Migra de la API de CrowdStrike Detects a la API de Alerts

En esta sección, se describe cómo migrar tu configuración para usar la API de Alerts y evitar interrupciones en la transferencia de datos.

¿A quiénes afecta?

Este cambio te afecta si cumples con las dos condiciones siguientes:

• Tienes feeds de datos activos que utilizan el conector de la API de CrowdStrike Detection Cloud Monitoring, que se asigna al tipo de registro CS_DETECTS.
• El cliente de la API de CrowdStrike que configuraste para este feed no tiene privilegios de lectura para las alertas.

Para evitar la interrupción del servicio, completa uno de los siguientes procedimientos antes del 30 de septiembre de 2025.

• Opción 1: Actualiza los permisos de tu cliente de API de CrowdStrike existente (recomendado)
• Opción 2: Crea y usa un nuevo cliente de la API de CrowdStrike

Opción 1: Actualiza los permisos de tu cliente de API de CrowdStrike existente (recomendado)

Este enfoque requiere cambios de configuración solo en tu consola de CrowdStrike Falcon y tiene el menor impacto en las reglas de detección existentes que hacen referencia al tipo de registro CS_DETECTS.

Antes de comenzar, identifica los clientes de la API con la API de Detects. CrowdStrike proporciona un panel para ayudarte a identificar los clientes de la API que usan extremos obsoletos. Los clientes de la API que usa el feed de supervisión de detección de SecOps de Google tienen una cadena de usuario-agente que comienza con Google-Chronicle-Security.

Para configurar y usar el panel, sigue estos pasos:

1. Navega al artículo de asistencia técnica de CrowdStrike y descarga el archivo YAML, titulado PlannedDecommissionofthedetectsAPI(September30,2025), que se adjunta en la parte inferior de la página.
2. En la consola de Falcon, navega a Next-Gen SIEM > Log management > Dashboards.
3. En la lista Crear panel, selecciona Crear nuevo.
4. Haz clic en Importar paneles.
5. Importa el archivo YAML que descargaste.
6. En el panel, navega a la tabla Llamadas a los extremos de API "/detects" en desuso. En esta tabla, se enumeran los IDs de cliente de todos los clientes de la API que llaman al extremo en desuso.
7. Para cada ID de cliente de la API identificado en el paso anterior, otorga el permiso de lectura para las alertas, como se muestra en la imagen.
8. En la consola de Falcon, navega a la pestaña Clientes de API de OAuth2. Es posible que debas revisar varias páginas para encontrar un ID de cliente específico.
9. Selecciona el cliente de API que quieres modificar y haz clic en Editar cliente de API.
10. En la tabla del formulario Editar cliente de API, selecciona la casilla de verificación Leer para las alertas.
11. Haz clic en Actualizar detalles del cliente.

12. Verifica los cambios para asegurarte de que la migración se haya realizado correctamente.

    • Confirma que tus feeds de CrowdStrike en Google SecOps sigan recibiendo datos.
    • Vuelve a revisar el panel en la consola de Falcon después de 30 minutos. El panel ya no debería registrar ninguna llamada a la API de Detects desde los IDs de cliente actualizados.

Opción 2: Crea y usa un nuevo cliente de la API de CrowdStrike

Usa esta opción si tienes problemas para identificar tus IDs de cliente de la API existentes. El conector de Google SecOps para el tipo de registro CS_DETECTS intenta automáticamente usar primero la API de Alerts. Si faltan los permisos necesarios, se usa la API de Detects. Si creas un cliente nuevo con los permisos correctos, puedes asegurarte de que el conector use la API de Alerts moderna.

1. En la consola de CrowdStrike Falcon, navega a la sección OAuth2 API clients.
2. Haz clic en Crear cliente de API.
3. En la tabla del formulario Crear cliente de API, selecciona la casilla de verificación Leer para las alertas.
4. En el formulario API client created, copia la información de los campos Client ID, Secret y Base URL.
5. En Google SecOps, navega a Configuración de SIEM > Feeds.
6. Busca tu feed de CrowdStrike Detection Monitoring (CS_DETECTS) y haz clic en Edit Feed.
7. Reemplaza las credenciales existentes por el ID de cliente y el secreto del cliente que copiaste de la consola de Falcon.
8. Revisa la configuración del feed y haz clic en Enviar.
9. Repite estos pasos para cada feed de CS_DETECTS en todas tus instancias de Google SecOps.

Verifique los cambios

Después de actualizar el feed, verifica que la migración se haya realizado correctamente:

• Confirma que tu feed de CrowdStrike en Google SecOps siga recibiendo datos.
• Consulta el panel en la consola de Falcon, como se describe en el método recomendado. El panel ya no debería registrar ninguna llamada a la API de Detects.

Para obtener más detalles, consulta el aviso oficial de baja de CrowdStrike.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.