X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

Häufig gestellte Fragen zu CrowdStrike Falcon-APIs

Was sind Falcon-APIs?

CrowdStrike® bietet fünf primäre APIs mit mehreren Unterfunktionen an, die eine ganze Reihe von Anwendungsfällen unterstützen können. Kunden können auf der Grundlage eines Anwendungsfalls und bei Bedarf Daten für präventive Threat Intelligence, unabhängige Untersuchung oder Bedrohungsvisualisierung aus der CrowdStrike-Cloud entweder streamen oder abfragen.

Warum bietet CrowdStrike Kunden APIs an?

CrowdStrike stellt eine Suite leistungsstarker APIs bereit, damit CrowdStrike Falcon®-Plattform-Kunden Ihren Selektierungs- und Nutzungs-Workflow bei vorhandenen Sicherheitsinvestitionen verbessern können. CrowdStrike ist sich bewusst, dass Kunden möglicherweise verschiedenste Sicherheitsprodukte zum Schutz Ihrer Umgebung verwenden, und die Falcon-Plattform ist möglichst offen und erweiterbar konzipiert. Diese APIs bieten Kunden die Möglichkeit, die Falcon-Plattform neben bereits vorhandenen Sicherheitsinvestitionen zu nutzen, um uneingeschränkte Integration von Endgerätesicherheit und Workflow-Automatisierung zu gewährleisten.

Welche APIs bietet CrowdStrike an?

CrowdStrike bietet fünf primäre APIs an:

Falcon Streaming – Streamen von Erkennungen und Audit-Sicherheitsereignissen
Mit dieser API können Benutzer innerhalb einer einzelnen Datensitzung Echtzeit-Ereignisse überwachen und Warnmeldungen von ihren Instanzen gleich beim Auftreten erhalten, was für einen Datenübermittlungsmechanismus mit geringer Latenz und hohem Durchsatz sorgt.


Falcon Data Replicator – Erfassen und Korrelieren von Daten
Falcon Data Replicator ermöglicht Sicherheitsteams, die gesamten Endgerätedaten für unabhängige Analyse aus dem Falcon-Agent in ihre Umgebung zu exportieren. Die API gibt Kunden die Mittel an die Hand, Daten aus der Falcon-Plattform in ihr lokales Data Warehouse aufzunehmen und mit aus anderen Quellen gesammelten Protokollen zu korrelieren.


Falcon Threat Graph™ – Beschleunigt die Untersuchung durch Visualisierung von Beziehungen
Die Falcon Threat Graph™-API nutzt die Multi-Petabyte-Graphdatenbank von CrowdStrike, um die zugrunde liegenden Beziehungen zwischen Indikatoren für eine Kompromittierung (IOCs), Geräten, Prozessen und anderen kriminaltechnischen Daten und Ereignissen fassbar zu machen, etwa Datei-Schreibvorgänge, Modul-Ladevorgänge oder Netzwerkverbindungen. Durch die Integration in Visualisierungs-Tools wie Maltego können Sie den Graphen durchlaufen, um die Beziehungen zwischen Ereignissen zu untersuchen.


Falcon Query – Verwaltung, Untersuchung, Abwehr
Mit der Falcon Query-API können Sie IOCs zur Überwachung hochladen. Sie erhalten Geräteinformationen über Systeme mit installiertem Falcon-Agent, Sie können mit Indikatoren für Angriffe (IOAs), IOCs und zugehörigen Prozessen Prozesse abfragen und den Erkennungsstatus verwalten.


Falcon Intelligence™ – Aufkommenden Bedrohungen immer einen Schritt voraus
Mit der Falcon Intelligence-API können Kunden einen umfangreichen Informations-Feed zu Indikatoren, Gegnern, News und kundenspezifischen Bedrohungswarnmeldungen nutzen. Bei Integration in ein Visualisierungs-Tool können Sie die Korrelation zwischen Gegnern, Indikatoren, Malware-Familien und Kampagnen ausmachen.


Welche Kunden können Falcon-APIs erhalten?

Alle CrowdStrike Falcon-Plattform-Kunden haben Zugriff auf Falcon-APIs, die Nutzung ist allerdings davon abhängig, welche Produkte gekauft wurden. In der untenstehenden Tabelle ist aufgelistet, welche APIs Falcon-Plattform-Kunden zur Verfügung stehen. Für weitere Informationen wenden Sie sich bitte an [email protected].

API

Falcon Prevent™

Falcon Insight™

Falcon Intelligence™

Streaming

X

X

Data Replicator

X

Threat Graph

X

X

Query

X

X

Intelligence

X

Wie greife ich auf Falcon-APIs zu?

Der CrowdStrike-Support stellt Ihnen Ihrem Abonnement entsprechende Falcon-API-Schlüssel bereit (für weitere Informationen siehe oben).

Wie funktionieren Falcon-APIs?
  • Die Falcon Streaming-API liefert Daten über eine HTTP-Streaming-Verbindung. Zwischen einem Verbraucher-Client und der Falcon Streaming-API wird eine HTTPS-Verbindung geöffnet, und neue Ereignisse werden sofort bei Eintreten gesendet. Zur Vereinfachung der Erfassung und zur Ermöglichung der Konvertierung in syslog-Formate bietet CrowdStrike den SIEM-Connector-Client an.
  • Der Falcon Data Replicator liefert Kundenwarnmeldungen über SQS, wenn ein neuer Stapel von Endgerätedaten zum Download in S3 verfügbar steht. Von dort können Kunden Ereignisdaten zur Speicherung und Analyse in ihre eigenen Umgebungen einspeisen.
  • Die Falcon Query-API und die Intelligence-API bestehen aus einer Reihe von HTTPS REST-APIs, die gemäß einem Standard-Anforderung/Antwort-Modell arbeiten. Die Antworten sind im JSON-Format.
  • Die Falcon Threat Graph-API ruft den Threat Graph auf, um festzustellen, für welche Endgeräte Indikatoren fassbar sind.
Welche Art von Infrastruktur benötige ich für das Implementieren der Falcon-APIs?

Kunden müssen keine zusätzliche Infrastruktur bereitstellen. Die Falcon-APIs verwenden die Falcon-Plattform, die auf 100 % Cloud-basierter Architektur aufbaut. So sind Kunden schneller geschützt und die Gesamtbetriebskosten verringern sich, da lokale Hardware-Anschaffung, -Bereitstellung und -Instandhaltung wegfallen. Die Cloud-basierte CrowdStrike-Sicherheit macht es Angreifern auch unmöglich, in den Besitz der CrowdStrike-Technologie zu kommen und zu versuchen, diese zu manipulieren oder Umgehungsmöglichkeiten dafür zu entdecken.

Wie kann ich mit der Nutzung von Falcon-APIs beginnen?

Alle CrowdStrike-Kunden haben Zugriff auf APIs. Der Zugriff auf bestimmte APIs ist vom jeweiligen Abonnement abhängig. Schicken Sie dem CrowdStrike-Support zunächst eine E-Mail an [email protected], um Ihre API-Anmeldeinformationen zu erhalten, mit denen Sie die Falcon-APIs konfigurieren und mit der Nutzung beginnen können.

Wo finde ich eine Liste der Tools für CrowdStrike-Kunden?

CrowdStrike bietet Kunden und Forschern mehrere öffentlich verfügbare Tools, die den automatisierten Workflow und Fallmanagementfunktionen sowie die Verbesserung ihrer Spurensicherungs- und Behebungsaktionen unterstützen und die Funktionen der Falcon-Plattform ergänzen. Auf diese Tools kann über die Community Tools-Website von CrowdStrike zugegriffen werden.

Kann ich die durch die Falcon-Plattform erfassten Informationen in meinen eigenen Sicherheitsprodukten, etwa einem SIEM, verwenden?

Ja. Die Falcon Streaming-API kann sich über HTTPS mit einem lokal gehosteten Verbraucher-Client verbinden und sendet neue Ereignisse sofort bei Eintreten. Zur Vereinfachung der Erfassung und zur Ermöglichung der Konvertierung in syslog-Formate bietet CrowdStrike den SIEM-Connector-Client an.

Wer kann auf Falcon Orchestrator zugreifen?

Falcon Orchestrator ist ein auf CrowdStrike-APIs aufbauendes Open Source-Tool und öffentlich verfügbar. Wer die Automatisierung verbessern und Spurensicherungs- und Behebungsaktionen in Echtzeit ausführen möchte, muss allerdings Falcon-Plattform-Benutzer sein. Weitere Informationen und Zugriff auf dieses Tool finden Sie auf der Falcon Orchestrator-Website.

Wie kann ich Falcon SIEM Connector verwenden?

Anleitungen zur Handhabung des Falcon SIEM Connector finden Sie im SIEM Connector Feature Guide auf der Plattform (Anmeldung erforderlich).

Welche Intelligence-APIs sind für Kunden von Falcon Intelligence Standard und Premium verfügbar?

Die Falcon Intelligence-APIs sind in vier wichtige Unterfunktionen unterteilt, die im Folgenden definiert sind. Standard-Abonnenten haben Zugriff auf zwei Unterfunktionen, Premium-Abonnenten auf alle vier. Im Folgenden finden Sie die Beschreibungen und eine Aufstellung.

Die Abonnenten von Falcon Intelligence Standard und Premium haben Zugriff auf folgende Unterfunktionen:

  • Actors – Mit der Falcon Intelligence Actors-API können Abonnenten bestimmte Akteure abfragen und suchen, die CrowdStrike verfolgt. Es handelt sich um eine REST-API, die nach einem Standard-Anforderung/Antwort-Modell arbeitet.
  • Indicators – Mit der Indicator-API können Abonnenten Indikatoren in ihren Umgebungen abfragen, etwa jene mit Bezug auf verschiedene Akteure, Indikatoren eines bestimmten Konfidenzniveaus und solche, die mit Falcon Intelligence-Berichten in Zusammenhang stehen. Zum schnelleren Auffinden der benötigten Informationen können die Daten sortiert und gefiltert werden.

Nur Falcon Intelligence Premium

  • Reports – Diese Berichte fragen CrowdStrike Intelligence-Veröffentlichungen ab. Sie können weitere Informationen über diese Publikationen erhalten oder einfach eine PDF-Version herunterladen.

Es sind u. a. folgende Veröffentlichungen verfügbar:

  • Bedrohungsberichte (CSIR)

  • Bedrohungsbewertungen (CSTA)

  • Warnmeldungen (CSA)

  • Periodische Berichte (CSMR)

  • Tipper (CSIT)

  • Maßgeschneiderte Intelligence – Mit dieser API bleiben Falcon Intelligence Premium-Kunden über interessante Themen auf dem Laufenden. Sie können beispielsweise verfolgen, ob der Name Ihres Unternehmens erwähnt wird, oder neue Entwicklungen einer bestimmten, für Sie interessanten Malware-Familie. Bei einer Übereinstimmung zwischen Ihrer Watchlist und verschiedenen durch CrowdStrike überwachten Quellen gibt die API die neuesten Ergebnisse aus.

Diese Tabelle zeigt die für jedes Niveau von Falcon Intelligence-Abonnement verfügbaren APIs.

Intelligence-API

Standard

Premium

Actors

X

X

Indicators

X

X

Reports

X

Tailored Intelligence

X

Bitte beachten Sie:  Alle Falcon Intelligence-APIs sind REST-APIs, die nach dem Standard-Anforderung/Antwort-Modell arbeiten. Abfragen werden mit HTTPS durchgeführt und Anforderung/Antwort-Daten als JSON formatiert.