Integration mit CrowdStrike

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer
  • Integration von Software Asset ManagementAnwendung mit CrowdStrikeErmöglicht die Anzeige CrowdStrikeInformationen zu aktiven Host-Sensoren und Überprüfung der Lizenz-Compliance.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken, und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Anwenderberechtigungen
    Prozess Erforderliche Anwenderrolle in CrowdStrikeAnwendung Authentifizierungsbereiche
    Verbrauch herunterladen Falcon-Administrator Sensornutzungsbereich mit Leseberechtigungen

    Dieser Prozess gilt für YokohamaPatch 1, Software Asset ManagementSaaS-Lizenzmanagement(sn_sam_saas_int) 15.0,8, und Software Asset Management(sn_itam_samp) ab Version 2.1.0. Wenn Sie eine Version für verwenden YokohamaUnter Patch 1 finden Sie weitere Informationen KB1801232 .

    Registrieren Sie ein CrowdStrikeOAuth-Anwendung

    Registrieren Sie CrowdStrikeOAuth-Anwendung für den Zugriff auf CrowdStrikeAPI und zum Empfangen einer Client-ID und eines geheimen Clientschlüssels.

    Vorbereitungen

    Die CrowdStrike IntegrationHubSpoke muss aktiv sein. Weitere Informationen finden Sie unter CrowdStrike-Spoke .

    CrowdStrike Erforderliche Rolle: Falcon-Administrator

    Wichtig:
    • Zur Verwendung der Sensornutzungs-APIs muss Ihrem API-Client der Sensornutzungsbereich mit Leseberechtigungen zugewiesen werden.
    • Wenden Sie sich an Ihr Account-Team, um die folgenden Funktionskennzeichnungen zu aktivieren:
      • Kennzeichnung für stündliche Nutzungsdaten: Diese Kennzeichnung muss für Ihre Kundenidentifizierung (Customer Identification, CID) aktiviert sein, um stündliche Nutzungsdaten anzuzeigen.
      • Funktionskennzeichnung für aggregierte Nutzungsdaten: Diese Kennzeichnung muss aktiviert sein, um aggregierte Nutzungsdaten in Multi-CID-Accounts (nicht-Flugsteuerung) abzurufen.

    Prozedur

    1. Melden Sie sich bei an Falcon Verwenden Sie Ihre Administratoranmeldeinformationen.
    2. Navigieren zu Support > API-Clients und Schlüsselan.
    3. Wählen Sie Aus Fügen Sie einen neuen API-Client hinzu .
    4. Geben Sie den Clientnamen und die Beschreibung an.
    5. Wählen Sie aus Lesen Kontrollkästchen für Sensornutzung Umfang.
    6. Wählen Sie Aus HINZUFÜGEN .
      Der Bildschirm „API-Client erstellt“ wird angezeigt.
    7. Kopieren Sie die Client-ID und den geheimen Clientschlüssel zur späteren Verwendung.

    Erstellen Sie ein CrowdStrikeVerbindung

    Erstellen Sie eine Verbindung zwischen CrowdStrikeAnwendungen und Ihr ServiceNowInstanz, damit Ihre Instanz Anwenderdaten aus Ihren Anwendungen abrufen kann.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: administrator

    Prozedur

    1. Melden Sie sich bei an ServiceNowInstanz.
    2. Navigieren zu Verbindung und Anmeldeinformationen > Aliasse Für Verbindungen Und Anmeldeinformationenan.
    3. Suchen Sie Ihren CrowdStrikeVerbindung und auswählen Erstellen Sie Eine Neue Verbindung Und Anmeldeinformationen .
    4. Füllen Sie im Dialogfeld Verbindung und Anmeldeinformationen erstellen die Felder aus.
      Tabelle : 2. Dialogfeld „Verbindung und Anmeldeinformationen erstellen“
      Feld Wert
      Verbindungsinformation
      Verbindungsname Name von CrowdStrikeVerbindung. Dieses Feld wird automatisch ausgefüllt.
      Verbindungs-URL URL für die Verbindung. Dieses Feld wird automatisch auf festgelegt https://api.crowdstrike.com .
      Jeweils CrowdStrikeCloud hat eine andere Basis-URL. Verwenden Sie die Basis-URL, die der Cloud entspricht, in der Ihre Integration gehostet wird.
      • US-1 : https://api.crowdstrike.com
      • US-2 : https://api.us-2.crowdstrike.com
      • EU-1 : https://api.eu-1.crowdstrike.com
      • US-GOV-1 : https://api.laggar.gcw.crowdstrike.com
      • US-GOV-2 : https://api.us-gov-2.crowdstrike.mil
      Anmeldedaten
      OAuth-Client-ID Client-ID, die Sie beim Konfigurieren von generiert haben CrowdStrikeAPI-Einstellungen.
      OAuth-Client-Geheimnis Geheimer Client-Schlüssel, den Sie beim Konfigurieren von generiert haben CrowdStrikeAPI-Einstellungen.
      OAuth-Umleitungs-URL https://<instance name>/oauth_redirect.do , Wobei der Instanzname der Name Ihrer ServiceNow-Instanz ist.
    5. Wählen Sie Aus OAuth-Token erstellen und abrufen .
      Hinweis:
      Informationen zur Rolle, die zur Ausführung dieses Schritts erforderlich ist, finden Sie unter Minimale Anwenderberechtigungen Tabelle.
      Das OAuth-Token wurde erfolgreich generiert.

    Erstellen Sie ein CrowdStrikeIntegrationsprofil

    Erstellen Sie ein CrowdStrikeIntegrationsprofil, um Softwareabonnements nachzuverfolgen und die Lizenzierung für zu optimieren CrowdStrikeAnwendungen.

    Vorbereitungen

    Die Software Asset ManagementSaaS-LizenzmanagementPlugin (sn_sam_saas_int) muss über installiert werden ServiceNow-Speicher .

    ServiceNow Erforderliche Rolle: administrator oder sam_integrator

    Wichtig:
    Sie müssen auswählen CrowdStrike-Spoke Kontrollkästchen für diese Integration beim Installieren optionaler Funktionen auf Application ManagerSeite. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Erstellen von CrowdStrikeIntegrationsprofil in Core-UIIst inaktiv.

    Hinweis:
    Beim Upgrade auf YokohamaPatch 1 mit Software Asset ManagementSaaS-Lizenzmanagement(sn_sam_saas_int) 15.0.8 und Software Asset Management(sn_itam_samp) 2.1.0 Store-Anwendungen installiert. Sie müssen die Berechtigungen für die vorhandenen löschen CrowdStrikeIntegrationsprofile. Erstellen Sie dann neue Berechtigungen für verschiedene CrowdStrikeProdukte wie Falcon Endpunktschutz und Falcon Discover basierend auf ihren Lizenzmetriken. Diese Metriken umfassen reservierten stündlichen Durchschnittssensor und Sensorabonnement, die unter gefunden werden CrowdStrikeLizenzmetrikgruppe.
    • Falls vorhanden CrowdStrikeProfile befinden sich in Entwurf geben sie an, erstellen Sie neue Integrationsprofile, und löschen Sie die vorhandenen.
    • Falls vorhanden CrowdStrikeProfile befinden sich in Veröffentlicht status: Ihr Status ändert sich in „Entwurf“.

    Wenn Sie eine Version für verwenden YokohamaUnter Patch 1 finden Sie weitere Informationen KB1801232 .

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > Profile für direkte Integrationan.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus CrowdStrike-Integrationsprofil .
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > Direkte Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus CrowdStrike Aus der Dropdown-Liste.
      4. Wählen Sie Fortsetzen.
    2. Füllen Sie im Formular die Felder aus.
      Tabelle : 3. Integrationsprofilformular
      Feld Wert
      Anzeigename Name des Integrationsprofils. Beispiel: CrowdStrikeIntegration.
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf festgelegt  Entwurf .
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf festgelegt  Veröffentlicht .
      Profiltyp Typ des Integrationsprofils. Dieses Feld wird automatisch auf festgelegt CrowdStrikeAbonnement.
    3. Überprüfen Sie die erforderlichen Anwenderrollen oder API-Berechtigungen, die in angegeben sind Lieferantenkonfiguration Feld für den Prozess zum Minimieren von Sicherheitsrisiken und Optimieren SaaSLizenzen.
      Hinweis:
      Die Laden Sie den Verbrauch herunter Das Kontrollkästchen ist standardmäßig aktiviert, und Sie können es nicht deaktivieren.

      Weitere Informationen zu den erforderlichen Rollen und Umfängen finden Sie unter Tabelle mit minimalen Anwenderberechtigungen .

    4. Wählen Sie Speichern.
      Ein Entwurfsintegrationsprofil wird erstellt.

      Die Verbindung Und Anmeldeinformationen Feld wird angezeigt und wird automatisch auf festgelegt sn_Crowdstrk_Spoke.CrowdStrike .

    5. Fahren Sie mit der Arbeitsauslastungsproduktzuordnung fort, indem Sie auswählen Zuordnungen der Arbeitsauslastung des CrowdStrike-Produkts Registerkarte.
      1. Auf CrowdStrikeProduktarbeitsauslastungszuordnungen – Seite auswählen Neu .
        Hinweis:
        Die Softwaremodelle müssen erstellt werden, bevor mit dem nächsten Schritt fortgefahren wird.
      2. Füllen Sie im Formular die Felder aus.
        Tabelle : 4. CrowdStrike Formular für Produktarbeitsauslastungszuordnung
        Feld Beschreibung
        Integrationsprofil Dieses Feld wird automatisch auf das Integrationsprofil festgelegt, für das die Arbeitsauslastungszuordnung erstellt wird.
        Arbeitslast Endpunkte sind physisches oder virtuelles Gerät, z. B. Computer, Server, Laptop, Desktop-Computer, Mobilgeräte, Mobilgerät, Container, Pod oder VM-Image.

        Endpunkte werden manchmal als Arbeitsauslastungen bezeichnet.

        Beispiel:
        • Container
        • public_cloud_with_containers
        • Server_without_Container
        • chrome_os
        Softwaremodell Profil der Software, einschließlich Herausgeber, Version und Discovery-Zuordnung.
        Lizenzmetrik Lizenzmetrik für das ausgewählte Softwaremodell.
        • Reservierter Stündlicher Durchschnittssensor : Diese Metrik zählt die Anzahl der eindeutigen aktiven Endpunkte pro Taktzeit und berechnet sie über einen rollierenden 28-Tage-Zeitraum. Die Anzahl der reservierten stündlichen durchschnittlichen Sensorlizenzen, die zu Beginn jeder Taktzeit zurückgesetzt werden.
        • Sensorabonnement : Diese Metrik berechnet die Lizenznutzung anhand der durchschnittlichen Endpunktzahl in vier aufeinanderfolgenden Wochen. Die wöchentliche Endpunktzahl basiert auf der Gesamtzahl der Endpunkte, die in den letzten sieben Tagen verbraucht wurden.
      3. Wählen Sie Speichern.
    6. Wählen Sie im Formular „Integrationsprofil“ die Option aus Validieren Sie Die Verbindung Dient zum Überprüfen der Verbindungs- und Anmeldeinformationsdetails dieser Integration.
      Sie können Verbindungen auch vor dem Erstellen validieren CrowdStrikeZuordnungen der Produkt-Arbeitsauslastung.
      Wichtig:
      Sie müssen die Produktzuordnung für die Arbeitsauslastung angeben, bevor Sie das Profil veröffentlichen.
    7. Wählen Sie aus, nachdem die Verbindung verifiziert und die Arbeitsauslastungsproduktzuordnung bereitgestellt wurde Veröffentlichen .
    8. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option aus OK .

    Nächste Maßnahme

    Wenn Sie mehrere Integrationsprofile mit eindeutigen Verbindungen einrichten möchten, erstellen Sie untergeordnete Aliasse, um verschiedene Konfigurationen und Einstellungen für jedes Integrationsprofil zu verwalten. Weitere Informationen finden Sie unter Erstellen Sie einen untergeordneten Alias, um mehrere Integrationsprofile einzurichten.

    Erstellen Sie Softwareberechtigungen für CrowdStrikeSoftwaremodelle zum Nachverfolgen von verwendeter Software mit eigener Software.
    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichsergebnisse in anzeigen Lizenz-Workbench ( Software Asset ManagementKlassische Anwendung) oder Lizenznutzungsansicht (Software-Asset-Arbeitsbereich). Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und Nichteinhaltung zu beheben.