Saltar al contenido principal
Version: Next

Configurar la integración con CrowdStrike

Esta guía detalla los procesos para establecer la integración de CrowdStrike en la plataforma de Flexxible.

Configuración de la API en CrowdStrike

  1. Acceder al portal de CrowdStrike.

  2. En el menú, hacer clic sobre Support and Resources -> Api clients and keys.

    guide_crowdstrike1

  3. Seleccionar Create API client en la parte derecha del menú.

    guide_crowdstrike2

  4. Asignar un nombre a la API; el estándar es API-Flexxclient.

    guide_crowdstrike3

  5. Sin salir del menú, seleccionar los siguientes campos en la columna READ:

    • Alerts 
    • Detections
    • Hosts
    • Incidents
    • Quarantined Files  

  6. Hacer clic en Create.

    guide_crowdstrike4

  7. Copiar los siguientes tres campos (no se podrán recuperar más adelante).

    • Client ID
    • Secret
    • Base URL 

    guide_crowdstrike5

Configuración en Portal

Para realizar la integración desde Portal, el usuario deberá tener como mínimo el rol de Administrador de organización.

  1. Iniciar sesión en Portal.

  2. En el menú de usuario, seleccionar la organización / inquilino donde se desee habilitar la integración.

  3. Ir a Configuración -> Integraciones -> apartado CrowdStrike.

    guide_crowdstrike6

  4. Hacer clic en Editar e ingresar los siguientes datos:

  • ID de cliente API. Identificador único que representa al cliente en la plataforma de CrowdStrike.

  • Cadena de secreto. Clave secreta asociada al ID del cliente.

  • Región. Ubicación geográfica del entorno en la nube del cliente. El campo ofrece como alternativas eu, eu-1, us-gov-1, us-1 y us-2. Seleccionar la región de CrowdStrike.

    guide_crowdstrike7

  1. Hacer clic en Guardar.
info

La integración con CrowdStrike se puede realizar a nivel de inquilino, lo que permite configurar una cuenta diferente para cada uno. Si la integración se realiza a nivel de organización, se extenderá a todas sus suborganizaciones.

Vista desde Workspaces

Una vez configurada la integración, los dispositivos con el Endpoint Detection and Response (EDR) instalado y funcionando aparecerán marcados con el icono de Falcon.

guide_crowdstrike8

Si el EDR genera alguna alerta, el icono de Falcon aparecerá en rojo.

guide_crowdstrike9

Detalle de las alertas

Para revisar el detalle de las alertas y el consumo de recursos del EDR, se deben seguir los siguientes pasos:

  1. Acceder al módulo Workspaces -> sección Workspaces.
  2. Elegir un dispositivo y hacer clic sobre él.
  3. Bajar el cursor y hacer clic en la pestaña Seguridad.

guide_crowdstrike10