Introdução ao CrowdStrike Falcon Insight integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Você pode ativar e configurar o. CrowdStrike Falcon Insight para fazer interface com seu ServiceNow AI Platform instância e. Resposta a incidentes de segurança produto.

    Função necessária: administrador

    Antes de poder usar CrowdStrike Falcon Insight para Operações de segurança, você deve baixá-lo do ServiceNow Store.

    Tabela 1. Check-list
    Configuração de tarefa Descrição
    Atribua e verifique o necessário ServiceNow AI Platform e. Resposta a incidentes de segurança funções. Estas funções são necessárias para configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Store e atribui a função sn_si.admin.
    • A função sn_si.admin configura a integração, cria e ativa perfis e atribui a função sn_si.analyst.
    • A função sn_si.analyst responde a incidentes de segurança, inicia perfis manualmente e pode enviar solicitações para ações como isolar o host e remover o isolamento do host de um grupo aprovado.
    Verifique se o ServiceNow as principais aplicações necessárias para oferecer suporte à integração são instaladas e ativadas antes de você configurar esta integração.

    . ServiceNow IntegrationHub Instalador do Enterprise Pack [o plug-in com.glide.hub.integrations.enterprise] é necessário. Este plug-in permite a execução de ações e fluxos do IntegrationHub:

    . Resposta a incidentes de segurança o plug-in (com.snc.security_incident) é obrigatório. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao Resposta a incidentes de segurança produto. Instale e ative este plug-in antes de instalar e ativar o outro Operações de segurança aplicações exigidas pela integração.

    Verifique o seguinte Operações de segurança as aplicações são instaladas e ativadas a partir do ServiceNow Store. Se essas aplicações ainda não estiverem instaladas, você deverá instalar e ativar cada aplicação uma de cada vez na seguinte ordem para garantir uma instalação tranquila:

    1. Resposta a incidentes de segurança Dependência (com.snc.si_dep)
    2. Framework de integração de segurança
    3. Security Support Common
    4. Orquestração do suporte de segurança
    5. Inteligência contra ameaças Suporte Comum
    6. Trusted Security Circles
    7. Operações de segurança Assistente de configuração
    8. Resposta a incidentes de segurança
    Configure um grupo de aprovação.

    Um recurso de aprovação opcional está disponível para isolar máquinas host, restaurá-las para a rede e iniciar pesquisas de vistas.

    Para habilitar esta opção, você precisa de aprovação prévia da função sn_si.admin antes que as máquinas host sejam isoladas e restauradas em sua rede ou quando as pesquisas de vistas forem realizadas. Se você precisar de um nível extra de controle sobre essas ações, habilite Aprovação necessária opção ao configurar o perfil. A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação.
    Atribua e verifique as funções da plataforma CrowdStrike Falcon. As seguintes funções são necessárias na Plataforma CrowdStrike Falcon para a configuração de integração:
    • A função de administrador do Falcon é necessária para exibir, criar ou modificar clientes ou chaves de API.
    • A função Respondente em tempo real - Administrador é necessária para criar e executar scripts personalizados.
    • A função Respondente em tempo real - Respondente ativo é necessária para criar e executar scripts personalizados.
    Verifique se as funções e permissões de scripts personalizados estão habilitadas na Plataforma CrowdStrike Falcon. Esta integração usa scripts personalizados do CrowdStrike para alguns dos recursos de aprimoramento.
    • Verifique se as funções Respondente em tempo real - Administrador e Respondente em tempo real - Respondente ativo estão disponíveis.
    • Verifique se o Política padrão (Windows) A opção está habilitada em Configuração > Políticas de resposta na IU do CrowdStrike Falcon.
    • Verifique se o Resposta em tempo real e. Scripts personalizados Em Tempo real, a funcionalidade está habilitada na IU do CrowdStrike Falcon.
    Gere clientes e chaves de API na plataforma CrowdStrike Falcon. Crie os clientes ou chaves da API do CrowdStrike na plataforma CrowdStrike Falcon para usar no ServiceNow AI Platform configuração de integração.