CrowdStrike Falcon

Le connecteur CrowdStrike Falcon permet de récupérer les données d'inventaire et de détections de votre plateforme CrowdStrike directement dans OverSOC pour une vue consolidée de votre posture de sécurité.

Objectif

Le connecteur CrowdStrike Falcon permet de récupérer les informations suivantes :

• Inventaire des hosts (capteurs CrowdStrike) en temps réel
• Détections et incidents de sécurité
• Vulnérabilités identifiées sur les endpoints

Prérequis

• Accès à la console CrowdStrike Falcon
• Permissions d'administrateur pour créer des API keys
• Certificats ou credentials valides pour l'authentification

Informations à fournir dans OverSOC

Procédure

Créer une API key dans CrowdStrike

1. Connectez-vous à la console CrowdStrike Falcon.
2. Allez à Support > API Clients and Keys.
3. Cliquez sur Add new API client.
4. Donnez un nom descriptif (ex : "OverSOC Integration").
5. Sélectionnez les permissions requises :
   • Hosts : Inventory access
   • Detections : Incident access
   • Prevention policies : Policy access
6. Cliquez sur Create.
7. Copiez immédiatement le Client ID et le Client Secret.

Récupérer l'URL API

L'URL API dépend de votre région :

• US-1 : https://api.crowdstrike.com
• US-2 : https://api.us-2.crowdstrike.com
• EU : https://api.eu-1.crowdstrike.com

Vérifiez votre région dans les paramètres de votre console.

Configurer le connecteur dans OverSOC

1. Dans OverSOC, accédez à Data Sources Settings > Sources.
2. Sélectionnez CrowdStrike Falcon et cliquez sur Configure.
3. Renseignez les champs requis :
   • API Base URL
   • Client ID
   • Client Secret
4. Cliquez sur Save Configuration.

Consulter la documentation CrowdStrike API

Permissions requises

Le client API doit avoir les scopes suivants :

• Hosts : Pour accéder à l'inventaire des endpoints
• Detections : Pour accéder aux détections et incidents
• Prevention policies : Pour accéder aux données de stratégies