |
| agent_version | Devuelve si existe en el resultado JSON. |
Estadísticas de la entidad
N/A
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si se ejecuta correctamente y se encuentra al menos un host relacionado con los IOC proporcionados (is_success=true): "Se recuperaron correctamente los hosts relacionados con los IOC proporcionados en CrowdStrike Falcon". Si no se encuentran hosts relacionados (is_success=false): "No se relacionaron hosts con los IOC proporcionados en CrowdStrike Falcon". La acción debería fallar y detener la ejecución de un playbook: Si se informa un error crítico: "Error al ejecutar la acción "{nombre de la acción}". Motivo: {traceback}". |
General |
Obtén el nombre del proceso por IOC (obsoleto)
Recupera los procesos relacionados con los IOC y los dispositivos proporcionados en CrowdStrike Falcon. Entidades admitidas: Nombre de host, URL, dirección IP y hash.
Nota: Las entidades de nombre de host se tratan como IOC de dominio. La acción extrae la parte del dominio de las URLs. Solo se admiten los hashes MD5, SHA-1 y SHA-256. Las entidades de direcciones IP se tratan como IOC.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de los dispositivos | 11 | N/A | Sí | Especifica una lista separada por comas de los dispositivos para los que deseas recuperar procesos relacionados con entidades. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Hash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Nombre del proceso | Devuelve si existe en el resultado JSON. |
| Indicador | Devuelve si existe en el resultado JSON. |
| Nombre del host | Devuelve si existe en el resultado JSON. |
Estadísticas de la entidad
N/A
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si se encuentran procesos relacionados con entidades para al menos un extremo (is_success=true): "Se recuperaron correctamente los procesos relacionados con los IOC en los siguientes extremos de CrowdStrike Falcon: {nombre del dispositivo}". Si no se encuentran procesos para al menos un extremo o no se encuentra el dispositivo (is_success=true): "No se encontraron procesos relacionados en los siguientes extremos en CrowdStrike Falcon: {nombre del dispositivo}". Si no se encuentran procesos para todos los extremos o no se encuentra ninguno de los dispositivos (is_success=false): "No se encontraron procesos relacionados en los extremos proporcionados en CrowdStrike Falcon. La acción debería fallar y detener la ejecución de un playbook: Si se informa un error crítico: "Error al ejecutar "{nombre de la acción}". Motivo: {trace back}". |
Obtén detalles de Vertex
Usa la acción Get Vertex Details para enumerar todas las propiedades asociadas con un indicador en particular.
Las entidades de Google SecOps se consideran como IOC.
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Hash
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Vertex Details proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Get Vertex Details admite el siguiente enriquecimiento:
| Campo de enriquecimiento | Lógica |
|---|---|
vertex_type |
Devuelve si existe en el resultado JSON. |
timestamp |
Devuelve si existe en el resultado JSON. |
object_id |
Devuelve si existe en el resultado JSON. |
properties |
Devuelve si existe en el resultado JSON. |
edges |
Devuelve si existe en el resultado JSON. |
scope |
Devuelve si existe en el resultado JSON. |
customer_id |
Devuelve si existe en el resultado JSON. |
id |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Vertex Details:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Vertex Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Extremo de Lift Contained
Usa la acción Lift Contained Endpoint para levantar la contención de un endpoint en CrowdStrike Falcon.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acción
La acción Lift Contained Endpoint requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Fail If Timeout |
Obligatorio
Si se selecciona y no se levanta la contención en todos los extremos, la acción falla. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Lift Contained Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Enriquecimiento de entidades
La acción Lift Contained Endpoint admite el siguiente enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica |
|---|---|
status |
Devuelve si existe en el resultado JSON. |
modified_timestamp |
Devuelve si existe en el resultado JSON. |
major_version |
Devuelve si existe en el resultado JSON. |
config_id_platform |
Devuelve si existe en el resultado JSON. |
system_manufacturer |
Devuelve si existe en el resultado JSON. |
device_policies |
Devuelve si existe en el resultado JSON. |
meta |
Devuelve si existe en el resultado JSON. |
pointer_size |
Devuelve si existe en el resultado JSON. |
last_seen |
Devuelve si existe en el resultado JSON. |
agent_local_time |
Devuelve si existe en el resultado JSON. |
first_seen |
Devuelve si existe en el resultado JSON. |
service_pack_major |
Devuelve si existe en el resultado JSON. |
slow_changing_modified_timestamp |
Devuelve si existe en el resultado JSON. |
service_pack_minor |
Devuelve si existe en el resultado JSON. |
system_product_name |
Devuelve si existe en el resultado JSON. |
product_type_desc |
Devuelve si existe en el resultado JSON. |
build_number |
Devuelve si existe en el resultado JSON. |
cid |
Devuelve si existe en el resultado JSON. |
local_ip |
Devuelve si existe en el resultado JSON. |
external_ip |
Devuelve si existe en el resultado JSON. |
hostname |
Devuelve si existe en el resultado JSON. |
config_id_build |
Devuelve si existe en el resultado JSON. |
minor_version |
Devuelve si existe en el resultado JSON. |
platform_id |
Devuelve si existe en el resultado JSON. |
os_version |
Devuelve si existe en el resultado JSON. |
config_id_base |
Devuelve si existe en el resultado JSON. |
provision_status |
Devuelve si existe en el resultado JSON. |
mac_address |
Devuelve si existe en el resultado JSON. |
bios_version |
Devuelve si existe en el resultado JSON. |
platform_name |
Devuelve si existe en el resultado JSON. |
agent_load_flags |
Devuelve si existe en el resultado JSON. |
device_id |
Devuelve si existe en el resultado JSON. |
product_type |
Devuelve si existe en el resultado JSON. |
agent_version |
Devuelve si existe en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Lift Contained Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensajes de salida
La acción Lift Contained Endpoint proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Es un mensaje asíncrono. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
No se pudo realizar la acción. Verifica el estado del extremo y el valor del parámetro |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Lift Contained Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera las vulnerabilidades del host
Usa la acción List Host Vulnerabilities para enumerar las vulnerabilidades que se encontraron en el host en CrowdStrike Falcon.
Esta acción requiere una licencia y permisos de Falcon Spotlight.
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Entradas de acción
La acción List Host Vulnerabilities requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Severity Filter |
Optional
Es una lista separada por comas de las gravedades de las vulnerabilidades. Si no proporcionas ningún valor, la acción ingiere todas las vulnerabilidades relacionadas. Los valores posibles son los siguientes:
|
Create Insight |
Optional
Si se selecciona, la acción crea una estadística para cada entidad que contiene información estadística sobre las vulnerabilidades relacionadas. Esta opción se selecciona de forma predeterminada. |
Max Vulnerabilities To Return |
Optional
Es la cantidad de vulnerabilidades que se mostrarán para un solo host. Si no proporcionas ningún valor, la acción procesa todas las vulnerabilidades relacionadas. El valor predeterminado es |
Resultados de la acción
La acción List Host Vulnerabilities proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
En un muro de casos, la acción List Host Vulnerabilities proporciona la siguiente tabla:
Tipo: Entidad
Columnas:
- Nombre
- Puntuación
- Gravedad
- Estado
- App
- Tiene corrección
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Host Vulnerabilities:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Mensajes de salida
La acción List Host Vulnerabilities proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
No se pudo realizar la acción. Verifica el valor del parámetro |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Host Vulnerabilities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera los hosts
Usa la acción List Hosts para enumerar los hosts disponibles en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
La acción List Hosts requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Filter Logic |
Optional
Es una lógica que se usa cuando se buscan hosts. El valor predeterminado es
|
Filter Value |
Optional
Es un valor que se usa para filtrar hosts. |
Max Hosts To Return |
Optional
Es la cantidad de hosts que se devolverán. El valor predeterminado es El valor máximo es |
Resultados de la acción
La acción List Hosts proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción List Hosts:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Mensajes de salida
La acción List Hosts proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Hosts:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera los IOCs cargados
Usa la acción List Uploaded IOCs para enumerar los IOC personalizados disponibles en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
La acción List Uploaded IOCs requiere los siguientes parámetros:
| Parámetros | |
|---|---|
IOC Type Filter |
Optional
Es una lista separada por comas de los tipos de IOC que se devolverán. El valor predeterminado es
|
Value Filter Logic |
Optional
Es un valor de la lógica del filtro. El valor predeterminado es
Si se establece |
Value Filter String |
Optional
Es una cadena para buscar entre los IOC. |
Max IOCs To Return |
Optional
Es la cantidad de IOCs que se devolverán. El valor predeterminado es El valor máximo es 500. |
Resultados de la acción
La acción List Uploaded IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
En un muro de casos, la acción List Uploaded IOCs proporciona la siguiente tabla:
Columnas:
- Acción
- Gravedad
- Firmado
- Éxitos de AV
- Plataformas
- Etiquetas
- Fecha de creación
- Creado por
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Uploaded IOCs:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Mensajes de salida
La acción List Uploaded IOCs proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
La acción se completó correctamente. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
No se pudo realizar la acción. Verifica la ortografía y el valor del parámetro |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción List Uploaded IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Análisis a pedido
Usa la acción On-Demand Scan para analizar el extremo a pedido en CrowdStrike.
Esta acción solo se ejecuta en hosts de Windows y en las siguientes entidades:
- Dirección IP
- Nombre de host
La acción Análisis a pedido se ejecuta de forma asíncrona. Si es necesario, ajusta el valor de tiempo de espera del script en el IDE de Google SecOps.
Entradas de acción
La acción On-Demand Scan requiere los siguientes parámetros:
| Parámetros | |
|---|---|
File Paths To Scan |
Obligatorio Es una lista de rutas de acceso separadas por comas que se deben analizar. El valor predeterminado es |
File Paths To Exclude From Scan |
Optional Lista de rutas de acceso separadas por comas que se excluirán del análisis. |
Host Group Name |
Optional Es una lista separada por comas de los nombres de los grupos de hosts para los que se iniciará el análisis. La acción crea un proceso de análisis independiente para cada grupo de hosts. |
Scan Description |
Optional Es una descripción que se usará para el proceso de análisis. Si no estableces ningún valor, la acción establecerá la siguiente descripción: |
CPU Priority |
Optional Cantidad de CPU que se usará para el host subyacente durante el análisis. Los valores posibles son los siguientes:
El valor predeterminado es |
Sensor Anti-malware Detection Level |
Optional Es el valor del nivel de detección de software malicioso del sensor. El nivel de detección debe ser igual o superior al nivel de prevención. Los valores posibles son los siguientes:
El valor predeterminado es |
Sensor Anti-malware Prevention Level |
Optional Es el valor del nivel de prevención contra software malicioso del sensor. El nivel de detección debe ser igual o superior al nivel de prevención. Los valores posibles son los siguientes:
El valor predeterminado es |
Cloud Anti-malware Detection Level |
Optional Es el valor del nivel de detección de software malicioso en la nube. El nivel de detección debe ser igual o superior al nivel de prevención. Los valores posibles son los siguientes:
El valor predeterminado es |
Cloud Anti-malware Prevention Level |
Optional Es el valor del nivel de prevención contra software malicioso en la nube. El nivel de detección debe ser igual o superior al nivel de prevención. Los valores posibles son los siguientes:
El valor predeterminado es |
Quarantine Hosts |
Optional Si se selecciona, la acción pone en cuarentena los hosts subyacentes como parte del análisis. No está seleccionada de forma predeterminada. |
Create Endpoint Notification |
Optional Si se selecciona, el proceso de análisis crea una notificación de extremo. Esta opción se selecciona de forma predeterminada. |
Max Scan Duration |
Optional Cantidad de horas que se ejecutará un análisis. Si no proporcionas ningún valor, el análisis se ejecutará de forma continua. |
Resultados de la acción
La acción Análisis On demand proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Análisis a pedido:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Mensajes de salida
La acción Análisis a pedido proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Análisis a pedido:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar secuencia de comandos
Usa la acción Ejecutar secuencia de comandos para ejecutar una secuencia de comandos de PowerShell en los extremos de CrowdStrike.
Esta acción es asíncrona. Si es necesario, ajusta el valor de tiempo de espera del script en el IDE de SecOps de Google.
Esta acción se ejecuta en las entidades de dirección IP y nombre de host.
Entradas de acción
La acción Ejecutar secuencia de comandos requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Customer ID |
Optional Es el ID del cliente para el que se ejecutará la acción. |
Script Name |
Optional Es el nombre del archivo de secuencia de comandos que se ejecutará. Configura el parámetro |
Raw Script |
Optional Es una carga útil de secuencia de comandos de PowerShell sin procesar para ejecutar en los extremos. Configura el parámetro |
Resultados de la acción
La acción Ejecutar secuencia de comandos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
En un muro de casos, la acción Ejecutar secuencia de comandos proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar secuencia de comandos:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Eventos de búsqueda
Usa esta acción para buscar eventos en CrowdStrike. Nota: La acción se ejecuta de forma asíncrona. Ajusta el valor del tiempo de espera del script en el IDE de Google SecOps para la acción, según sea necesario.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Search Events requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Repository |
Obligatorio
Es el repositorio en el que se debe realizar la búsqueda. Los valores posibles son los siguientes:
|
Query |
Obligatorio
Es la consulta que se debe ejecutar en CrowdStrike. Nota: No proporciones "cabeza" como parte de la búsqueda. La acción lo proporcionará automáticamente según el valor proporcionado en el parámetro "Max Results To Return". |
Time Frame |
Optional
Es el período de los resultados. Si se selecciona "Personalizado", también debes proporcionar la "Hora de inicio". Los valores posibles de la última hora son los siguientes:
|
Start Time |
Optional
Es la hora de inicio de los resultados. Si se selecciona "Personalizado" para el parámetro "Período", este parámetro es obligatorio. Formato: ISO 8601. |
End Time |
Optional
Cantidad de resultados que se devolverán para la búsqueda. La acción agregará "head" a la búsqueda proporcionada. El valor predeterminado es 50. El valor máximo es 1,000. |
Resultados de la acción
La acción Search Events proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
En un muro de casos, la acción Search Events proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
|
La acción no debe fallar ni detener la ejecución de una guía. |
|
|
No se pudo realizar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Search Events:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Submit File para enviar archivos a un entorno de pruebas en CrowdStrike.
Esta acción requiere una licencia de Falcon Sandbox.
Esta acción no se ejecuta en entidades.
Formatos de archivo y archivo admitidos
Según el portal de CrowdStrike, la zona de pruebas admite los siguientes formatos de archivo:
| Formatos de archivo compatibles | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Ejecutables portátiles |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documentos de Office |
.pdf |
|
.apk |
APK |
.jar |
JAR ejecutable |
.sct |
Componente de secuencia de comandos de Windows |
.lnk |
Acceso directo de Windows |
.chm |
Ayuda de Windows |
.hta |
Aplicación HTML |
.wsf |
Archivo de secuencia de comandos de Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
PowerShell |
.svg |
Gráficos vectoriales escalables |
.py |
Python |
.elf |
Ejecutables ELF de Linux |
.eml |
Archivos de correo electrónico: MIME RFC 822 |
.msg |
Archivos de correo electrónico: Outlook |
Según el portal de CrowdStrike, la zona de pruebas admite los siguientes formatos de archivo:
.zip.7z
Entradas de acción
La acción Submit File requiere los siguientes parámetros:
| Parámetros | |
|---|---|
File Paths |
Obligatorio
Es una lista de rutas de acceso absolutas a los archivos enviados. El formato depende de tu implementación:
Para obtener una lista de los formatos de archivo compatibles, consulta Formatos de archivo y archivo compatibles. |
Sandbox Environment |
Optional
Es un entorno de zona de pruebas para analizar. El valor predeterminado es
|
Network Environment |
Optional
Es un entorno de red para analizar. El valor predeterminado es
|
Archive Password |
Optional
Contraseña que se usará cuando se trabaje con archivos. |
Document Password |
Optional
Contraseña que se usará cuando se trabaje con archivos de Adobe u Office. La longitud máxima de la contraseña es de 32 caracteres. |
Check Duplicate |
Optional
Si se selecciona, la acción verifica si el archivo ya se envió anteriormente y devuelve el informe disponible. Durante la validación, la acción no considera los parámetros Esta opción se selecciona de forma predeterminada. |
Comment |
Optional
Es un comentario que se enviará. |
Confidential Submission |
Optional
Si se selecciona esta opción, el archivo solo se mostrará a los usuarios de tu cuenta de cliente. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Submit File proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
En un muro de casos, la acción Enviar archivo proporciona la siguiente tabla:
Columnas:
- Resultados
- Nombre
- Puntuación de amenaza
- Veredicto
- Etiquetas
Mensajes de salida
La acción Submit File proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
|
La acción devolvió un error. Consulta los formatos de archivo admitidos para esta acción. |
Waiting for results for the following
files: PATHS |
Es un mensaje asíncrono. |
Error executing action "Submit File".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
No se pudo realizar la acción. Aumenta el tiempo de espera en el IDE. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Submit File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enviar URL
Usa la acción Submit URL para enviar URLs a un entorno de pruebas en CrowdStrike.
Esta acción requiere una licencia de Falcon Sandbox. Para verificar qué formatos de archivo admite la zona de pruebas, consulta la sección Formatos de archivo y archivo admitidos de este documento.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Enviar URL requiere los siguientes parámetros:
| Parámetros | |
|---|---|
URLs |
Obligatorio
Son las URLs que se enviarán. |
Sandbox Environment |
Optional
Es un entorno de zona de pruebas para analizar. El valor predeterminado es
|
Network Environment |
Optional
Es un entorno de red para analizar. El valor predeterminado es
|
Check Duplicate |
Optional
Si se selecciona, la acción verifica si la URL ya se envió anteriormente y devuelve el informe disponible. Durante la validación, la acción no considera los parámetros Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Enviar URL proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Enviar URL proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Waiting for results for the following
URLs: PATHS |
Es un mensaje asíncrono. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
No se pudo realizar la acción. Aumenta el tiempo de espera en el IDE. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enviar URL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Update Alert para actualizar las alertas en CrowdStrike Falcon.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Update Alert requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Alert ID |
Obligatorio Es el ID de la alerta que se actualizará. |
Status |
Optional Es el estado de la alerta. Los valores posibles son los siguientes:
|
Verdict |
Optional Es el veredicto de la alerta. Los valores posibles son los siguientes:
|
Assign To |
Optional Nombre del analista al que se le asignará la alerta. Si proporcionas La API acepta cualquier valor, incluso si el usuario proporcionado no existe en el sistema. |
Resultados de la acción
La acción Update Alert proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Update Alert:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
La acción Update Alert proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Update Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualización de detección
Usa la acción Update Detection para actualizar las detecciones en CrowdStrike Falcon.
Esta acción se ejecuta en todas las entidades.
Entradas de acción
La acción Update Detection requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
Es el ID de la detección que se actualizará. |
Status |
Obligatorio
Es el estado de detección. El valor predeterminado es
|
Assign Detection to |
Optional
Es la dirección de correo electrónico del usuario de CrowdStrike Falcon que es el asignatario de la detección. |
Resultados de la acción
La acción Update Detection proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Detection proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
La acción se completó correctamente. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
No se pudo realizar la acción. Verifica los valores de los parámetros |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Update Detection:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualiza la detección de Protección de identidad
Usa Update Identity Protection Detection para actualizar una detección de protección de identidad en CrowdStrike.
Esta acción requiere una licencia de Identity Protection.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Update Identity Protection Detection requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Detection ID |
Obligatorio
Es el ID de la detección que se actualizará. |
Status |
Optional
Es el estado de la detección. El valor predeterminado es Los valores posibles son los siguientes:
|
Assign to |
Optional
Nombre del analista asignado. Si se proporciona Si se proporciona un valor no válido, la acción no cambiará al asignado actual. |
Resultados de la acción
La acción Update Identity Protection Detection proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Update Identity Protection Detection:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensajes de salida
En un muro de casos, la acción Update Identity Protection Detection proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
La acción se completó correctamente. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
No se pudo realizar la acción. Verifica la ortografía. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
No se pudo realizar la acción. Verifica los valores de los parámetros |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Update Identity Protection Detection:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar incidente
Usa la acción Update Incident para actualizar incidentes en CrowdStrike.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Update Incident requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Incident ID |
Obligatorio
Es el ID del incidente que se actualizará. |
Status |
Optional
Es el estado del incidente. Los valores posibles son los siguientes:
|
Assign to |
Optional
Nombre o dirección de correo electrónico del analista asignado. Si se proporciona Para especificar un nombre, proporciona el nombre y el apellido del analista en el siguiente formato:
|
Resultados de la acción
La acción Update Incident proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Update Incident:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Mensajes de salida
La acción Update Incident proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
La acción se completó correctamente. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
No se pudo realizar la acción. Verifica la ortografía. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
No se pudo realizar la acción. Verifica la ortografía. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
No se pudo realizar la acción. Verifica los parámetros de entrada. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Update Incident:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualiza la información del IOC
Usa la acción Update IOC Information para actualizar la información sobre los IOC personalizados en CrowdStrike Falcon.
Esta acción trata a las entidades de nombre de host como IOC de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Update IOC Information se ejecuta en las siguientes entidades:
- Nombre de host
- URL
- Dirección IP
- Hash
Entradas de acción
La acción Update IOC Information requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Description |
Optional
Es una nueva descripción para los IOC personalizados. |
Source |
Optional
Es una fuente de IOCs personalizados. |
Expiration days |
Optional
Cantidad de días restantes hasta el vencimiento. Este parámetro solo afecta a las entidades de URL, dirección IP y nombre de host. |
Detect policy |
Optional
Si se selecciona, la acción envía una notificación sobre los IOC identificados. Si no se selecciona, la acción no envía ninguna notificación. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Update IOC Information proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Update IOC Information:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Mensajes de salida
En un muro de casos, la acción Update IOC Information proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Update IOC Information:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo subir IOC
Usa la acción Upload IOCs para agregar IOCs personalizados en CrowdStrike Falcon.
Esta acción trata a las entidades de nombre de host como IOC de dominio y extrae la parte del dominio de las URLs. Esta acción solo admite los hashes MD5 y SHA-256.
La acción Subir IOCs se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- URL
- Hash
Entradas de acción
La acción Subir IOC requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Platform |
Obligatorio
Es una lista separada por comas de las plataformas relacionadas con el IOC. El valor predeterminado es
|
Severity |
Obligatorio
Es la gravedad del IOC. El valor predeterminado es
|
Comment |
Optional
Es un comentario que contiene más contexto relacionado con el IOC. |
Host Group Name |
Obligatorio
Es el nombre del grupo de hosts. |
Action |
Optional
Es una acción para los IOCs subidos. El valor predeterminado es Los valores posibles son los siguientes:
El valor |
Resultados de la acción
La acción Subir IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Subir IOCs proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
No se pudo realizar la acción. Verifica el valor del parámetro |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
No se pudo realizar la acción. Verifica el valor del parámetro |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Upload IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Asegúrate de haber configurado los permisos mínimos para cada conector de CrowdStrike. Para obtener más información, consulta la sección Permisos del conector de este documento.
Si deseas obtener instrucciones para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).
Eventos de CrowdStrike
Los eventos son fragmentos de información que recopilan los sensores de Falcon en tus hosts. Existen cuatro tipos de eventos en CrowdStrike:
| Tipos de eventos de CrowdStrike | |
|---|---|
| Eventos de auditoría de actividad de Auth | Son los eventos que se generan cada vez que se solicita, permite o completa la autorización en los extremos. |
| Eventos de resumen de detección | Son los eventos que se generan cuando se detectan amenazas en los endpoints. |
| Eventos de finalización de sesión de respuesta remota | Son eventos generados a partir de sesiones remotas en extremos. |
| Eventos de auditoría de la actividad del usuario | Son los eventos que se generan para supervisar las actividades que realizan los usuarios activos en los extremos. |
Los conectores transfieren eventos a Google SecOps para crear alertas y enriquecer los casos con datos de eventos. Puedes seleccionar qué eventos deseas transferir a Google SecOps: todos los tipos de eventos o solo algunos.
Conector de Detecciones de CrowdStrike
Usa el conector de detecciones de CrowdStrike para extraer detecciones de CrowdStrike.
La lista dinámica funciona con los filtros compatibles con la API de CrowdStrike.
Cómo trabajar con la lista dinámica
Cuando trabajes con la lista dinámica, sigue estas recomendaciones:
- Usa el lenguaje FQL de CrowdStrike para modificar el filtro que envía el conector.
- Proporciona una entrada independiente en la lista dinámica para cada filtro.
Para transferir todas las detecciones asignadas a un analista específico, asegúrate de que el analista proporcione la siguiente entrada de lista dinámica:
assigned_to_name:'ANALYST_USER_NAME'
La lista dinámica admite los siguientes parámetros:
| Parámetros admitidos | |
|---|---|
q |
Es una búsqueda en el texto completo en todos los campos de metadatos. |
date_updated |
Es la fecha de la actualización de detección más reciente. |
assigned_to_name |
Es el nombre de usuario legible del asignado de la detección. |
max_confidence |
Cuando una detección tiene más de un comportamiento asociado con diferentes niveles de confianza, este campo captura el valor de confianza más alto de todos los comportamientos. El valor del parámetro puede ser cualquier número entero del 1 al 100. |
detection_id |
Es el ID de detección que se puede usar junto con otras APIs, como la API de Detection Details o la API de Resolve Detection. |
max_severity |
Cuando una detección tiene más de un comportamiento asociado con diferentes niveles de gravedad, este campo captura el valor de gravedad más alto de todos los comportamientos. El valor del parámetro puede ser cualquier número entero del 1 al 100. |
max_severity_displayname |
Es el nombre que se usa en la IU para determinar la gravedad de la detección. Los valores posibles son los siguientes:
|
seconds_to_triaged |
Es el tiempo que tarda una detección en cambiar su estado de new a in_progress. |
seconds_to_resolved |
Es el tiempo que tarda una detección en cambiar su estado de new a cualquiera de los estados resueltos (true_positive, false_positive, ignored y closed). |
status |
Es el estado actual de la detección. Los valores posibles son los siguientes:
|
adversary_ids |
El adversario al que hace un seguimiento CrowdStrike Falcon Intelligence posee un ID asociado con los comportamientos o indicadores atribuidos en una detección. Estos IDs se encuentran en los metadatos de detección a los que se puede acceder a través de la API de Detection Details. |
cid |
Es el ID de cliente (CID) de tu organización. |
Parámetros del conector
El conector de detecciones de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
Es el ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
Es el secreto del cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Es la puntuación de gravedad más baja de las detecciones que se recuperarán. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Lowest Confidence Score To Fetch |
Optional
Es la puntuación de confianza más baja de las detecciones que se recuperarán. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Max Hours Backwards |
Optional
Cantidad de horas desde las que se recuperarán las detecciones. El valor predeterminado es |
Max Detections To Fetch |
Optional
Es la cantidad de detecciones que se procesarán en una sola iteración del conector. El valor predeterminado es |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Password |
Optional
Contraseña del proxy para la autenticación. |
Case Name Template |
Optional
Si se proporciona, el conector agrega una clave nueva llamada Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de SecOps de Google para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Padding Period |
Optional
Cantidad de horas que usa el conector para el relleno. El valor máximo es |
Include Hidden Alerts |
Optional
Si está habilitado, el conector también recuperará las alertas etiquetadas como "ocultas" por CrowdStrike. |
Fallback Severity |
Optional
Es la gravedad de resguardo para la alerta de Google SecOps que se debe aplicar a las alertas de CrowdStrike que no tienen información de gravedad. Valores posibles: Informativo, Bajo, Medio, Alto, Crítico. Si no se proporciona nada, el conector usará la gravedad "Informativa". |
Customer ID |
Optional Es el ID de cliente del grupo de usuarios en el que se ejecutará el conector. Se usa en entornos de múltiples usuarios (MSSP). |
Reglas del conector
El conector admite proxies.
Eventos del conector
A continuación, se muestra un ejemplo del evento del conector:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Conector de eventos de transmisión de CrowdStrike Falcon
El conector de eventos de transmisión de CrowdStrike Falcon aborda los siguientes casos de uso:
Transferencia de datos de eventos de detección.
CrowdStrike Falcon detecta un intento de ejecutar el archivo
SophosCleanM.exemalicioso en un endpoint. CrowdStrike detiene la operación y crea una alerta que contiene hashes de archivos en los datos del evento.Un analista interesado en la reputación de los archivos ejecuta los hashes descubiertos en VirusTotal y descubre que un hash es malicioso. Como paso siguiente, la acción de EDR de McAfee pone en cuarentena el archivo malicioso.
Ingesta de datos de eventos de auditoría de la actividad del usuario
Dani, un usuario de CrowdStrike, actualiza el estado de detección de
newafalse-positive. Esta acción del usuario crea un evento llamado detection_update.El analista realiza un seguimiento para comprender por qué Dani marcó la acción como falsa positiva y verifica el evento incorporado que contiene la información sobre la identidad de Dani.
Como siguiente paso, el analista ejecuta la acción Enrich Entities de Active Directory para obtener más detalles sobre el incidente y simplificar el seguimiento de Dani.
Transferencia de datos de eventos de auditoría de actividad de autenticación.
Un evento indica que Dani creó una cuenta de usuario nueva y le otorgó roles de usuario.
Para investigar el evento y comprender por qué se creó el usuario, el analista usa el ID de usuario de Dani para ejecutar la acción Enrich Entities de Active Directory y averiguar el rol de usuario de Dani para confirmar si tiene autorización para agregar usuarios nuevos.
Ingesta de datos de eventos finales de respuesta remota.
Un evento remoto indica que Dani tenía una conexión remota a un host específico y ejecutó comandos como usuario raíz para acceder a un directorio del servidor web.
Para obtener más información sobre Dani y el host involucrado, el analista ejecuta la acción de Active Directory para enriquecer tanto al usuario como al host. Según la información que se devuelva, el analista podría decidir suspender a Dani hasta que se aclare el propósito de la conexión remota.
Entradas del conector
El conector de eventos de transmisión de CrowdStrike Falcon requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de SecOps de Google para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
API Root |
Obligatorio
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
Es el ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
Es el secreto del cliente de la cuenta de CrowdStrike. |
Event types |
Optional
Es una lista de tipos de eventos separados por comas. A continuación, se muestran ejemplos de los tipos de eventos:
|
Max Days Backwards |
Optional
Cantidad de días anteriores al día de hoy desde los que se recuperarán las detecciones. El valor predeterminado es |
Max Events Per Cycle |
Optional
Es la cantidad de eventos que se procesarán en una sola iteración del conector. El valor predeterminado es |
Min Severity |
Optional Eventos que se deben ingerir según la gravedad del evento (eventos de detección). El valor varía de 0 a 5. Si se transfieren otros tipos de eventos además de las detecciones, su gravedad se establece en |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 60 segundos. |
Proxy Server Address |
Optional
Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Password |
Optional
Contraseña del proxy para la autenticación. |
Rule Generator Template |
Optional
Si se proporciona, el conector usa este valor para el generador de reglas de Google SecOps. Puedes proporcionar marcadores de posición en el siguiente formato: [ Si no proporcionas ningún valor o una plantilla no válida, el conector usará el generador de reglas predeterminado. El conector usa el primer evento de SecOps de Google para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Customer ID |
Optional Es el ID de cliente del grupo de usuarios en el que se ejecutará el conector. Se usa en entornos de múltiples usuarios (MSSP). |
Reglas del conector
Este conector admite proxies.
Este conector no admite la lista dinámica.
Conector de detecciones de protección de identidad de CrowdStrike
Usa el conector de detecciones de protección de identidad de CrowdStrike para extraer las detecciones de protección de identidad de CrowdStrike. La lista dinámica funciona con el parámetro display_name.
Este conector requiere una licencia de Identity Protection.
Entradas del conector
El conector de detecciones de protección de identidad de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
Es el ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
Es el secreto del cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Es la puntuación de gravedad más baja de las detecciones que se recuperarán. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es El conector también admite los siguientes valores para este parámetro:
|
Lowest Confidence Score To Fetch |
Optional
Es la puntuación de confianza más baja de las detecciones que se recuperarán. Si no se proporciona ningún valor, el conector no aplica este filtro. El valor máximo es El valor predeterminado es |
Max Hours Backwards |
Optional
Cantidad de horas previas al momento actual desde las que se recuperan las detecciones. El valor predeterminado es |
Max Detections To Fetch |
Optional
Es la cantidad de detecciones que se procesarán en una sola iteración del conector. El valor predeterminado es |
Case Name Template |
Optional
Si se proporciona, el conector agrega una clave nueva llamada Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de SecOps de Google para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Password |
Optional
Contraseña del proxy para la autenticación. |
Customer ID |
Optional Es el ID de cliente del grupo de usuarios en el que se ejecutará el conector. Se usa en entornos de múltiples usuarios (MSSP). |
Reglas del conector
Este conector admite proxies.
Evento del conector
A continuación, se muestra un ejemplo del evento del conector:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Conector de incidentes de CrowdStrike
Usa el conector de incidentes de CrowdStrike para extraer incidentes y comportamientos relacionados de CrowdStrike.
La lista dinámica funciona con el parámetro incident_type.
Parámetros del conector
El conector de incidentes de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
Es el ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
Es el secreto del cliente de la cuenta de CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Es la puntuación de gravedad más baja de los incidentes que se recuperarán. Si no se proporciona ningún valor, el conector ingiere incidentes con todos los niveles de gravedad. El valor máximo es
|
Max Hours Backwards |
Optional
Cantidad de horas anteriores al momento actual desde las que se recuperan los incidentes. El valor predeterminado es |
Max Incidents To Fetch |
Optional
Es la cantidad de incidentes que se procesarán en una sola iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Password |
Optional
Contraseña del proxy para la autenticación. |
Customer ID |
Optional Es el ID de cliente del grupo de usuarios en el que se ejecutará el conector. Se usa en entornos de múltiples usuarios (MSSP). |
Reglas del conector
Este conector admite proxies.
Eventos del conector
El conector de incidentes de CrowdStrike tiene dos tipos de eventos: uno basado en incidentes y el otro en el comportamiento.
A continuación, se muestra un ejemplo de un evento basado en un incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
A continuación, se muestra un ejemplo de un evento basado en el comportamiento:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike: conector de alertas
Usa el Conector de alertas de CrowdStrike para extraer alertas de CrowdStrike.
La lista dinámica funciona con el parámetro display_name.
Para recuperar las detecciones de protección de identidad, usa el conector de Identity Protection Detections.
Entradas del conector
El Conector de alertas de CrowdStrike requiere los siguientes parámetros:
| Parámetros | |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo de origen que contiene el nombre de El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio Límite de tiempo de espera en segundos para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio
Es la raíz de la API de la instancia de CrowdStrike. El valor predeterminado es |
Client ID |
Obligatorio
Es el ID de cliente de la cuenta de CrowdStrike. |
Client Secret |
Obligatorio
Es el secreto del cliente de la cuenta de CrowdStrike. |
Case Name Template |
Optional
Si se proporciona, el conector agrega una clave nueva llamada Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: El conector usa el primer evento de Google SecOps para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Alert Name Template |
Optional
Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición en el siguiente formato: [ Nota: Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado. El conector usa el primer evento de SecOps de Google para los marcadores de posición. Este parámetro solo permite claves con un valor de cadena. |
Lowest Severity Score To Fetch |
Optional
Es la puntuación de gravedad más baja de los incidentes que se recuperarán. Si no se proporciona ningún valor, el conector ingiere incidentes con todos los niveles de gravedad. El valor máximo es
En la IU de CrowdStrike, el mismo valor se presenta dividido por 10. |
Max Hours Backwards |
Optional
Cantidad de horas anteriores al momento actual desde las que se recuperan los incidentes. El valor predeterminado es |
Max Alerts To Fetch |
Optional
Es la cantidad de alertas que se procesarán en una sola iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio
Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Disable Overflow |
Optional Si se selecciona, el conector ignora el mecanismo de desbordamiento. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para la conexión al servidor de CrowdStrike sea válido. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional
Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional
Nombre de usuario del proxy para la autenticación. |
Proxy Password |
Optional
Contraseña del proxy para la autenticación. |
Customer ID |
Optional Es el ID de cliente del grupo de usuarios en el que se ejecutará el conector. Se usa en entornos de múltiples usuarios (MSSP). |
Reglas del conector
Este conector admite proxies.
Eventos del conector
El siguiente es un ejemplo de un evento basado en alertas:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.