Migrar de la API CrowdStrike Detects a la API Alerts

En esta sección se describe cómo migrar la configuración para usar la API Alerts y evitar interrupciones en la ingesta de datos.

¿A quién afecta este cambio?

Este cambio te afecta si cumples las dos condiciones siguientes:

  • Tienes feeds de datos activos que usan el conector de la API CrowdStrike Detection Cloud Monitoring, que se asigna al tipo de registro CS_DETECTS.
  • El cliente de la API de CrowdStrike que has configurado para este feed no tiene privilegios de lectura para las alertas.

Para evitar que se interrumpa el servicio, completa uno de los siguientes procedimientos antes del 30 de septiembre del 2025.

Opción 1: Actualizar los permisos de tu cliente de API de CrowdStrike (recomendada)

Este método solo requiere cambios en la configuración de la consola de CrowdStrike Falcon y tiene el menor impacto en las reglas de detección que hacen referencia al tipo de registro CS_DETECTS.

Antes de empezar, identifica los clientes de la API mediante la API Detects. CrowdStrike proporciona un panel de control para ayudarte a identificar los clientes de API que usan endpoints obsoletos. Los clientes de API que usa el feed de monitorización de detecciones de Google SecOps tienen una cadena de user-agent que empieza por Google-Chronicle-Security.

Para configurar y usar el panel de control, sigue estos pasos:

  1. Ve al artículo de asistencia de CrowdStrike y descarga el archivo YAML PlannedDecommissionofthedetectsAPI(September30,2025), que se encuentra en la parte inferior de la página.
  2. En la consola de Falcon, ve a SIEM de nueva generación > Gestión de registros > Paneles de control.
  3. En la lista Crear panel de control, selecciona Crear nuevo. Crear
  4. Haz clic en Importar paneles de control.
  5. Importa el archivo YAML que has descargado. Archivo YAML
  6. En el panel de control, vaya a la tabla Llamadas a los endpoints de la API "/detects" obsoletos. En esta tabla se muestran los IDs de cliente de todos los clientes de API que llaman al endpoint obsoleto.
  7. Por cada ID de cliente de API identificado en el paso anterior, concede el permiso de lectura para las alertas, como se muestra en la imagen. Permisos de lectura
  8. En la consola de Falcon, ve a la pestaña Clientes de API OAuth2. Es posible que tengas que consultar varias páginas para encontrar un ID de cliente específico.
  9. Selecciona el cliente de la API que quieras modificar y haz clic en Editar cliente de la API.
  10. En la tabla del formulario Editar cliente de API, marque la casilla Leer de las alertas. Editar formulario de cliente de API
  11. Haz clic en Actualizar detalles del cliente.

  12. Verifica los cambios para asegurarte de que la migración se ha realizado correctamente.

    • Confirma que tus feeds de CrowdStrike en Google SecOps siguen recibiendo datos.
    • Vuelve a consultar el panel de control de la consola Falcon al cabo de 30 minutos. El panel de control ya no debería registrar ninguna llamada a la API Detects desde los IDs de cliente actualizados.

Opción 2: Crear y usar un nuevo cliente de la API de CrowdStrike

Usa esta opción si tienes problemas para identificar tus IDs de cliente de la API. El conector de Google SecOps para el tipo de registro CS_DETECTS intenta usar automáticamente la API Alerts. Si faltan los permisos necesarios, se usa la API Detects. Si crea un cliente con los permisos correctos, puede asegurarse de que el conector use la API Alerts moderna.

  1. En la consola de CrowdStrike Falcon, ve a la sección Clientes de API OAuth2.
  2. Haz clic en Crear cliente de API.
  3. En la tabla del formulario Crear cliente de API, marca la casilla Leer de las alertas.
  4. En el formulario API client created (Cliente de API creado), copie la información de los campos Client ID (ID de cliente), Secret (Secreto) y Base URL (URL base).
  5. En Google SecOps, ve a Configuración de SIEM > Feeds (Feeds).
  6. Busca el feed de monitorización de detecciones de CrowdStrike (CS_DETECTS) y haz clic en Editar feed.
  7. Sustituye las credenciales actuales por el ID y el secreto de cliente que has copiado de la consola de Falcon.
  8. Revise la configuración del feed y haga clic en Enviar.
  9. Repite estos pasos con cada feed CS_DETECTS en todas tus instancias de Google SecOps.

Verificar los cambios

Después de actualizar el feed, compruebe que la migración se ha realizado correctamente:

  • Confirma que tu feed de CrowdStrike en Google SecOps sigue recibiendo datos.
  • Consulta el panel de control de la consola de Falcon, tal como se describe en el método recomendado. El panel de control ya no debería registrar ninguna llamada a la API detects.

Para obtener más información, consulta el aviso oficial de retirada de CrowdStrike.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.