• Die Administratorrolle installiert die Integration aus dem ServiceNow Store und weist die Rolle sn_si.admin zu.
• Die Rolle „sn_si.admin“ konfiguriert die Integration, erstellt und aktiviert Profile und weist dann die Rolle „sn_si.analyst“ zu.
• Die Rolle „sn_si.analyst“ reagiert auf Security Incidents, startet Profile manuell und kann Anforderungen für Aktionen wie das Isolieren des Hosts und das Entfernen der Hostisolierung für eine genehmigte Gruppe senden.

Das Plugin ServiceNow IntegrationHub Enterprise Pack Installer [com.glide.hub.integrations.enterprise] ist erforderlich. Dieses Plugin ermöglicht die Ausführung von IntegrationHub-Aktionen und -Flows:

Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie jede Anwendung einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation zu gewährleisten:

1. Security Incident Response Abhängigkeit (com.snc.si_dep)
2. Security Integration Framework
3. Security Support Common
4. Security Support Orchestration
5. Threat Intelligence Support Common
6. Trusted Security Circles
7. Security Operations Setup-Assistent
8. Security Incident Response

Eine optionale Genehmigungsfunktion ist verfügbar, um Hostcomputer zu isolieren, im Netzwerk wiederherzustellen und Sichtungssuchen zu initiieren.

Um diese Option zu aktivieren, benötigen Sie die vorherige Genehmigung durch die Rolle „sn_si.admin“, bevor Hostcomputer isoliert und in Ihrem Netzwerk wiederhergestellt werden oder wenn Sichtungssuchen durchgeführt werden. Wenn Sie eine zusätzliche Steuerungsebene für diese Aktionen benötigen, aktivieren Sie beim Konfigurieren des Profils die Option Genehmigung erforderlich. Die Genehmigungsberechtigung wird dem Benutzer mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen.

• Die Falcon-Administratorrolle ist erforderlich, um API-Clients oder -Schlüssel anzuzeigen, zu erstellen oder zu ändern.
• Die Rolle „Real Time Responder – Administrator“ ist zum Erstellen und Ausführen von benutzerdefinierten Skripts erforderlich.
• Die Rolle „Real Time Responder – Active Responder“ ist zum Erstellen und Ausführen von benutzerdefinierten Skripts erforderlich.

• Stellen Sie sicher, dass die Rollen „Real Time Responder – Administrator“ und „Real Time Responder – Active Responder“ verfügbar sind.
• Vergewissern Sie sich, dass die Richtlinienoption Standard (Windows) unter Konfiguration > Antwortrichtlinien in der CrowdStrike Falcon-UI aktiviert ist.
• Stellen Sie sicher, dass Echtzeitantwort und benutzerdefinierte Skripts unter Echtzeitfunktionalität in der CrowdStrike Falcon-UI aktiviert sind.