CrowdStrike Falcon MCP Konektor

Propojuje CrowdStrike Falcon s AI asistentem přes Model Context Protocol. SOC analytici a bezpečnostní týmy tak pracují s Falcon přirozeným jazykem — bez přepínání mezi konzolemi a psaní skriptů na míru. Napojeno přímo na CrowdStrike Falcon API přes OAuth2.

Co to v praxi znamená

Reakce na incident, která dřív vyžadovala přepínat mezi konzolí alertů, grafy detekce, Intel portálem a terminály, se smrskne na jeden dotaz. Rutinní úkoly — procházení alertů, IOC hunting v prostředí, ověření rizikovosti identity, sandboxing podezřelého hashe — lze delegovat bez psaní jediného řádku kódu.

Méně zkušení členové týmu mohou vyšetřovat incidenty bez rizika nechtěné destruktivní akce. Před každou izolací, RTR session nebo globálním blokem IOC konektor vyžaduje potvrzení.

MCP konektor slouží také jako základ pro SOC Analyst — tříúrovňový AI tým (L1 / L2 / L3), který přístup k Falcon API orchestruje autonomně. Vedle Falconu SOC agent podporuje i SentinelOne.

Příklady dotazů

claude-desktop · crowdstrike-falcon-mcp

› Ukaž mi všechny alerty s vysokou závažností z posledních 24 hodin.
› Izoluj endpoint WIN-SRV-03 od sítě a otevři case pro vyšetřování.
› Zjisti, kteří uživatelé mají vysoké rizikové skóre a jejich poslední
  přihlašovací aktivitu.
› Odešli tento hash do FalconX sandboxu a počkej na verdikt.
› Vyhledej tento SHA256 v threat intelligence a porovnej s aktivními
  IOC pravidly.
› Jaké zranitelnosti jsou otevřené na kritických serverech?

Přehled modulů

Správa endpointů

Vyhledávání hostů podle hostname, platformy, tagu nebo vlastního FQL filtru
Síťová izolace (contain) a obnovení připojení (lift containment)
Historie přihlášení na endpointu
Akce: skrytí/zobrazení hosta, potlačení/obnovení detekcí

Alerty a Cases

Filtrování alertů podle závažnosti, stavu a datumu (FQL)
Aktualizace alertů: stav, přiřazení analytikovi, komentář, tagy
Cases: celý životní cyklus vyšetřování s vazbou na alerty
Timeline aktivit na case; komentáře k průběhu vyšetřování

Intelligent Hunting

Hunting Guides — CrowdStrike-generované leads na adversary TTPs
Intelligence Queries s hotovými detekčními dotazy
Fulltextové vyhledávání podle aktora, malwaru nebo techniky
Volitelný AI překlad Intel Queries do češtiny

Identity Protection

Uživatelé a zařízení s vysokým rizikovým skóre
Profil entity — AD/AAD atributy, skupiny, asociované endpointy
Chronologická timeline autentifikací a aktivit entity
Identity-based incidenty: credential attack, lateral movement

Threat Intelligence & IOC

Profily APT skupin, malware rodin a Falcon Intel zprávy
IOC indikátory z Falcon Intel feedu (hash, doména, IP)
Správa vlastních IOC pravidel: vytvoření, úprava, smazání
Akce IOC: detect, prevent, prevent_no_ui

FalconX Sandbox & RTR

Odeslání SHA256 nebo URL do sandboxu a výsledek analýzy
Real-Time Response: otevření session, read-only příkazy (ps, netstat, ls, reg query…)
Batch RTR — paralelní forensní sběr na více hostů najednou
Spotlight: zranitelnosti na endpointoch (CVE, CVSS, status)

Technické parametry

Protokol

Model Context Protocol (MCP)

API

CrowdStrike Falcon API (OAuth2 Client Credentials)

Minimální Python

3.11

Komunikace

HTTPS, asynchronní (httpx)

Autentizace

OAuth2 Client Credentials — token se automaticky obnovuje

Regiony

EU-1 (výchozí), US-1, US-2, US-GOV-1

Filtrace

FQL (Falcon Query Language) — majority nástrojů

Identity API

GraphQL (Identity Protection) a REST (ostatní moduly)

SSL

Konfigurovatelné (vč. podpory corporate proxy)

Kompatibilní klienti

Claude (Anthropic) a libovolný MCP-kompatibilní klient

Záruky provozu

Destruktivní akce (izolace, RTR session, globální IOC block) vyžadují explicitní potvrzení. Credentials nejsou součástí kódu — načítají se z prostředí nebo konfiguračního souboru. Veškerá komunikace probíhá přímo mezi klientem a CrowdStrike tenantem zákazníka přes HTTPS — bez mezivrstev a bez exportu dat třetím stranám.