Migre da API CrowdStrike Detects para a API Alerts

Esta secção descreve como migrar a sua configuração para usar a API Alerts e evitar interrupções na carregamento de dados.

Quem é afetado?

Esta alteração afeta-o se cumprir ambas as seguintes condições:

  • Tem feeds de dados ativos que usam o conector da API CrowdStrike Detection Cloud Monitoring, que é mapeado para o tipo de registo CS_DETECTS.
  • O cliente da API CrowdStrike configurado para este feed não tem privilégios de leitura para alertas.

Para evitar a interrupção do serviço, conclua um dos seguintes procedimentos antes de 30 de setembro de 2025.

Opção 1: atualize as autorizações do cliente da API CrowdStrike existente (recomendado)

Esta abordagem requer alterações de configuração apenas na consola do CrowdStrike Falcon e tem o menor impacto nas regras de deteção existentes que referenciam o tipo de registo CS_DETECTS.

Antes de começar, identifique os clientes API através da API Detects. A CrowdStrike fornece um painel de controlo para ajudar a identificar clientes da API que usam pontos finais descontinuados. Os clientes da API usados pelo feed de monitorização de deteção do Google SecOps têm uma string do agente do utilizador que começa com Google-Chronicle-Security.

Para configurar e usar o painel de controlo, siga estes passos:

  1. Navegue para o artigo de apoio técnico da CrowdStrike e transfira o ficheiro YAML com o título PlannedDecommissionofthedetectsAPI(September30,2025), anexado na parte inferior da página.
  2. Na consola do Falcon, navegue para Next-Gen SIEM > Log management > Dashboards.
  3. Na lista Criar painel de controlo, selecione Criar novo. Criar novo
  4. Clique em Importar painéis de controlo.
  5. Importe o ficheiro YAML que transferiu. YAML
  6. No painel de controlo, navegue para a tabela Chamadas aos pontos finais da API "/detects" descontinuados. Esta tabela apresenta os IDs de clientes de todos os clientes API que chamam o ponto final descontinuado.
  7. Para cada ID de cliente da API identificado no passo anterior, conceda a autorização de leitura para alertas, conforme mostrado na imagem. Leia as autorizações
  8. Na consola do Falcon, navegue para o separador Clientes da API OAuth2. Pode ter de percorrer várias páginas para encontrar um ID de cliente específico.
  9. Selecione o cliente de API que quer modificar e clique em Editar cliente de API.
  10. Na tabela do formulário Editar cliente da API, selecione a caixa de verificação Ler para alertas. Edite o formulário do cliente da API
  11. Clique em Atualizar detalhes do cliente.

  12. Valide as alterações para garantir que a migração é bem-sucedida.

    • Confirme se os seus feeds do CrowdStrike no Google SecOps continuam a receber dados.
    • Verifique novamente o painel de controlo na consola do Falcon após 30 minutos. O painel de controlo já não deve registar chamadas para a API Detects a partir dos IDs de cliente atualizados.

Opção 2: crie e use um novo cliente da API CrowdStrike

Use esta opção se tiver problemas em identificar os seus IDs de cliente da API existentes. O conector Google SecOps para o tipo de registo CS_DETECTS tenta automaticamente usar primeiro a API Alerts. Se as autorizações necessárias estiverem em falta, usa a API Detects. Ao criar um novo cliente com as autorizações corretas, pode garantir que o conector usa a API Alerts moderna.

  1. Na consola do CrowdStrike Falcon, navegue até à secção Clientes da API OAuth2.
  2. Clique em criar cliente API.
  3. Na tabela do formulário Criar cliente da API, selecione a caixa de verificação Ler para alertas.
  4. No formulário API client created, copie as informações nos campos Client ID, Secret e Base URL.
  5. No Google SecOps, navegue para Definições do SIEM > Feeds.
  6. Localize o feed de monitorização de deteção do CrowdStrike (CS_DETECTS) e clique em Editar feed.
  7. Substitua as credenciais existentes pelo ID de cliente e segredo do cliente que copiou da consola do Falcon.
  8. Reveja a configuração do feed e clique em Enviar.
  9. Repita estes passos para cada feed CS_DETECTS em todas as suas instâncias do Google SecOps.

Valide as alterações

Depois de atualizar o feed, verifique se a migração foi bem-sucedida:

  • Confirme se o seu feed do CrowdStrike no Google SecOps continua a receber dados.
  • Verifique o painel de controlo na consola do Falcon, conforme descrito no método recomendado. O painel de controlo já não deve registar chamadas para a API detects.

Para mais detalhes, consulte o aviso de desativação do CrowdStrike oficial.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.