Migrar da API CrowdStrike Detects para a API Alerts

Esta seção descreve como migrar sua configuração para usar a API Alerts e evitar interrupções na ingestão de dados.

Quem será afetado?

Essa mudança afeta você se as duas condições a seguir forem verdadeiras:

  • Você tem feeds de dados ativos usando o conector da API CrowdStrike Detection Cloud Monitoring, que é mapeado para o tipo de registro CS_DETECTS.
  • O cliente da API CrowdStrike configurado para este feed não tem privilégios de leitura para alertas.

Para evitar a interrupção do serviço, conclua um dos procedimentos a seguir antes de 30 de setembro de 2025.

Opção 1: atualizar as permissões do cliente de API do CrowdStrike (recomendado)

Essa abordagem exige mudanças de configuração apenas no console do CrowdStrike Falcon e tem o menor impacto nas regras de detecção atuais que fazem referência ao tipo de registro CS_DETECTS.

Antes de começar, identifique os clientes de API usando a API Detects. A CrowdStrike oferece um painel para ajudar você a identificar clientes de API que usam endpoints descontinuados. Os clientes da API usados pelo feed de monitoramento de detecção do Google SecOps têm uma string de user agent que começa com Google-Chronicle-Security.

Para configurar e usar o painel, siga estas etapas:

  1. Acesse o artigo de suporte da CrowdStrike e faça o download do arquivo YAML, intitulado PlannedDecommissionofthedetectsAPI(September30,2025), anexado na parte de baixo da página.
  2. No console do Falcon, navegue até SIEM de próxima geração > Gerenciamento de registros > Painéis.
  3. Na lista Criar painel, selecione Criar novo. Criar novo
  4. Clique em Importar painéis.
  5. Importe o arquivo YAML que você baixou. Arquivo YAML
  6. No painel, navegue até a tabela Chamadas para os endpoints da API "/detects" descontinuados. Esta tabela lista os IDs de cliente de todos os clientes da API que chamam o endpoint descontinuado.
  7. Para cada ID do cliente da API identificado na etapa anterior, conceda a permissão de leitura para alertas, conforme mostrado na imagem. Permissões de leitura
  8. No console do Falcon, navegue até a guia Clientes da API OAuth2. Talvez seja necessário acessar várias páginas para encontrar um ID do cliente específico.
  9. Selecione o cliente de API que você quer modificar e clique em Editar cliente de API.
  10. Na tabela do formulário Editar cliente da API, marque a caixa de seleção Ler para alertas. Editar formulário de cliente da API
  11. Clique em Atualizar detalhes do cliente.

  12. Verifique as mudanças para garantir que a migração seja bem-sucedida.

    • Confirme se seus feeds do CrowdStrike no Google SecOps continuam recebendo dados.
    • Verifique o painel no console do Falcon novamente após 30 minutos. O painel não vai mais registrar chamadas para a API Detects dos IDs do cliente atualizados.

Opção 2: criar e usar um novo cliente da API CrowdStrike

Use essa opção se tiver problemas para identificar os IDs do cliente da API. O conector do Google SecOps para o tipo de registro CS_DETECTS tenta usar automaticamente a API Alerts primeiro. Se as permissões necessárias estiverem faltando, ele vai usar a API Detects. Ao criar um novo cliente com as permissões corretas, você garante que o conector use a API Alerts moderna.

  1. No console do CrowdStrike Falcon, navegue até a seção Clientes da API OAuth2.
  2. Clique em Criar cliente de API.
  3. Na tabela do formulário Criar cliente de API, marque a caixa de seleção Ler para alertas.
  4. No formulário Cliente de API criado, copie as informações dos campos ID do cliente, Chave secreta e URL de base.
  5. No Google SecOps, navegue até Configurações do SIEM > Feeds.
  6. Localize o feed de monitoramento de detecção do CrowdStrike (CS_DETECTS) e clique em Editar feed.
  7. Substitua as credenciais atuais pelo ID do cliente e pela chave secreta do cliente que você copiou do console do Falcon.
  8. Revise a configuração do feed e clique em Enviar.
  9. Repita essas etapas para cada feed CS_DETECTS em todas as instâncias do Google SecOps.

Verifique as alterações

Depois de atualizar o feed, verifique se a migração foi bem-sucedida:

  • Confirme se o feed do CrowdStrike no Google SecOps continua recebendo dados.
  • Verifique o painel no console do Falcon, conforme descrito no método recomendado. O painel não deve mais registrar chamadas para a API Detects.

Para mais detalhes, consulte o aviso oficial de desativação da CrowdStrike (em inglês).

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.