• Le rôle administrateur installe l’intégration à partir de et ServiceNow Store attribue le rôle sn_si.admin.
• Le rôle sn_si.admin configure l’intégration, crée et active les profils, puis affecte le rôle sn_si.analyst.
• Le rôle sn_si.analyst répond aux incidents de sécurité, lance manuellement des profils et peut soumettre des demandes d’actions telles que l’isolement de l’hôte et la suppression de l’isolement de l’hôte pour un groupe approuvé.

Le ServiceNow Hub d'intégration module d’extension Enterprise Pack Installer [com.glide.hub.integrations.enterprise] est requis. Ce module d’extension permet l’exécution des actions et des flux du Centre d’intégration :

Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour assurer une installation fluide :

1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
2. Cadre de travail d’intégration de sécurité
3. Security Support Common
4. Orchestration du support de sécurité
5. Renseignements sur les menaces Prise en charge commune
6. Trusted Security Circles
7. Opérations de sécurité Assistant de configuration
8. Réponse aux incidents de sécurité

Une aptitude d’approbation facultative est disponible pour isoler les machines hôtes, les restaurer dans le réseau et initier des recherches de perceptions.

Pour activer cette option, vous devez obtenir l’approbation préalable du rôle sn_si.admin avant que les ordinateurs hôtes ne soient isolés et restaurés sur votre réseau, ou lorsque des recherches de perceptions sont effectuées. Si vous avez besoin d’un niveau de contrôle supplémentaire sur ces actions, activez l’option Exiger l’approbation lors de la configuration du profil. L’autorisation d’approbation est affectée à l’utilisateur disposant du rôle sn_si.admin. Vous pouvez également réaffecter cette autorisation d’approbation à un groupe d’approbation.

• Le rôle administrateur Falcon est requis pour afficher, créer ou modifier les clients ou les clés de l’API.
• Le rôle Intervenant en temps réel : administrateur est requis pour créer et exécuter des scripts personnalisés.
• Le rôle Répondant en temps réel : intervenant actif est requis pour créer et exécuter des scripts personnalisés.

• Vérifiez que les rôles Intervenant en temps réel – Administrateur et Intervenant en temps réel – Intervenant actif sont disponibles.
• Vérifiez que l’option de politique par défaut (Windows) est activée dans Politiques de configuration > de réponse de l’interface utilisateur CrowdStrike Falcon.
• Vérifiez que les options Réponse en temps réel et Scripts personnalisés sous la fonctionnalité en temps réel sont activées dans l’interface utilisateur CrowdStrike Falcon.