Mise en route de l’intégration CrowdStrike Falcon X Sandbox

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Activez et configurez l’interface avec votre CrowdStrike Falcon X Sandbox instance et Réponse aux incidents de sécurité votre ServiceNow produit.

    Avant de commencer

    • Avant de pouvoir utiliser pour l’intégration CrowdStrike Falcon X Sandbox de Security Operations, vous devez la télécharger à partir du ServiceNow Store.
    • Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez terminé toutes les tâches pour une intégration fluide CrowdStrike Falcon X Sandbox .
    Rôle requis : admin, sn_si.admin
    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles et requis Now PlatformRéponse aux incidents de sécurité .

    		 Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • L’administrateur installe l’intégration sandbox à partir de l’App Store ServiceNow et affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Le sn_si.admin crée et modifie la configuration et les paramètres globaux, puis affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    • L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité, tels que l’envoi de fichiers et d’URL au sandboxet l’analyse des résultats de soumission.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Cette intégration est prise en charge sur Paris et Orlando dans les versions.

    Assurez-vous que ces modules d’extension dépendants sont installés. Ces modules d’extension permettent l’exécution d’actions et de Hub d'intégration flux :

    • ServiceNow Étape d’action du Centre d’intégration : REST (com.glide.hub.action_step.rest)

    • ServiceNow Moteur d’exécution du Centre d’intégration (com.glide.hub.integration.runtime)
    Remarque :
    Si vous ne trouvez pas le module d’extension souhaité, vous devrez peut-être le demander au ServiceNow personnel. Pour demander un module d'extension, suivez les étapes présentées dans Demander un module d'extension.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail d’intégration de sécurité
    3. Security Support Common
    4. Orchestration du support de sécurité
    5. Renseignements sur les menaces Support commun (requis pour vouspermettre d’intégrer le bac à sable)
    6. Trusted Security Circles
    7. Opérations de sécurité Assistant de configuration
    8. Réponse aux incidents de sécurité

    Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une application Security Operations et Activer une application ServiceNow Store.

    Vérifiez que vous disposez de la licence pour la clé API privée Falcon Sandbox et que vous conservez la CrowdStrike Falcon X Sandbox clé API complète.
    Cette intégration prend uniquement en charge le cloud privé Falcon Sandbox.
    Remarque :
    Cette version ne prend pas en charge l’intégration de Falcon X.

    CrowdStrike Falcon X Sandbox offre une clé API restreinte auto-signée et une clé API complète mise à niveau. Utilisez la clé API complète pour cette intégration , car elle permet un accès illimité pour les soumissions automatisées.

    Pour plus d’informations, consultez la base de connaissances CrowdStrike Falcon Sandbox.

    Procédure

    1. Téléchargez l’intégration de CrowdStrike Falcon Sandbox pour Security Operations à partir du ServiceNow Store.
    2. Une fois l’installation terminée, naviguez vers Intégrations > opérations de sécurité > Configurations d’intégration.
    3. Recherchez la vignette d’intégration CrowdStrike Falcon X Sandbox , puis cliquez sur Configurer.
      Vignette de configuration Sandbox.
    4. Entrez les détails suivants pour terminer la configuration :
      Champ Description
      Nom Nom de cette intégration, par exemple demo-1. Bien qu’il s’agisse d’un nom unique pour identifier la configuration sandbox, vous ne pouvez configurer qu’une seule intégration par instance ServiceNow.
      CrowdStrike Falcon Sandbox Base URL URL de base Sandbox. Cette URL est disponible après avoir configuré le sand box.Par exemple, https:// servicenow.falcon-sandbox.com est une URL de base.
      ID client ID client de l’API OAuth2. Pour plus d’informations, consultez Clients et clés API.
      Secret client Clé secrète du client de l’API OAuth2. Pour plus d’informations, consultez Clients et clés API.
    5. Cliquez sur Envoyer.
      Une fois le bac à sable validé et soumis, il est enregistré sur la page Intégrations de sécurité sous forme de tuile. Vous pouvez maintenant afficher le module Sandbox dans le navigateur d’application.
      Liens de bac à sable dans le navigateur d’application.

    Que faire ensuite

    Une fois l’intégration terminée, l’étape suivante consiste à configurer les configurations de soumission du bac à sable.