Erste Schritte mit der CrowdStrike Falcon X Sandbox -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Aktivieren Sie CrowdStrike Falcon X Sandbox, und richten Sie es als Schnittstelle mit Ihrer Instanz ServiceNow und Ihrem Produkt Security Incident Response ein.

    Vorbereitungen

    • Bevor Sie CrowdStrike Falcon X Sandbox für die Security Operations-Integration verwenden können, müssen Sie es aus dem ServiceNow Storeherunterladen.
    • Sehen Sie sich die folgende Setup-Prüfliste an, und vergewissern Sie sich, dass Sie alle Aufgaben für eine reibungslose CrowdStrike Falcon X Sandbox -Integration abgeschlossen haben.
    Erforderliche Rolle: admin, sn_si.admin
    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung

    Stellen Sie sicher, dass Sie die erforderlichen Rollen Now Platform und Security Incident Response zugewiesen haben.

    		 Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Der -Administrator (admin) installiert die andbox-Integration saus dem ServiceNow App Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • sn_si.admin erstellt und bearbeitet die Konfiguration und globale Einstellungen. Dann weist die Rolle „Analyst für Sicherheits-Incidents“ (sn_si.analyst) zu.
    • Der Security Incident-Analyst (sn_si.analyst) reagiert auf Security Incidents, , z. B., übermittelt Dateien und URLs an die s-andbox und analysiert die Übermittlungsergebnisse.

    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie diese Integration konfigurieren.

    Diese Integration wird für die Releases Paris und Orlando unterstützt.

    Stellen Sie sicher, dass diese abhängigen Plugins installiert sind. Diese Plugins ermöglichen die Ausführung von IntegrationHub Aktionen und Flows:

    • ServiceNow IntegrationHub-Aktionsschritt – REST (com.glide.hub.action_step.rest)

    • ServiceNow IntegrationHub-Laufzeit (com.glide.hub.integration.runtime)
    Hinweis:
    Wenn Sie't ein Plugin finden können, müssen Sie es möglicherweise von einem Mitarbeiter ServiceNow von anfordern. Um ein Plugin anzufordern, befolgen Sie die in Plugin anfordern erläuterten Schritte.

    Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Falls nicht installiert, installieren und aktivieren Sie jeweils nur eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response Abhängigkeit (com.snc.si_dep)
    2. Security Integration Framework
    3. Security Support Common
    4. Security Support Orchestration
    5. Threat Intelligence Support Common (erforderlich fürse die Sandbox-Integrationsfunktionen)
    6. Trusted Security Circles
    7. Security Operations Setup-Assistent
    8. Security Incident Response

    Weitere Informationen zum Einrichten der Instanz Now Platform für die Integration finden Sie unter Berechtigungen für ein Produkt oder eine Anwendung von Security Operations erwerben und eine Anwendung aus dem ServiceNow Store aktivieren.

    Stellen Sie sicher, dass Sie für den privaten API-Schlüssel von Falcon Sandbox lizenziert sind, und oderbehalten Sie den vollständigen API-Schlüssel CrowdStrike Falcon X Sandbox.
    Diese Integration unterstützt nur die Falcon Sandbox Private Cloud.
    Hinweis:
    Diese Version unterstützt keine Falcon X-Integration.

    CrowdStrike Falcon X Sandbox bietet einen selbstsignierten eingeschränkten API-Schlüssel und einen aktualisierten vollständigen API-Schlüssel. Verwenden Sie den vollständigen API-Schlüssel für diese Integration , da sie uneingeschränkten Zugriff für automatisierte Übermittlungen ermöglicht.

    Weitere Informationen finden Sie in der CrowdStrike Falcon Sandbox-Knowledge Base.

    Prozedur

    1. Laden Sie die Integration mit CrowdStrike Falcon Sandbox für Security Operations aus dem ServiceNow Store herunter.
    2. Navigieren Sie nach Abschluss der Installation zu Security Operations > Integrationen > Integrationskonfigurationen.
    3. Suchen Sie nach der Integrationskachel CrowdStrike Falcon X Sandbox, und klicken Sie auf Konfigurieren.
      Sandbox-Konfigurationskachel.
    4. Geben Sie die folgenden Details ein, um die Konfiguration abzuschließen:
      Feld Beschreibung
      Name Name dieser Integration, z.  B. demo-1. Dies ist zwar ein eindeutiger Name zur Identifizierung der andbox-Konfiguration von s, Sie können jedoch nur eine Integration pro ServiceNow-Instanz konfigurieren.
      CrowdStrike Falcon Sandbox-Basis-URL S-andbox-Basis-URL. Diese URL ist verfügbar , nachdem Sie die andbox skonfiguriert haben.Beispiel: https://servicenow.falcon-sandbox.com ist eine Basis-URL.
      Client-ID ID des OAuth2-API-Clients. Weitere Informationen finden Sie unter API-Clients und -Schlüssel.
      Geheimer Clientschlüssel Geheimer OAuth2-API-Clientschlüssel. Weitere Informationen finden Sie unter API-Clients und -Schlüssel.
    5. Klicken Sie auf Absenden.
      Nachdem die Sandbox erfolgreich validiert und übermittelt wurde, wird sie auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Sie können das Sandbox-Modul jetzt im -Anwendungsnavigator anzeigen.
      Sandbox-Links im -Anwendungsnavigator .

    Nächste Maßnahme

    Nachdem Sie die Integration erfolgreich abgeschlossen haben, besteht der nächste Schritt in der Einrichtung von Sandbox-Übermittlungskonfigurationen.