Bermigrasi dari CrowdStrike Detects API ke Alerts API

Bagian ini menjelaskan cara memigrasikan konfigurasi Anda untuk menggunakan Alerts API dan mencegah gangguan pada penyerapan data Anda.

Siapa yang terpengaruh?

Perubahan ini memengaruhi Anda jika Anda memenuhi kedua kondisi berikut:

  • Anda memiliki feed data aktif yang menggunakan konektor CrowdStrike Detection Cloud Monitoring API, yang dipetakan ke jenis log CS_DETECTS.
  • Klien API CrowdStrike yang dikonfigurasi untuk feed ini tidak memiliki hak akses baca untuk pemberitahuan.

Untuk mencegah gangguan layanan, selesaikan salah satu prosedur berikut sebelum 30 September 2025.

Opsi 1: Perbarui izin untuk klien CrowdStrike API yang ada (Direkomendasikan)

Pendekatan ini hanya memerlukan perubahan konfigurasi di konsol CrowdStrike Falcon Anda dan memiliki dampak paling kecil pada aturan deteksi yang ada yang mereferensikan jenis log CS_DETECTS.

Sebelum Anda memulai, identifikasi klien API menggunakan Detects API. CrowdStrike menyediakan dasbor untuk membantu Anda mengidentifikasi klien API yang menggunakan endpoint yang tidak digunakan lagi. Klien API yang digunakan oleh feed pemantauan deteksi Google SecOps memiliki string agen pengguna yang dimulai dengan Google-Chronicle-Security.

Untuk menyiapkan dan menggunakan dasbor, lakukan langkah-langkah berikut:

  1. Buka artikel dukungan CrowdStrike dan download file YAML, yang berjudul, PlannedDecommissionofthedetectsAPI(September30,2025), yang dilampirkan di bagian bawah halaman.
  2. Di konsol Falcon, buka Next-Gen SIEM > Log management > Dashboards.
  3. Dari daftar Buat dasbor, pilih Buat baru. Buat baru
  4. Klik Impor dasbor.
  5. Impor file YAML yang Anda download. File YAML
  6. Di dasbor, buka tabel Panggilan ke endpoint API "/detects" yang tidak digunakan lagi. Tabel ini mencantumkan ID klien dari semua klien API yang memanggil endpoint yang tidak digunakan lagi.
  7. Untuk setiap ID klien API yang diidentifikasi pada langkah sebelumnya, berikan izin baca untuk pemberitahuan seperti yang ditunjukkan pada gambar. Membaca izin
  8. Di konsol Falcon, buka tab OAuth2 API clients. Anda mungkin perlu membuka beberapa halaman untuk menemukan ID klien tertentu.
  9. Pilih klien API yang ingin Anda ubah, lalu klik Edit klien API.
  10. Di tabel pada formulir Edit API client, centang kotak Read untuk pemberitahuan. Formulir edit klien API
  11. Klik Perbarui detail klien.

  12. Verifikasi perubahan untuk memastikan migrasi berhasil.

    • Pastikan feed CrowdStrike Anda di Google SecOps terus menerima data.
    • Periksa dasbor di konsol Falcon lagi setelah 30 menit. Dasbor tidak akan lagi mendaftarkan panggilan ke Detects API dari client ID yang diperbarui.

Opsi 2: Buat dan gunakan klien CrowdStrike API baru

Gunakan opsi ini jika Anda mengalami masalah dalam mengidentifikasi ID klien API yang ada. Konektor Google SecOps untuk jenis log CS_DETECTS secara otomatis berupaya menggunakan Alerts API terlebih dahulu. Jika izin yang diperlukan tidak ada, aplikasi ini akan menggunakan Detects API. Dengan membuat klien baru dengan izin yang benar, Anda dapat memastikan bahwa konektor menggunakan Alerts API modern.

  1. Di konsol CrowdStrike Falcon, buka bagian OAuth2 API clients.
  2. Klik create API client.
  3. Di tabel pada formulir Create API client, centang kotak Read untuk pemberitahuan.
  4. Dari formulir API client created, salin informasi di kolom Client ID, Secret, dan Base URL.
  5. Di Google SecOps, buka SIEM Settings > Feeds.
  6. Cari feed Pemantauan Deteksi CrowdStrike (CS_DETECTS) Anda, lalu klik Edit Feed.
  7. Ganti kredensial yang ada dengan ID klien dan rahasia klien yang Anda salin dari konsol Falcon.
  8. Tinjau konfigurasi feed, lalu klik Kirim.
  9. Ulangi langkah-langkah ini untuk setiap feed CS_DETECTS di semua instance Google SecOps Anda.

Memverifikasi perubahan

Setelah memperbarui feed, verifikasi bahwa migrasi berhasil:

  • Pastikan feed CrowdStrike Anda di Google SecOps terus menerima data.
  • Periksa dasbor di konsol Falcon seperti yang dijelaskan dalam metode yang direkomendasikan. Dasbor tidak lagi mendaftarkan panggilan ke API deteksi.

Untuk mengetahui detail selengkapnya, lihat pemberitahuan penghentian CrowdStrike resmi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.