완화 통제 모니터링을 위한 통합 설치 및 구성 CrowdStrike

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 서비스 그래프 커넥터 및 API 통합에는 CrowdStrike 별도의 구성 단계가 필요합니다. 자산 상세 정보를 임포트하도록 서비스 그래프 커넥터를 구성합니다 CrowdStrike . 에서 CrowdStrike모니터링하는 자산에 대한 완화 데이터를 수집하도록 API 통합을 구성합니다CrowdStrike.

    시작하기 전에

    • 인스턴스에 보안 태세 통제 및 완화 통제 모니터링 애플리케이션을 설치하고 활성화했는지 확인합니다. 이러한 애플리케이션은 ServiceNow 스토어에서 찾을 수 있습니다.
    • CrowdStrike API 통합을 구성 CrowdStrike 하기 전에 서비스 그래프 커넥터를 설치하고 구성해야 합니다.

    필요한 역할: 플러그인 설치를 위한 관리자, 작업 공간의 통합 구성을 위한 SPC 관리자 그룹 및 SPC 분석가 그룹.

    프로시저

    1. 서비스 그래프 커넥터 통합을 설치하고 구성하려면 CrowdStrike 다음 단계를 따르십시오.
      주:
      CrowdStrike서비스 그래프 커넥터를 설치한 경우 API 통합을 구성하는 CrowdStrike 방법에 대한 2단계로 진행합니다.
      1. 다음으로 이동 커넥터 및 사용 케이스 설정 > 서비스 그래프 커넥터 탭.
      2. Endpoint Protection 서비스 그래프 커넥터를 찾습니다 CrowdStrike .
      3. 에서 ServiceNow® Store서비스 그래프 커넥터에 CrowdStrike 대한 앱 목록으로 연결되는 링크를 선택합니다.
      4. 프롬프트에 따라 애플리케이션을 설치합니다.
      5. 구성 및 활성화에 도움이 되도록 종료하기 전에 앱 목록의 지원 링크 및 문서 섹션에서 설치 가이드를 다운로드하십시오.
      6. 다음으로 이동 CrowdStrike > 설정 인스턴스에 있습니다.
      7. 안내 설정의 프롬프트에 따라 설명서를 참조하여 SGC를 구성하고 활성화합니다.
    2. 다음으로 이동 커넥터 및 사용 케이스 설정 > SPC API 통합.

      이 탭에는 완화 통제 소스(CrowdStrike, F5 Big IP 및 SCCM)가 나열되며, 완화 통제 모니터링 애플리케이션을 설치한 경우에만 작업 공간에 탭이 표시됩니다.

      소스 카드에서 완화 소스의 상태(활성 또는 비활성)와 (6)으로 모니터링 CrowdStrike 되는 완화 통제 및 관련 정책을 볼 수 있습니다. 번호를 선택하면 목록을 볼 수 있습니다.

      Sources(소스)의 Active(활성) 열에 Active(활성)가 표시됩니다. 이는 소스(CrowdStrike SGC)가 활성 상태임을 나타내지만 완화 제어를 모니터링하려면 먼저 API 통합을 구성해야 CrowdStrike 합니다.

    3. 다음을 선택합니다.
    4. 이름 열에서 선택합니다 CrowdStrike .
    5. 편집을 선택하고 필드를 입력합니다.
      주:
      서비스 그래프 커넥터에 대해 CrowdStrike 제공한 API 통합에 대해 동일한 CrowdStrike 계정 정보 및 서버 상세 정보를 입력합니다. 이 정보를 통해 서비스 그래프 커넥터로 임포트한 자산 데이터와 일치하는 완화 데이터를 임포트할 수 있습니다.
      필드 설명
      이름 인스턴스 이름입니다. 이 이름을 변경하면 자격 증명을 테스트하지 않고 저장할 수 있습니다. 이름 필드에서 필드를 변경하는 경우 저장하고 종료하기 전에 연결을 테스트해야 합니다.
      자산 크기 제한 모니터링되는 자산 수입니다.
      클라이언트 ID CrowdStrike ID
      클라이언트 비밀 CrowdStrike 비밀
      API URL API URL(예: https://api.crowdstrike.com
    6. 준비가 되면 연결 테스트를 선택합니다.
      연결에 성공하면 메시지가 표시됩니다.
    7. 저장하고 종료를 선택합니다.
    8. SPC API 통합 탭에서 카드의 세부 정보CrowdStrike 보기를 선택하고 소스와 API가 활성화되고 구성 진행률 표시줄이 완성되는지 확인합니다.
    9. 옵션: 자격 증명 테스트에 실패하면 이전 자격 증명으로 되돌리 기를 선택하여 이전에 확인한 자격 증명을 삽입할 수 있습니다.
    10. 다음 단계에 따라 CrowdStrike 통합을 실행합니다.
      1. 다음으로 이동 CrowdStrike 완화 통제 > 통합.
        세 가지 통합이 있습니다.
        • CrowdStrike 예방 정책 통합
        • CrowdStrike 장치 제어 정책 통합
        • CrowdStrike 자산 인사이트 통합

        통합은 체인으로 연결되고 특정 순서로 실행됩니다. 한 통합이 성공적으로 완료되면 다음 통합이 시작됩니다.

      2. CrowdStrike 통합 실행을 시작하려면 이름 열에서 예방 정책 통합을 선택합니다.
      3. 기록에서 활성 확인란을 선택하고 지금 실행을 선택합니다.

        통합 기록의 통합 실행 탭에서 통합 실행 상태를 볼 수 있습니다.

        통합은 기본적으로 매일 실행되도록 예약되어 있습니다.

        자산 인사이트 통합은 CrowdStrike 마지막 통합 실행 이후 변경된 자산에 대한 정보만 임포트합니다. 장치 제어 정책 통합 및 예방 정책 통합은 CrowdStrikeCrowdStrike 각 실행에 대한 모든 데이터를 임포트합니다.