A CrowdStrike® oferece cinco APIs principais com várias subfunções que podem suportar uma ampla variedade de casos de uso. Com base no caso e na necessidade, os clientes podem transmitir ou consultar dados da nuvem CrowdStrike para obter inteligência de ameaças proativa, investigação independente ou visualização de relacionamento.

A CrowdStrike fornece um conjunto de APIs poderosas para permitir que os clientes da plataforma CrowdStrike Falcon® aprimorem seu workflow de triagem e aproveitem seus investimentos em segurança existentes. A CrowdStrike reconhece que os clientes podem estar usando uma variedade de produtos de segurança para proteger seu ambiente, e a plataforma Falcon foi projetada para ser o mais aberta e extensível possível. Essas APIs oferecem aos clientes a oportunidade de aproveitar a plataforma Falcon juntamente com seus investimentos em segurança existentes para garantir a integração completa desde a segurança de endpoint até a automação de workflow.

A CrowdStrike oferece cinco APIs principais:

• Falcon Streaming —  Transmita detecções e auditore eventos de segurança
  

  Com essa API, os usuários podem monitorar eventos em tempo real e receber alertas de suas instâncias à medida em que ocorrem em uma única sessão de dados, fornecendo um mecanismo de entrega de dados de baixa latência e alta taxa de transferência.

• Falcon Data Replicator —  Ingira e correlacione dados
  

  A Falcon Data Replicator oferece às equipes de segurança a capacidade de exportar dados completos de endpoint do agente Falcon até seus ambientes, para análise independente. Ela fornece aos clientes meios para ingerir os dados da plataforma Falcon em seu armazenamento de dados local e correlacioná-los com logs coletados de outras fontes.

• Falcon Threat Graph™ — Acelere a investigação ao visualizar relacionamentos
  

  A API Falcon Threat Graph utiliza o banco de dados de gráficos da CrowdStrike, que tem múltiplos petabytes, para revelar os relacionamentos subjacentes entre indicadores de comprometimento (IOCs), dispositivos, processos e outros dados e eventos forenses, como arquivos gravados, carregamento de módulos ou conexões de rede. A integração com ferramentas de visualização como Maltego permite que você percorra o gráfico para investigar as relações entre eventos.

• Falcon Query — Gerencie, investigue e responda
  

  A API Falcon Query permite fazer upload de IOCs para monitoramento; obter informações do dispositivo sobre sistemas que têm o agente Falcon instalado; buscar processos por indicadores de ataque (IOAs), indicadores de comprometimento (IOCs) e processos relacionados; e gerenciar o status de detecção.

• Falcon Intelligence™ — Esteja um passo a frente das ameaças emergentes
  

  A API Falcon Intelligence permite que os clientes se beneficiem de um rico feed de informações que abrangem indicadores, adversários, notícias e alertas personalizados de ameaças. A integração da ferramenta de visualização permite que você veja a correlação entre adversários, indicadores, famílias de malware e campanhas.

Todos os clientes da plataforma CrowdStrike Falcon podem acessar APIs Falcon, no entanto, o uso de cada API depende de quais produtos foram comprados. A tabela abaixo descreve quais APIs estão disponíveis para os clientes da plataforma Falcon. Por favor, entre em contato através do email [email protected] para obter mais informações.

As chaves das APIs Falcon são provisionadas pelo suporte da CrowdStrike, conforme sua assinatura (leia acima para mais informações).

• A API Falcon Streaming fornece dados por meio de uma conexão de streaming HTTP. Uma conexão HTTPS é aberta entre um cliente consumidor e a API Falcon Streaming, e novos eventos são enviados à medida em que ocorrem. A Crowdstrike oferece o SIEM Connector Client para simplificar a ingestão e permitir a conversão em formatos de syslog.
• A Falcon Data Replicator fornece alertas do cliente via SQS quando um novo lote de dados de endpoint está disponível para download no S3. A partir daí, os clientes podem inserir dados de eventos em seus próprios ambientes para armazenamento e análise.
• As APIs Falcon Query e Falcon Intelligence são uma série de HTTPS APIs REST que operam de acordo com um modelo padrão de solicitação e resposta. As respostas são formatadas em JSON.
• A API Falcon Threat Graph ativa o Threat Graph para determinar quais endpoint visualizaram indicadores.

Os clientes não precisam implementar nenhuma infraestrutura adicional. As APIs Falcon usam a plataforma Falcon, que é 100% construída em uma arquitetura de nuvem. Isso permite que os clientes fiquem protegidos mais rapidamente e diminui o custo total de propriedade (TCO) ao eliminar a aquisição, implementação e manutenção de hardware nas instalações. A segurança beaseada em nuvem da CrowdStrike também impossibilita que o invasor tenha acesso à tecnologia CrowdStrike para tentar alterá-la ou contorná-la.

Todos os clientes Crowdstrike têm acesso às APIs; o acesso específico a cada API se dá conforme assinaturas. Para começar, envie um email para o suporte da CrowdStrike em [email protected] e obtenha suas credenciais de API, que permitirão que você configure e comece a usar as APIs Falcon.

A CrowdStrike oferece aos clientes e pesquisadores várias ferramentas publicamente disponíveis para ajudar a automatizar o fluxo de trabalho e as funções de gerenciamento de casos, além de melhorar suas ações de correção e análise forense de segurança, complementando os recursos da plataforma Falcon. Essas ferramentas podem ser acessadas através do site CrowdStrike Community Tools.

Sim, a API Falcon Streaming pode se conectar a um cliente consumidor hospedado localmente via HTTPS e enviar novos eventos à medida em que ocorrerem. A Crowdstrike oferece o SIEM Connector Client para simplificar a ingestão e permitir a conversão em formatos de syslog.

O Falcon Orchestrator é uma ferramenta de código aberto criada nas APIs da CrowdStrike e está disponível para o público em geral. Porém, aqueles que desejem aprimorar a automação e executar ações de análise forense e correção de segurança em tempo real devem ser usuários da plataforma Falcon. Para mais informações e acesso a essa ferramenta, visite o site do Falcon Orchestrator.

Para obter instruções sobre como operar o conector Falcon SIEM, consulte o Guia de Funcionalidades do Conector SIEM na plataforma (é necessário fazer login).

As APIs Falcon Intelligence são divididas em quatro subfunções principais, definidas abaixo. Os assinantes Standard têm acesso a duas subfunções, enquanto os assinantes Premium têm acesso a todas as quatro. Veja as descrições e a tabela abaixo.

Os assinantes Falcon Intelligence, tanto Standard quanto Premium, têm acesso às seguintes subfunções:

• Actors — A API Falcon Intelligence Actors permite que os assinantes consultem e pesquisem atores específicos que a CrowdStrike está rastreando. É uma API REST que opera em um modelo padrão de solicitação e resposta.
• Indicators — A API Indicator permite que os assinantes consultem indicadores encontrados em seus ambientes, como aqueles relacionados a vários atores, indicadores de um nível de confiança específico e aqueles associados aos relatórios do Falcon Intelligence. Os dados podem ser classificados e filtrados para localizar mais rapidamente as informações necessárias.

Exclusivo para Falcon Intelligence Premium

• Relatórios — Estes relatórios consultam as publicações da CrowdStrike Intelligence. Você pode receber informações adicionais sobre essas publicações ou simplesmente baixar uma versão em PDF.

As publicações incluem:

• Relatórios de Inteligência (CSIR)

• Avaliações de Ameaças (CSTA)

• Alertas (CSA)

• Relatórios Periódicos (CSMR)

• Tippers (CSIT)

• Inteligência Sob Medida — Essa API permite que os clientes Falcon Intelligence Premium mantenham sua percepção situacional sobre tópicos de interesse. Por exemplo, você pode acompanhar se o nome da sua empresa é mencionado ou localizar novos acontecimentos em uma família de malware específica que lhe interessa. Essa API entregará os resultados mais recentes quando houver uma correspondência entre sua lista de observação e as várias fontes monitoradas pela CrowdStrike.

Esta tabela mostra as APIs disponíveis em cada nível de assinatura do Falcon Intelligence:

Observação: Todas as APIs Falcon Intelligence são APIs REST que operam no modelo padrão de solicitação e resposta. As solicitações são feitas com HTTPS e dados de solicitação/resposta são formatados como JSON.