Introdução ao CrowdStrike Falcon Insightintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • Você pode ativar e configurar o. CrowdStrike Falcon Insightpara interagir com o. Now Platforme. Resposta a incidentes de segurançaproduto.

    Antes de Iniciar

    Função necessária: administrador

    Antes de poder usar CrowdStrike Falcon Insightpara Operações de segurançaintegração, você deve baixá-la do ServiceNow Store.

    Por Que e Quando Desempenhar Esta Tarefa

    Tabela 1. Check-list
    Configuração de tarefa Descrição
    Atribua e verifique o necessário Now Platforme. Resposta a incidentes de segurançafunções. Estas funções são necessárias para a configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Storee atribui a função sn_si.admin.
    • A função sn_si.admin configura a integração, cria e ativa perfis e atribui a função sn_si.analista.
    • A função sn_si.analista responde a incidentes de segurança, inicia perfis manualmente e pode enviar solicitações para ações como isolar o host e remover o isolamento de host de um grupo aprovado.
    Verifique se ServiceNowas aplicações principais necessárias para oferecer suporte à integração são instaladas e ativadas antes de você configurar esta integração.

    . ServiceNow Integration HubO instalador do pacote empresarial [com.glide.hub.integrations.enterprise] plug-in é necessário. Este plug-in permite a execução de ações e fluxos do IntegrationHub:

    . Resposta a incidentes de segurançao plug-in (com.snc.security_incident) é obrigatório. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurançaproduto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurançaaplicações exigidas pela integração.

    Verifique se o seguinte Operações de segurançaas aplicações são instaladas e ativadas a partir do ServiceNow Store. Se essas aplicações ainda não estiverem instaladas, você deve instalar e ativar cada aplicação uma de cada vez na seguinte ordem para garantir uma instalação tranquila:

    1. Resposta a incidentes de segurança Dependência (com.snc.si_dep)
    2. Estrutura de integração de segurança
    3. Suporte de segurança comum
    4. Orquestração do suporte de segurança
    5. Inteligência contra ameaças Suporte comum
    6. Círculos de segurança confiável
    7. Operações de segurança Assistente de configuração
    8. Resposta a incidentes de segurança
    Configure um grupo de aprovação.

    Uma capacidade de aprovação opcional está disponível para isolar máquinas host, restaurá-las para a rede e iniciar pesquisas de detecções.

    Para habilitar esta opção, você precisa de aprovação prévia da função sn_si.admin antes que as máquinas host sejam isoladas e restauradas em sua rede ou quando as pesquisas de detecções forem realizadas. Se você precisar de um nível extra de controle sobre essas ações, habilite o. Aprovação necessária ao configurar o perfil. A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação.

    Atribua e verifique as funções da plataforma do CrowdStrike Falcon. As seguintes funções são necessárias na plataforma do CrowdStrike Falcon para a configuração de integração:
    • A função de administrador do Falcon é necessária para exibir, criar ou modificar clientes ou chaves de API.
    • A função Respondente em tempo real – Administrador é necessária para criar e executar scripts personalizados.
    • A função Respondente em tempo real - Respondente ativo é necessária para criar e executar scripts personalizados.
    Verifique se as funções e permissões de scripts personalizados estão habilitadas na Plataforma CrowdStrike Falcon. Esta integração usa os scripts personalizados do CrowdStrike para algumas das capacidades de aprimoramento.
    • Verifique se as funções Respondente em tempo real – Administrador e Respondente em tempo real – Respondente ativo estão disponíveis.
    • Verifique se Política padrão (Windows) A opção está habilitada em Configuração > Políticas de resposta na IU do CrowdStrike Falcon.
    • Verifique se Resposta em tempo real e. Scripts personalizados Em Tempo real, a funcionalidade está habilitada na IU do CrowdStrike Falcon.
    Gere clientes e chaves de API na plataforma do CrowdStrike Falcon. Crie os clientes ou chaves da API do CrowdStrike na plataforma do CrowdStrike Falcon para usar no Now Platformconfiguração de integração.