Questions fréquentes – API CrowdStrike Falcon

CrowdStrike® offre cinq principales API (interfaces de programmation) structurées en plusieurs sous-fonctions capables de traiter une grande variété de cas d'utilisation. Selon le cas d'utilisation ou en fonction de leurs besoins, les utilisateurs peuvent soit transmettre, soit interroger les données dans le cloud CrowdStrike pour obtenir une cyberveille proactive, mener des investigations indépendantes ou visualiser les relations entre élements.

CrowdStrike propose un ensemble d'API puissantes pour permettre aux clients de la plateforme CrowdStrike Falcon® d'affiner leurs flux de travail de triage et de tirer parti de leurs investissements de sécurité existants. CrowdStrike est conscient du fait que ses clients sont susceptibles d'utiliser divers produits de sécurité pour assurer la protection de leur environnement : la plateforme Falcon a donc été conçue pour être aussi ouverte et extensible que possible. Ces API permettent aux clients de tirer parti des fonctionnalités de la plateforme Falcon parallèlement à leurs investissements existants, pour réaliser une parfaite intégration depuis la sécurité des endpoints jusqu'à l'automatisation des flux de travail.

CrowdStrike offre cinq principales API:

• Falcon Streaming – Pour la diffusion des détections et des événements d'audit.
  

  Cette API permet à l'utilisateur de suivre des événements en temps réel et de recevoir les alertes dès qu'elles sont émises lors d'une seule session de transmission de données ; elle offre ainsi un mécanisme de transmission de données à faible latence et à grand rendement.

• Falcon Data Replicator —  Pour l'intégration et la corrélation des données.
  

  Falcon Data Replicator donne aux équipes de sécurité la possibilité d'exporter des ensembles de données complets sur les endpoints à partir de l'agent Falcon vers leur environnement pour l'exécution d'analyses indépendantes. Il permet aux clients d'intégrer les données provenant de la plateforme Falcon dans leur entrepôt de données local et d'établir une corrélation avec les journaux provenant d'autres sources.

• Falcon Threat Graph™ – Pour faciliter les investigations par la visualisation des relations.
  

  L'API Falcon Threat Graph exploite la base de données orientée graphe de CrowdStrike (plusieurs pétaoctets) pour révéler les relations sous-jacentes entre indicateurs de compromission, périphériques, processus et d'autres données d'investigation et événements, tels que les fichiers enregistrés, les chargements de modules ou les connexions réseau. L'intégration avec des outils de visualisation tels que Maltego permet de traiter le graphe pour détecter les relations existant entre les événements.

• Falcon Query – Pour la gestion, l'investigation et l'intervention.
  

  L'API Falcon Query vous permet de transmettre des indicateurs de compromission pour la surveillance ; d'obtenir des informations sur les périphériques pour les systèmes où l'agent Falcon est installé ; d'effectuer des recherches de processus sur la base d'indicateurs d'attaque, d'indicateurs de compromission et de processus connexes ; et de gérer le statut de détection.

• Falcon Intelligence – Pour anticiper les menaces émergentes.
  

  L'API Falcon Intelligence permet aux clients de tirer parti d'un riche flux d'informations sur des indicateurs, des cyberadversaires, des nouvelles et des alertes de menaces personnalisées. L'intégration de l'outil de visualisation permet de faire apparaître les corrélations entre cyberpirates, indicateurs, familles et campagnes de diffusion de logiciels malveillants.

Tous les clients ayant fait l'acquisition d'une plateforme CrowdStrike Falcon ont accès aux API Falcon. Toutefois, la faculté d'utiliser les API est subordonnée au type de produits que le client a achetés. Le tableau ci-dessous indique les API qui sont disponibles pour les clients de la plateforme Falcon. Pour plus de renseignements, veuillez adresser un [email protected] e-mail.

Les clés des API Falcon sont communiquées par les services de support CrowdStrike selon l'abonnement souscrit (voir ci-dessus).

• L'API Streaming fournit des données via une connexion de diffusion HTTP. Une connexion HTTPS est ouverte entre un client et l'API Falcon Streaming, et les nouveaux événements sont envoyés au fur et à mesure qu'ils se produisent. CrowdStrike offre un client connecteur SIEM pour simplifier l'intégration et permettre la conversion au format syslog.
• L'API Falcon Data Replicator procure des alertes via (Amazon) SQS lorsqu'une nouvelle série de données concernant les endpoints est disponible au téléchargement sur console S3. À partir de là, les clients peuvent intégrer les données d'événement dans leur propre environnement pour stockage et analyse.
• Les API Query et Intelligence sont une série d'API HTTP REST fonctionnant selon le modèle Request-Response standard. Les réponses sont formatées en JSON.
• L'API Falcon Threat Graph appelle le graphique des menaces pour identifier les endpoints sur lesquels des indicateurs se sont manifestés.

Les clients n'ont besoin d'aucune infrastructure supplémentaire. Les API Falcon utilisent la plateforme Falcon, dont l'architecture est entièrement basée sur le cloud. Ceci permet aux clients de bénéficier plus rapidement de la protection et réduit le coût de total de possession en éliminant l'achat de matériels sur site, ainsi que leur déploiement et leur entretien. Qui plus est, la sécurité cloud de CrowdStrike empêche tout attaquant d'acquérir la technologie CrowdStrike pour tenter de la modifier ou de l'esquiver.

Tous les clients de CrowdStrike ont accès aux API. Toutefois, l'accès à chaque API dépend du type d'abonnement souscrit. Si vous souhaitez bénéficier de cet avantage, veuillez adresser un courrier à [email protected] et obtenir l'identifiant et le mot de passe nécessaires pour configurer et utiliser les API Falcon.

CrowdStrike met à la disposition des clients et chercheurs plusieurs outils pour les aider à automatiser les flux de travail et les fonctions de gestion de cas, et pour améliorer leurs techniques d'investigation informatique et de correction ; ces outils venant s'ajouter aux fonctionnalités de la plateforme Falcon. L'accès à ces outils se fait par le site CrowdStrike Community Tools.

Oui. L'API Falcon Streaming peut se connecter à un client consommateur hébergé localement via HTTPS. Elle communiquera les nouveaux événements au fur et à mesure qu'ils se produisent. CrowdStrike offre un client connecteur SIEM pour simplifier l'intégration et permettre la conversion au format syslog.

Falcon Orchestrator est un outil open source développé à partir des API CrowdStrike et il est accessible à tous. Toutefois, les clients désireux d'automatiser le processus et d'exécuter des routines d'investigation et de correction doivent disposer de la plateforme Falcon. Pour de plus amples informations et pour obtenir l'accès à cet outil, visitez le site de Falcon Orchestrator.

Le Guide « SIEM Connector Feature Guide » indique comment se servir du connecteur SIEM de Falcon ; il est accessible dans la plateforme (un identifiant de connexion est nécessaire).

Les API Falcon Intelligence sont partagées en quatre principales sous fonctions, dont la définition suit. Les abonnés Standard ont accès à deux des sous-fonctions ; les abonnés Premium ont accès aux quatre sous-fonctions. Veuillez consulter les descriptions et le tableau ci-dessous.

Les abonnés à Falcon Intelligence Standard et Premium ont accès aux sous-fonctions suivantes :

• Actors — L'API Falcon Intelligence Actors permet aux abonnés d'exécuter des recherches concernant des cyberpirates spécifiques, suivis par CrowdStrike. C'est une API REST qui fonctionne selon un modèle Request-Response standard.
• IndicatorsL'API Indicator permet aux abonnés d'exécuter des requêtes portant sur les indicateurs se trouvant dans leur environnement, par exemple les indicateurs liés à certains cyberadversaires, ceux d'un niveau de fiabilité particulier ou encore ceux qui sont cités dans les rapports Falcon Intelligence. Les données peuvent être triées et filtrées, permettant de trouver plus rapidement les informations nécessaires.

Falcon Intelligence Premium uniquement

• Reports Ces rapports interrogent les rapports publiés par CrowdStrike Intelligence. Vous pouvez obtenir de plus amples renseignements sur ces publications ou télécharger une version au format PDF.

Les publications comprennent :

• Intelligence Reports (CSIR)

• Threat Assessments (CSTA)

• Alerts (CSA)

• Periodic Reports (CSMR)

• Tippers (CSIT)

• Tailored Intelligence —  Cette API permet aux clients de Falcon Intelligence Premium de rester au courant de sujets qui les intéressent particulièrement. Ils peuvent par exemple suivre les références dans lesquelles le nom de leur entreprise est cité, ou lire les dernières nouvelles concernant une catégorie de logiciels malveillants qui les intéresse particulièrement. Cette API présente les derniers résultats, dans les cas où elle trouve une correspondance entre les articles de votre liste de surveillance et les diverses sources que CrowdStrike suit activement.

Ce tableau indique les API qui sont accessibles selon votre niveau d'abonnement à Falcon Intelligence:

À noter: Toutes les API Falcon Intelligence sont des API REST fonctionnant selon un modèle Request-Response standard. Les interrogations se font sous HTTPS et les données Request-Response sont au format JSON.