gslabaugh/falcon-cloud-security-tools
GitHub: gslabaugh/falcon-cloud-security-tools
用于从 CrowdStrike Falcon Cloud Security 平台检索和导出云安全配置错误(IOM)及资产数据的 Python 工具集。
Stars: 0 | Forks: 0
# 快速入门指南
## 1. 安装
```
git clone https://github.com/gslabaugh/falcon-cloud-security-tools.git
```
```
cd falcon-cloud-security-tools
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
```
## 2. 配置 API Client
在 Falcon Console 中:
1. 转到 **Support and Resources > API Clients and Keys**
2. 点击 **Add new API client**
3. 添加以下 scope:
- Cloud Security API Detections - Read
- Cloud Security API Assets - Read
- CSPM registration - Read
- Configuration Assessment - Read
- cloud-security-policies - Read
4. 复制您的 Client ID 和 Secret
重要提示:请在您的云账户注册的正确 CID 中创建 API client。
## 3. 设置环境变量
```
export FALCON_CLIENT_ID="your_client_id_here"
export FALCON_CLIENT_SECRET="your_client_secret_here"
export FALCON_API_URL="api.crowdstrike.com"
```
## 4. 验证访问权限
```
python scope_test.py
```
所有必需的 endpoint 应显示 ACCESS OK。
## 5. 运行 IOM 检索
将所有 IOM 输出为 JSON(默认)
```
python iom_retrieval.py
```
将所有 IOM 输出为 CSV
```
python iom_retrieval.py --output csv
```
快速控制台测试 - 10 条结果
```
python iom_retrieval.py --output console --limit 10
```
按规则分组的 IOM
```
python iom_retrieval.py --grouped-by-rule --output console
```
云资产
```
python asset_retrieval.py --output console --limit 10
```
## 常用过滤器
仅限 GCP 严重和高危
```
python iom_retrieval.py --platform gcp --severity critical,high --output csv
```
AWS 所有发现
```
python iom_retrieval.py --platform aws --output json
```
特定账户
```
python iom_retrieval.py --account-id projects/1065216519849
```
NIST 框架
```
python iom_retrieval.py --framework NIST --output csv
```
原始 FQL 过滤器
```
python iom_retrieval.py --fql "severity:'high'+cloud_provider:'gcp'"
```
## 注意事项
- 正确的 IOM endpoint:/cloud-security-evaluations/queries/ioms/v1
- 已弃用的 /detects/queries/iom/v2 返回 0 条结果
- CrowdStrike 在服务端验证 scope - JWT scp 字段始终为空
- 使用 scope_test.py 验证实际的 API 访问权限
- IOM 响应使用嵌套结构:cloud、resource、evaluation 对象
标签:AMSI绕过, API工具, AWS, Azure, CrowdStrike, CSPM, DevSecOps, DPI, Falcon, GCP, GPT, IOM检索, NIST框架, Python, TinkerPop, 上游代理, 二进制发布, 云安全态势管理, 前端应用, 占用监测, 威胁检测, 开源工具, 无后门, 漏洞管理, 脚本, 资产管理, 逆向工具, 配置评估