Erste Schritte mit CrowdStrike Falcon Insight Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Sie können aktivieren und einrichten CrowdStrike Falcon Insight Um eine Schnittstelle mit herzustellen ServiceNow AI Platform Instanz und Security Incident Response Produkt.

    Erforderliche Rolle: Administrator

    Bevor Sie verwenden können CrowdStrike Falcon Insight Für Security Operations Integration müssen Sie sie aus herunterladen ServiceNow Store.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung
    Weisen Sie die erforderlichen zu, und verifizieren Sie sie ServiceNow AI Platform Und Security Incident Response Rollen. Diese Rollen sind für die Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration aus dem ServiceNow Store Und weist die Rolle sn_si.admin zu.
    • Die Rolle „sn_si.admin“ konfiguriert die Integration, erstellt und aktiviert Profile und weist dann die Rolle „sn_si.Analyst“ zu.
    • Die Rolle „sn_si.Analyst“ reagiert auf Security Incidents, startet Profile manuell und kann Anforderungen für Aktionen wie die Isolierung des Hosts und das Entfernen der Host-Isolierung für eine genehmigte Gruppe übermitteln.
    Überprüfen Sie, ob ServiceNow Kernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert, bevor Sie diese Integration konfigurieren.

    Die ServiceNow IntegrationHub Enterprise-Paket-Installationsprogramm [Plugin com.glide.hub.integrations.enterprise] ist erforderlich. Dieses Plugin ermöglicht die Ausführung von IntegrationHub-Aktionen und -Flows:

    Die Security Incident Response Plugin (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident Response Produkt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security Operations Anwendungen, die für die Integration erforderlich sind.

    Überprüfen Sie Folgendes Security Operations Anwendungen werden über installiert und aktiviert ServiceNow Store. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie jede Anwendung einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation sicherzustellen:

    1. Security Incident Response Abhängigkeit (com.snc.si_dep)
    2. Sicherheits-Integrations-Framework
    3. Security Support Common
    4. Orchestration Des Sicherheitssupports
    5. Threat Intelligence Support Allgemein
    6. Trusted Security Circles
    7. Security Operations Setup-Assistent
    8. Security Incident Response
    Richten Sie eine Genehmigungsgruppe ein.

    Eine optionale Genehmigungsfunktion ist verfügbar, um Hostcomputer zu isolieren, im Netzwerk wiederherzustellen und Sichtungssuchen zu initiieren.

    Zum Aktivieren dieser Option benötigen Sie eine vorherige Genehmigung durch die Rolle „sn_si.admin“, bevor Hostcomputer isoliert und in Ihrem Netzwerk wiederhergestellt werden oder wenn Sichtungssuchen durchgeführt werden. Wenn Sie eine zusätzliche Kontrolle über diese Aktionen benötigen, aktivieren Sie Genehmigung erforderlich Option beim Konfigurieren des Profils. Die Genehmigungsbehörde wird dem Anwender mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe zuweisen.
    Weisen Sie die Rollen der CrowdStrike Falcon Platform zu, und überprüfen Sie sie. Die folgenden Rollen sind auf der CrowdStrike Falcon Platform für die Integrationskonfiguration erforderlich:
    • Die Falcon-Administratorrolle ist erforderlich, um API-Clients oder -Schlüssel anzuzeigen, zu erstellen oder zu ändern.
    • Die Rolle „Echtzeit-Responder – Administrator“ ist zum Erstellen und Ausführen anwenderdefinierter Skripts erforderlich.
    • Die Rolle „Echtzeit-Responder – aktiver Responder“ ist zum Erstellen und Ausführen anwenderdefinierter Skripts erforderlich.
    Überprüfen Sie, ob die Rollen und Berechtigungen anwenderdefinierter Skripts in der CrowdStrike Falcon Platform aktiviert sind. Diese Integration verwendet anwenderdefinierte CrowdStrike-Skripts für einige der Ergänzungsfunktionen.
    • Überprüfen Sie, ob die Rollen „Echtzeit-Beantworter – Administrator“ und „Echtzeit-Beantworter – aktiver Beantworter“ verfügbar sind.
    • Überprüfen Sie, ob Standard-Richtlinie (Windows) Die Option ist in Konfiguration > Antwortrichtlinien in der CrowdStrike Falcon-UI aktiviert.
    • Überprüfen Sie, ob Echtzeitantwort Und Anwenderdefinierte Skripts Unter Echtzeitfunktion ist in der CrowdStrike Falcon-UI aktiviert.
    Generieren Sie API-Clients und -Schlüssel in der CrowdStrike Falcon Platform. Erstellen Sie die CrowdStrike-API-Clients oder -Schlüssel in der CrowdStrike Falcon Platform, um sie in zu verwenden ServiceNow AI Platform Integrationskonfiguration.