• 관리자 역할은 에서 통합을 설치하고 sn_si.admin 역할을 할당합니다 ServiceNow Store .
• sn_si.admin 역할은 통합을 구성하고, 프로파일을 생성 및 활성화한 다음, sn_si.analyst 역할을 할당합니다.
• sn_si.analyst 역할은 보안 인시던트에 응답하고, 프로필을 수동으로 시작하며, 호스트 격리 및 승인된 그룹에 대한 호스트 격리 제거와 같은 작업에 대한 요청을 제출할 수 있습니다.

ServiceNow Integration Hub Enterprise Pack Installer [com.glide.hub.integrations.enterprise] 플러그인이 필요합니다. 이 플러그인을 사용하면 IntegrationHub 작업 및 플로우를 실행할 수 있습니다.

플러그인(com.snc.security_incident)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 의존성을 자동으로 설치합니다. 통합에 필요한 다른 Security Operations 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

다음 Security Operations 애플리케이션이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 해당 애플리케이션이 아직 설치되어 있지 않은 경우 원활한 설치를 위해 다음 순서대로 각 애플리케이션을 한 번에 하나씩 설치하고 활성화해야 합니다.

1. 보안 인시던트 응답 종속성(com.snc.si_dep)
2. 보안 통합 프레임워크
3. Security Support Common
4. 보안 지원 오케스트레이션
5. 위협 인텔리전스 지원 공통
6. Trusted Security Circles
7. Security Operations 설정 도우미
8. 보안 인시던트 응답

호스트 컴퓨터를 격리하고, 네트워크에 복원하고, 사이팅 검색을 시작하기 위해 선택적 승인 기능을 사용할 수 있습니다.

이 옵션을 사용하려면 호스트 머신이 네트워크에서 격리 및 복원되기 전이나 사이팅 검색이 수행될 때 sn_si.admin 역할의 사전 승인이 필요합니다. 이러한 작업을 추가로 제어해야 하는 경우 프로필을 구성할 때 승인 필요 옵션을 활성화합니다. 승인 기관은 sn_si.admin 역할을 가진 사용자에게 할당됩니다. 이 승인 기관을 승인 그룹에 다시 할당할 수도 있습니다.

• API 클라이언트 또는 키를 보거나 생성하거나 수정하려면 Falcon 관리자 역할이 필요합니다.
• 실시간 응답자 – 관리자 역할은 사용자 지정 스크립트를 만들고 실행하는 데 필요합니다.
• 실시간 응답자 – 활성 응답자 역할은 사용자 지정 스크립트를 만들고 실행하는 데 필요합니다.

• 실시간 응답자 - 관리자 및 실시간 응답자 - 활성 응답자 역할을 사용할 수 있는지 확인합니다.
• CrowdStrike Falcon UI의 구성 > 응답 정책에서 기본(Windows) 정책 옵션이 활성화되어 있는지 확인합니다.
• 실시간 기능(Real Time Functionality)에서 실시간 응답 및 사용자 지정 스크립트(Real Time Response and Custom Scripts )가 CrowdStrike Falcon UI에서 활성화되어 있는지 확인합니다.