• admin ロールは、ServiceNow Store から統合をインストールし、sn_si.admin ロールをアサインします。
• sn_si.admin ロールは、統合を構成し、プロファイルを作成してアクティブ化し、sn_si.analyst ロールをアサインします。
• sn_si.analyst ロールは、セキュリティインシデントに対応し、プロファイルを手動で起動し、ホストの隔離や、承認されたグループのホスト隔離の削除などのアクションの要求を送信できます。

ServiceNow 統合ハブ Enterprise Pack Installer [com.glide.hub.integrations.enterprise] プラグインが必要です。このプラグインは、IntegrationHub アクションとフローの実行を有効にします。

セキュリティインシデントレスポンス プラグイン (com.snc.security_incident) が必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。統合に必要な他の セキュリティオペレーション アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

次の セキュリティオペレーション アプリケーションが、ServiceNow Store からインストールされ、アクティブ化されていることを確認します。インストールされていない場合は、スムーズにインストールできるように、次の順序で一度に 1 つずつアプリケーションをインストールしてアクティブ化する必要があります。

1. セキュリティインシデントレスポンス 依存関係 (com.snc.si_dep)
2. Security Integration Framework
3. Security Support Common
4. セキュリティサポートオーケストレーション
5. 脅威インテリジェンス Support Common
6. トラステッドセキュリティサークル
7. セキュリティオペレーション セットアップアシスタント
8. セキュリティインシデントレスポンス

ホストマシンの隔離、ネットワークの復元、サイティング検索の開始に使用できるオプションの承認機能があります。

このオプションを有効にするには、ホストマシンを隔離してネットワークに復元する前、またはサイティング検索を実行するときに、sn_si.admin ロールからの事前承認が必要です。これらのアクションをより詳細に制御する必要がある場合は、プロファイルの構成で [承認が必要] オプションを有効にします。承認権限は、sn_si.admin ロールを持つユーザーに割り当てられます。承認権限を承認グループに再割り当てすることもできます。

• API クライアントまたはキーを表示、作成、または変更するには、Falcon アドミンロールが必要です。
• カスタムスクリプトを作成して実行するには、リアルタイムレスポンダー - アドミンロールが必要です。
• カスタムスクリプトを作成して実行するには、リアルタイムレスポンダー - アクティブレスポンダーロールが必要です。

• リアルタイムレスポンダー - アドミンおよびリアルタイムレスポンダー - アクティブレスポンダーのロールが利用可能であることを確認します。
• CrowdStrike Falcon UI の [構成] > [応答ポリシー (Response Policies)] で [デフォルト (Windows) ポリシー (Default(Windows) policy)] オプションが有効になっていることを確認します。
• CrowdStrike Falcon UI で、[リアルタイム機能 (Real Time Functionality)] の [リアルタイム応答 (Real Time Response)] と [カスタムスクリプト (Custom Scripts)] が有効になっていることを確認します。