CrowdStrike

Información general

CrowdStrike es una solución de agente única cuyo objetivo es poner fin a las infracciones, el ransomware y los ciberataques mediante una visibilidad y una protección integrales en endpoints, cargas de trabajo, datos e identidades.

La integración CrowdStrike te permite recopilar eventos de detección y alertas de CrowdStrike en tiempo real como logs de Datadog.

Configuración

Instalación

No se requiere ninguna instalación.

Configuración

Activación del streaming de eventos

Antes de conectarte al flujo (stream) de eventos, ponte en contacto con el equipo de asistencia de CrowdStrike para habilitar el streaming de API en tu cuenta de cliente.

Conexión de tu cuenta de CrowdStrike

Una vez habilitado el streaming, añade un nuevo cliente de API en CrowdStrike:

  1. Inicia sesión en la consola Falcon.
  2. Ve a Support > API Clients and Keys (Soporte > Clientes y claves de API.
  3. Haz clic en Add new API client (Añadir nuevo cliente de API).
  4. Introduce un nombre de cliente descriptivo que identifique a tu cliente de API en Falcon y en los logs de acciones de API (por ejemplo, Datadog).
  5. También puedes introducir una descripción como el uso previsto de tu cliente de API.
  6. Selecciona el acceso de Lectura para todos los contextos de API.
  7. Haz clic en Add (Añadir).

Habilitación de la recopilación de logs

Añade los detalles del cliente de API en el cuadro de la integración CrowdStrike en Datadog:

  1. Haz clic en Connect a CrowdStrike Account (Conectar una cuenta de CrowdStrike).
  2. Copia tu ID de cliente de API, secreto de cliente y dominio de API.
  3. También puedes introducir una lista de etiquetas (tags) separadas por comas.
  4. Haz clic en Submit (Enviar).

Al cabo de unos minutos, aparecen logs con el origen crowdstrike en el dashboard de información general de logs de Crowdstrike.

Datos recopilados

Métricas

La integración CrowdStrike no incluye métricas.

Eventos

La integración CrowdStrike permite a Datadog ingerir los siguientes eventos:

  • Resumen de detecciones
  • Coincidencia de cortafuegos
  • Protección de la identidad
  • Resumen de detecciones de LDP
  • Resumen de incidentes
  • Eventos de autenticación
  • Actualización de estados de detección
  • IoC (Indicadores de riesgo) cargados
  • Eventos de contención en red
  • Eventos de listas de IP permitidas
  • Eventos de gestión de políticas
  • Actividad de la tienda CrowdStrike
  • Inicio/fin de sesión de respuesta en tiempo real
  • Inicio/fin de flujos de eventos

Estos eventos aparecen en el dashboard de información general de logs de Crowdstrike.

Checks de servicio

La integración CrowdStrike no incluye checks de servicio.

Resolución de problemas

¿Necesitas ayuda? Ponte en contacto con el servicio de asistencia de Datadog.