Mise en route de l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Vous pouvez activer et configurer l’interface CrowdStrike Falcon Insight de confidentialité avec votre instance et Réponse aux incidents de sécurité votre Now Platform produit.

    Avant de commencer

    Rôle requis : administrateur

    Avant de pouvoir l’utiliser CrowdStrike Falcon Insight pour l’intégration Opérations de sécurité , vous devez le télécharger à ServiceNow Storepartir du fichier .

    Pourquoi et quand exécuter cette tâche

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles requis Now Platform et Réponse aux incidents de sécurité . Ces rôles sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir du ServiceNow Store rôle sn_si.admin et lui attribue le rôle.
    • Le rôle sn_si.admin configure l’intégration, crée et active les profils, puis attribue le rôle sn_si.analyst.
    • Le rôle sn_si.analyst répond aux incidents de sécurité, lance manuellement les profils et peut soumettre des demandes d’actions telles que l’isolement de l’hôte et la suppression de l’isolement de l’hôte pour un groupe approuvé.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le module d’extension Programme d’installation du ServiceNow Hub d'intégration pack Entreprise [com.glide.hub.integrations.enterprise] est requis. Ce module d’extension permet l’exécution des actions et des flux du Centre d’intégration :

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail de Security Integration
    3. Security Support Common
    4. Orchestration de support de sécurité
    5. Renseignements sur les menaces Prise en charge commune
    6. Trusted Security Circles
    7. Opérations de sécurité Assistant de configuration
    8. Réponse aux incidents de sécurité
    Configurez un groupe d’approbation.

    Une aptitude d’approbation facultative est disponible pour isoler les ordinateurs hôtes, les restaurer sur le réseau et lancer des recherches de perceptions.

    Pour activer cette option, vous devez obtenir l’approbation préalable du rôle sn_si.admin avant que les ordinateurs hôtes ne soient isolés et restaurés sur votre réseau, ou lorsque des recherches de perceptions sont effectuées. Si vous avez besoin d’un niveau supplémentaire de contrôle sur ces actions, activez l’option Exiger l’approbation lors de la configuration du profil. L’autorité d’approbation est affectée à l’utilisateur ayant le rôle sn_si.admin. Vous pouvez également réaffecter cette autorité d’approbation à un groupe d’approbation.
    Attribuez et vérifiez les rôles de la plateforme CrowdStrike Falcon. Les rôles suivants sont requis sur la plateforme CrowdStrike Falcon pour la configuration de l’intégration :
    • Le rôle d’administrateur Falcon est nécessaire pour afficher, créer ou modifier des clients ou des clés d’API.
    • Le rôle Répondeur en temps réel – Administrateur est requis pour créer et exécuter des scripts personnalisés.
    • Le rôle Répondeur en temps réel – Intervenant actif est requis pour créer et exécuter des scripts personnalisés.
    Vérifiez que les scripts personnalisés, les rôles et les autorisations sont activés dans la plateforme CrowdStrike Falcon. Cette intégration utilise les scripts personnalisés de CrowdStrike pour quelques-unes des fonctionnalités d’enrichissement.
    • Vérifiez que les rôles Intervenant en temps réel – Administrateur et Répondeur en temps réel – Intervenant actif sont disponibles.
    • Vérifiez que l’option de politique Par défaut (Windows) est activée dans Configuration > politiques de réponse dans l’interface utilisateur de CrowdStrike Falcon.
    • Vérifiez que la réponse en temps réel et les scripts personnalisés sous la fonctionnalité En temps réel sont activés dans l’interface utilisateur de CrowdStrike Falcon.
    Générer des clients et des clés d’API dans la plateforme CrowdStrike Falcon. Créez les clients ou les clés de l’API CrowdStrike dans la plateforme CrowdStrike Falcon à utiliser dans la configuration de l’intégration Now Platform .