從 CrowdStrike Detects API 遷移至 Alerts API
本節說明如何遷移設定,改用 Alerts API,並避免資料擷取作業中斷。
誰會受到影響?
如果您符合下列兩項條件,這項變更就會對您造成影響:
- 您已使用 CrowdStrike Detection Cloud Monitoring API 連接器啟用資料動態饋給,並對應至
CS_DETECTS記錄類型。 - 您為這個動態饋給設定的 CrowdStrike API 用戶端沒有警報的讀取權限。
為避免服務中斷,請在 2025 年 9 月 30 日前完成下列任一程序。
選項 1:更新現有 CrowdStrike API 用戶端的權限 (建議)
這個方法只需要在 CrowdStrike Falcon 控制台中變更設定,對參照 CS_DETECTS 記錄類型的現有偵測規則影響最小。
開始之前,請先使用 Detects API 識別 API 用戶端。CrowdStrike 提供資訊主頁,協助您找出使用已淘汰端點的 API 用戶端。Google SecOps 偵測監控動態消息使用的 API 用戶端,其使用者代理程式字串會以 Google-Chronicle-Security 開頭。
如要設定及使用資訊主頁,請按照下列步驟操作:
- 前往 CrowdStrike 支援文章,然後下載頁面底部的 YAML 檔案,標題為「Planned Decommission of the detects API(September 30, 2025)」。
- 在 Falcon 控制台中,依序前往「Next-Gen SIEM」 >「Log management」>「Dashboards」。
- 在「建立資訊主頁」清單中,選取「建立新資訊主頁」。
- 按一下「匯入資訊主頁」。
- 匯入下載的 YAML 檔案。
- 在資訊主頁中,前往「呼叫已淘汰的 '/detects' API 端點」表格。這個表格會列出呼叫已淘汰端點的所有 API 用戶端 ID。
- 針對上一步驟中識別出的每個 API 用戶端 ID,授予警報的讀取權限,如圖片所示。
- 在 Falcon 控制台中,前往「OAuth2 API clients」(OAuth2 API 用戶端) 分頁標籤。您可能需要瀏覽多個頁面,才能找到特定用戶端 ID。
- 選取要修改的 API 用戶端,然後按一下「編輯 API 用戶端」。
- 在「編輯 API 用戶端」表單的表格中,選取「快訊」的「讀取」核取方塊。
- 按一下「更新客戶詳細資料」。
確認變更,確保遷移作業順利完成。
- 確認 Google SecOps 中的 CrowdStrike 動態饋給持續接收資料。
- 30 分鐘後,再次查看 Falcon 管理中心的資訊主頁。資訊主頁應不會再記錄任何來自更新後用戶端 ID 的 Detects API 呼叫。
選項 2:建立及使用新的 CrowdStrike API 用戶端
如果您無法找出現有的 API 用戶端 ID,請使用這個選項。
CS_DETECTS 記錄類型的 Google SecOps 連接器會先自動嘗試使用 Alerts API。如果缺少必要權限,系統會使用 Detects API。建立具有正確權限的新用戶端,即可確保連接器使用新版警報 API。
- 在 CrowdStrike Falcon 控制台中,前往「OAuth2 API clients」(OAuth2 API 用戶端) 部分。
- 按一下「建立 API 用戶端」。
- 在「建立 API 用戶端」表單的表格中,選取快訊的「讀取」核取方塊。
- 在「建立的 API 用戶端」表單中,複製「用戶端 ID」、「密碼」和「基本網址」欄位中的資訊。
- 在 Google SecOps 中,依序前往「SIEM 設定」>「動態消息」。
- 找出 CrowdStrike 偵測監控 (
CS_DETECTS) 動態消息,然後按一下「編輯動態消息」。 - 將現有憑證替換為您從 Falcon 控制台複製的用戶端 ID 和用戶端密鑰。
- 檢查動態饋給設定,然後按一下「提交」。
- 針對所有 Google SecOps 執行個體中的每個
CS_DETECTS資訊提供重複執行這些步驟。
確認變更
更新動態饋給後,請確認遷移作業是否成功:
- 確認 Google SecOps 中的 CrowdStrike 動態饋給持續接收資料。
- 按照建議方法所述,檢查 Falcon 控制台中的資訊主頁。 資訊主頁應不再註冊任何對偵測 API 的呼叫。
詳情請參閱官方 CrowdStrike 停用通知。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。