Velocity-BPA/n8n-nodes-crowdstrike-falcon

# n8n-nodes-crowdstrike-falcon 此 n8n 社区节点提供与 CrowdStrike Falcon 的集成，通过 7 个综合资源实现自动化端点安全操作。该节点可完全访问 CrowdStrike 的威胁检测、事件管理、主机监控、IOC 处理、漏洞评估、事件流和威胁情报功能，用于增强安全自动化工作流。       ## 功能 - **高级威胁检测** - 自动化检测检索、状态更新和修复工作流 - **事件响应管理** - 简化事件处理、分配和解决跟踪 - **主机监控与控制** - 监控端点健康状况、应用策略并管理主机配置 - **IOC 情报操作** - 在您的环境中创建、更新和管理威胁指标 - **漏洞评估** - 自动化漏洞扫描、报告和修复优先级排序 - **实时事件流** - 实时处理安全事件以实现即时威胁响应 - **威胁情报集成** - 利用 CrowdStrike 的威胁情报增强安全态势 - **企业级安全** - 安全的 API 密钥认证与全面的错误处理 ## 安装 ### 社区节点（推荐） 1. 打开 n8n 2. 进入 **Settings** → **Community Nodes** 3. 点击 **Install a community node** 4. 输入 `n8n-nodes-crowdstrike-falcon` 5. 点击 **Install** ### 手动安装 ``` cd ~/.n8n npm install n8n-nodes-crowdstrike-falcon ``` ### 开发安装 ``` git clone https://github.com/Velocity-BPA/n8n-nodes-crowdstrike-falcon.git cd n8n-nodes-crowdstrike-falcon npm install npm run build mkdir -p ~/.n8n/custom ln -s $(pwd) ~/.n8n/custom/n8n-nodes-crowdstrike-falcon n8n start ``` ## 凭证设置 | 字段 | 描述 | 必填 | |-------|-------------|----------| | API Key | 具有适当作用域的 CrowdStrike Falcon API 密钥 | 是 | | Client ID | CrowdStrike API 客户端标识符 | 是 | | Client Secret | CrowdStrike API 客户端密钥 | 是 | | Base URL | CrowdStrike 云区域端点（自动检测） | 否 | ## 资源与操作 ### 1. Detections（检测） | 操作 | 描述 | |-----------|-------------| | Get All | 检索所有检测，支持过滤选项 | | Get by ID | 获取特定检测的详细信息 | | Update Status | 更改检测状态（new, in_progress, true_positive, false_positive） | | Assign | 将检测分配给用户或团队 | | Add Comment | 向检测添加调查备注 | | Get Summary | 检索检测摘要统计信息 | ### 2. Incidents（事件） | 操作 | 描述 | |-----------|-------------| | Get All | 列出所有事件，支持分页和过滤 | | Get by ID | 检索详细的事件信息 | | Create | 从检测创建新事件或手动创建 | | Update | 修改事件详情和状态 | | Assign | 将事件分配给分析师或团队 | | Close | 关闭事件并附带解决详情 | | Reopen | 重新打开先前关闭的事件 | | Add Comment | 记录调查进度 | ### 3. Hosts（主机） | 操作 | 描述 | |-----------|-------------| | Get All | 列出所有受管主机及其系统详情 | | Get by ID | 检索特定主机信息 | | Search | 按主机名、IP 或其他条件搜索主机 | | Contain | 将主机从网络隔离（网络遏制） | | Lift Containment | 解除主机的网络隔离 | | Hide Host | 在控制台视图中隐藏主机 | | Unhide Host | 恢复主机在控制台中的可见性 | | Get Online Status | 检查实时主机连接状态 | ### 4. IOCs（威胁指标） | 操作 | 描述 | |-----------|-------------| | Get All | 检索所有威胁指标 | | Get by ID | 获取特定 IOC 详情 | | Create | 添加带有元数据和严重性的新 IOC | | Update | 修改现有 IOC 属性 | | Delete | 从监控列表中移除 IOC | | Search | 按类型、值或来源查询 IOC | | Bulk Upload | 从文件或列表导入多个 IOC | | Get Processes | 查找与 IOC 关联的进程 | ### 5. Vulnerabilities（漏洞） | 操作 | 描述 | |-----------|-------------| | Get All | 列出所有已发现的漏洞 | | Get by ID | 检索详细的漏洞信息 | | Get by CVE | 按 CVE 标识符搜索漏洞 | | Get Affected Hosts | 列出受特定漏洞影响的主机 | | Get Remediation | 检索修复指南和步骤 | | Update Priority | 调整漏洞优先级 | | Mark Suppressed | 将漏洞从活动列表中抑制 | | Get Statistics | 检索漏洞指标和趋势 | ### 6. EventStreams（事件流） | 操作 | 描述 | |-----------|-------------| | Create Stream | 建立实时事件流连接 | | Get Events | 从流中检索事件，支持过滤 | | List Streams | 显示所有活动的事件流 | | Refresh Token | 更新流认证令牌 | | Close Stream | 终止事件流连接 | | Get Schema | 检索事件数据结构定义 | | Filter Events | 对事件流应用自定义过滤器 | | Parse Event | 提取并格式化事件数据 | ### 7. ThreatIntelligence（威胁情报） | 操作 | 描述 | |-----------|-------------| | Get Indicators | 检索威胁情报指标 | | Search Malware | 按哈希或名称查询恶意软件数据库 | | Get Actor | 检索威胁行为者信息 | | Get Report | 访问详细的威胁情报报告 | | Get Rules | 检索 YARA 和其他检测规则 | | Search IOCs | 按各种条件查询情报 IOC | | Get Tactics | 检索 MITRE ATT&CK 战术和技术 | | Get Campaign | 访问威胁活动信息 | ## 使用示例 ``` // Retrieve high-severity detections from last 24 hours const detections = await crowdstrike.detections.getAll({ filter: "severity:'High'+created_timestamp:>'2024-01-01T00:00:00Z'", limit: 100, sort: "created_timestamp.desc" }); ``` ``` // Contain compromised host and create incident await crowdstrike.hosts.contain({ ids: ["1234567890abcdef"], comment: "Malware detected - isolating host" }); const incident = await crowdstrike.incidents.create({ name: "Compromised Host - Malware Detection", description: "Host isolation due to malware detection", severity: "High", host_ids: ["1234567890abcdef"] }); ``` ``` // Add IOC and monitor for matches const ioc = await crowdstrike.iocs.create({ type: "sha256", value: "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855", action: "detect", severity: "high", description: "Malicious file hash from incident IR-2024-001" }); ``` ``` // Stream real-time detections and auto-assign critical alerts const stream = await crowdstrike.eventStreams.createStream({ appId: "security-automation", eventTypes: ["DetectionSummaryEvent"] }); const events = await crowdstrike.eventStreams.getEvents({ appId: "security-automation", filter: "severity:'Critical'" }); ``` ## 错误处理 | 错误 | 描述 | 解决方案 | |-------|-------------|----------| | 401 Unauthorized | API 凭证无效 | 验证 API 密钥、客户端 ID 和客户端密钥 | | 403 Forbidden | 权限不足 | 检查 API 密钥作用域和用户权限 | | 429 Rate Limited | API 速率限制已超出 | 实施指数退避和重试逻辑 | | 404 Not Found | 资源 ID 不存在 | 验证资源 ID 并检查资源是否已被删除 | | 400 Bad Request | 请求参数无效 | 验证输入参数和格式 | | 500 Internal Server Error | CrowdStrike 服务问题 | 检查 CrowdStrike 状态页面并稍后重试 | ## 开发 ``` npm install npm run build npm test npm run lint npm run dev ``` ## 作者 **Velocity BPA** - 网站: [velobpa.com](https://velobpa.com) - GitHub: [Velocity-BPA](https://github.com/Velocity-BPA) ## 许可 此 n8n 社区节点基于 **Business Source License 1.1** 授权。 ### 免费使用 允许用于个人、教育、研究和内部商业用途。 ### 商业用途 在任何 SaaS、PaaS、托管平台、托管服务或付费自动化产品中使用此节点需要商业许可证。 许可咨询：**licensing@velobpa.com** 详情请参阅 [LICENSE](LICENSE)、[COMMERCIAL_LICENSE.md](COMMERCIAL_LICENSE.md) 和 [LICENSING_FAQ.md](LICENSING_FAQ.md)。 ## 贡献 欢迎贡献！请确保： 1. 代码遵循现有风格约定 2. 所有测试通过 (`npm test`) 3. Linting 通过 (`npm run lint`) 4. 更新新功能的文档 5. 提交信息具有描述性 ## 支持 - **Issues**: [GitHub Issues](https://github.com/Velocity-BPA/n8n-nodes-crowdstrike-falcon/issues) - **CrowdStrike API 文档**: [CrowdStrike Falcon API Reference](https://falcon.crowdstrike.com/documentation) - **社区**: [n8n Community Forum](https://community.n8n.io)

标签：AES-256, AMSI绕过, API集成, CrowdStrike Falcon, EDR, FTP漏洞扫描, IOC管理, MITM代理, n8n, PB级数据处理, SOC自动化, TypeScript, 主机监控, 可观测性, 威胁情报, 威胁检测, 安全插件, 安全编排, 安全运维, 工作流, 开发者工具, 漏洞评估, 社区节点, 终端安全, 网络安全, 网络调试, 脆弱性评估, 自动化, 自动化攻击, 速率限制, 隐私保护