从 CrowdStrike Detects API 迁移到 Alerts API

本部分介绍了如何迁移配置以使用 Alerts API,并防止数据注入中断。

谁会受到影响?

如果您同时满足以下两个条件,则此变更会影响到您:

  • 您拥有使用 CrowdStrike Detection Cloud Monitoring API 连接器的有效数据 Feed,该连接器映射到 CS_DETECTS 日志类型。
  • 您为此 Feed 配置的 CrowdStrike API 客户端没有读取提醒的权限。

为避免服务中断,请在 2025 年 9 月 30 日之前完成以下任一流程。

选项 1:更新现有 CrowdStrike API 客户端的权限(推荐)

此方法仅需要在 CrowdStrike Falcon 控制台中进行配置更改,对引用 CS_DETECTS 日志类型的现有检测规则的影响最小。

在开始之前,请使用 Detects API 识别 API 客户端。CrowdStrike 提供了一个信息中心,可帮助您识别使用已弃用端点的 API 客户端。Google SecOps 检测监控信息流使用的 API 客户端具有以 Google-Chronicle-Security 开头的用户代理字符串。

如需设置和使用此信息中心,请执行以下步骤:

  1. 前往 CrowdStrike 支持文章,然后下载页面底部附加的 YAML 文件,该文件的标题为 Planned Decommission of the detects API(September 30, 2025)
  2. 在 Falcon 控制台中,依次前往 Next-Gen SIEM > 日志管理 > 信息中心
  3. 创建信息中心列表中,选择新建新建
  4. 点击导入信息中心
  5. 导入您下载的 YAML 文件。 YAML 文件
  6. 在信息中心内,找到对已弃用的“/detects”API 端点的调用表格。此表列出了调用已弃用端点的所有 API 客户端的客户端 ID。
  7. 对于上一步中确定的每个 API 客户端 ID,授予对提醒的读取权限,如图所示。 读取权限
  8. 在 Falcon 控制台中,前往 OAuth2 API 客户端标签页。您可能需要浏览多个页面才能找到特定客户端 ID。
  9. 选择要修改的 API 客户端,然后点击修改 API 客户端
  10. 修改 API 客户端 表单的表格中,选中提醒的读取复选框。 修改 API 客户端表单
  11. 点击更新客户详情

  12. 验证更改,确保迁移成功。

    • 确认 Google SecOps 中的 CrowdStrike Feed 是否继续接收数据。
    • 30 分钟后,再次检查 Falcon 控制台中的信息中心。信息中心应不再注册来自更新后的客户端 ID 的任何对 Detects API 的调用。

方法 2:创建并使用新的 CrowdStrike API 客户端

如果您在识别现有 API 客户端 ID 时遇到问题,请使用此选项。Google SecOps 连接器会先自动尝试使用 CS_DETECTS 日志类型的 Alerts API。如果缺少必需的权限,则使用 Detects API。通过创建具有正确权限的新客户端,您可以确保连接器使用新版 Alerts API。

  1. 在 CrowdStrike Falcon 控制台中,前往 OAuth2 API 客户端部分。
  2. 点击创建 API 客户端
  3. 创建 API 客户端表单的表格中,选中提醒的读取复选框。
  4. 已创建的 API 客户端表单中,复制客户端 ID密钥基本网址字段中的信息。
  5. 在 Google SecOps 中,依次前往 SIEM 设置 > Feed
  6. 找到 CrowdStrike 检测监控 (CS_DETECTS) Feed,然后点击修改 Feed
  7. 将现有凭据替换为您从 Falcon 控制台中复制的客户端 ID 和客户端密钥。
  8. 检查 Feed 配置,然后点击提交
  9. 针对所有 Google SecOps 实例中的每个 CS_DETECTS Feed 重复执行上述步骤。

验证更改

更新 Feed 后,验证迁移是否成功:

  • 确认 Google SecOps 中的 CrowdStrike Feed 是否继续接收数据。
  • 按照推荐方法中的说明,检查 Falcon 控制台中的信息中心。 信息中心应不再注册对 detects API 的任何调用。

如需了解详情,请参阅官方 CrowdStrike 停用通知

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。