Erste Schritte mit CrowdStrike Falcon InsightIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Sie können aktivieren und einrichten CrowdStrike Falcon InsightUm eine Schnittstelle mit herzustellen Now PlatformInstanz und Security Incident ResponseProdukt.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Bevor Sie verwenden können CrowdStrike Falcon InsightFür Security OperationsIntegration, Sie müssen sie von herunterladen ServiceNow Store.

    Warum und wann dieser Vorgang ausgeführt wird

    Tabelle : 1. Prüfliste
    Setup-Aufgabe Beschreibung
    Weisen Sie die erforderlichen zu, und verifizieren Sie sie Now PlatformUnd Security Incident ResponseRollen. Diese Rollen sind für die Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration von ServiceNow StoreUnd weist die Rolle „sn_si.admin“ zu.
    • Die Rolle „sn_si.admin“ konfiguriert die Integration, erstellt und aktiviert Profile und weist dann die Rolle „sn_si.Analyst“ zu.
    • Die Rolle „sn_si.Analyst“ reagiert auf Security Incidents, startet Profile manuell und kann Anforderungen für Aktionen wie das Isolieren des Hosts und das Entfernen der Host-Isolierung für eine genehmigte Gruppe übermitteln.
    Überprüfen Sie, ob ServiceNowKernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert, bevor Sie diese Integration konfigurieren.

    Die ServiceNow IntegrationHubInstallationsprogramm für Enterprise-Paket [Plugin com.glide.hub.integrations.enterprise] ist erforderlich. Dieses Plugin ermöglicht die Ausführung von IntegrationHub-Aktionen und -Flows:

    Die Security Incident ResponsePlugin (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen, die für die Integration erforderlich sind.

    Überprüfen Sie Folgendes Security OperationsAnwendungen werden über installiert und aktiviert ServiceNow Store. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie jede Anwendung einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation sicherzustellen:

    1. Security Incident Response Abhängigkeit (com.snc.si_dep)
    2. Sicherheitsintegrations-Framework
    3. Allgemeiner Sicherheitssupport
    4. Orchestration Des Sicherheitssupports
    5. Threat Intelligence Support Allgemein
    6. Vertrauenswürdige Sicherheitskreise
    7. Security Operations Setup-Assistent
    8. Security Incident Response
    Richten Sie eine Genehmigungsgruppe ein.

    Eine optionale Genehmigungsfunktion ist verfügbar, um Hostcomputer zu isolieren, im Netzwerk wiederherzustellen und Sichtungssuchen zu initiieren.

    Zum Aktivieren dieser Option benötigen Sie eine vorherige Genehmigung durch die Rolle „sn_si.admin“, bevor Hostcomputer isoliert und in Ihrem Netzwerk wiederhergestellt werden oder wenn Sichtungssuchen durchgeführt werden. Wenn Sie eine zusätzliche Kontrolle über diese Aktionen benötigen, aktivieren Sie Genehmigung erforderlich Option beim Konfigurieren des Profils. Die Genehmigungsbehörde wird dem Anwender mit der Rolle „sn_si.admin“ zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen.
    Weisen Sie die Rollen der CrowdStrike Falcon Platform zu, und überprüfen Sie sie. Die folgenden Rollen sind auf der CrowdStrike Falcon Platform für die Integrationskonfiguration erforderlich:
    • Die Falcon-Administratorrolle ist erforderlich, um API-Clients oder -Schlüssel anzuzeigen, zu erstellen oder zu ändern.
    • Die Rolle „Echtzeitantworter – Administrator“ ist zum Erstellen und Ausführen anwenderdefinierter Skripts erforderlich.
    • Die Rolle „Echtzeitantworter – aktiver Antworter“ ist zum Erstellen und Ausführen anwenderdefinierter Skripts erforderlich.
    Stellen Sie sicher, dass die anwenderdefinierten Skriptrollen und -Berechtigungen in der CrowdStrike Falcon Platform aktiviert sind. Diese Integration verwendet anwenderdefinierte Skripts von CrowdStrike für einige der Ergänzungsfunktionen.
    • Stellen Sie sicher, dass die Rollen „Echtzeitantworter – Administrator“ und „Echtzeitantworter – aktiver Antworter“ verfügbar sind.
    • Überprüfen Sie, ob Standard-Richtlinie (Windows) Die Option ist in Konfiguration > Antwortrichtlinien in der CrowdStrike Falcon-UI aktiviert.
    • Überprüfen Sie, ob Echtzeitantwort Und Anwenderdefinierte Skripts Unter-Echtzeit-Funktionalität ist in der CrowdStrike-Falcon-UI aktiviert.
    Generieren Sie API-Clients und -Schlüssel in der CrowdStrike Falcon Platform. Erstellen Sie die CrowdStrike-API-Clients oder -Schlüssel in der CrowdStrike-Falcon-Plattform zur Verwendung in Now PlatformIntegrationskonfiguration.