CrowdStrike

Información general

CrowdStrike es una solución de agent único para detener brechas, ransomware y ciberataques con visibilidad y protección completas en endpoints, cargas de trabajo, datos e identidad.

La integración CrowdStrike te permite recopilar eventos de detección y alertas de CrowdStrike en tiempo real como logs de Datadog.

Configuración

Instalación

No requiere instalación.

Configuración

Activación del streaming de eventos

Antes de poder conectarte al Event Stream, ponte en contacto con el equipo de asistencia de CrowdStrike para habilitar el flujo de APIs en tu cuenta de cliente.

Conexión de tu cuenta de CrowdStrike

Una vez habilitado el streaming, añade un nuevo cliente de API en CrowdStrike:

  1. Inicia sesión en la consola Falcon.
  2. Ve a [Support > API Clients and Keys] (Soporte > Clientes y claves de API)(https://falcon.crowdstrike.com/support/api-clients-and-keys).
  3. Haz clic en Add new API client (Añadir nuevo cliente de API).
  4. Introduce un nombre de cliente descriptivo que identifique a tu cliente de API en Falcon y en los logs de acciones de API (por ejemplo, Datadog).
  5. También puedes introducir una descripción como el uso previsto de tu cliente de API.
  6. Selecciona el acceso de Lectura para todos los contextos de API.
  7. Haz clic en Add (Añadir).

Habilitación de la recopilación de logs

Añade los detalles del cliente de API en el cuadro de integración de CrowdStrike en Datadog:

  1. Haz clic en Connect a CrowdStrike Account (Conectar una cuenta de CrowdStrike).
  2. Copia tu ID de cliente de API, secreto de cliente y dominio de API.
  3. También puedes introducir una lista de etiquetas (tags) separadas por comas.
  4. Haz clic en Submit (Enviar).

Al cabo de unos minutos, aparecen logs con la fuente crowdstrike en el dashboard de información general de logs de Crowdstrike.

Datos recopilados

Métricas

La integración CrowdStrike no incluye métricas.

Eventos

La integración CrowdStrike permite a Datadog ingerir los siguientes eventos:

  • Resumen de detecciones
  • Coincidencia de cortafuegos
  • Protección de la identidad
  • Resumen de detecciones de LDP
  • Resumen de incidentes
  • Eventos de autenticación
  • Actualización de estados de detección
  • IoC (Indicadores de riesgo) cargados
  • Eventos de contención en red
  • Eventos de listas de IP permitidas
  • Eventos de gestión de políticas
  • Actividad de la tienda CrowdStrike
  • Inicio/fin de sesión de respuesta en tiempo real
  • Inicio/fin de flujos de eventos

Estos eventos aparecen en el dashboard de información general de logs de Crowdstrike.

Checks de servicio

La integración CrowdStrike no incluye checks de servicio.

Solucionar problemas

¿Necesitas ayuda? Ponte en contacto con el soporte de Datadog.