Installer et configurer les intégrations pour la surveillance des contrôles d’atténuation CrowdStrike

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Le CrowdStrike connecteur du graphe de services et les intégrations d’API nécessitent des étapes de configuration distinctes. Vous configurez le connecteur du graphe de services pour importer les détails des CrowdStrike actifs. Vous configurez l’intégration d’API pour collecter des données d’atténuation CrowdStrike sur les actifs surveillés par CrowdStrike.

    Avant de commencer

    • Vérifiez que vous avez installé et activé les applications Contrôle de la posture de sécurité et Surveillance des contrôles d’atténuation dans votre instance. Ces applications sont disponibles dans le ServiceNow Store.
    • Connecteur CrowdStrike du graphe de services doit être installé et configuré avant de configurer l’intégration de l’API CrowdStrike .

    Rôles requis : administrateur pour l’installation des modules d’extension, et Groupe d’administrateurs SPC et Groupe d’analystes SPC pour la configuration des intégrations dans l’espace de travail.

    Procédure

    1. Pour installer et configurer l’intégration de Connecteur du CrowdStrike graphe de services, procédez comme suit :
      Remarque :
      Si vous avez installé Connecteur du graphe de services pour CrowdStrike, passez à l’étape 2 pour savoir comment configurer l’intégration de l’API CrowdStrike .
      1. Accédez à la Configuration des connecteurs et des tickets d'utilisation > Onglet Connecteurs du graphe de services.
      2. Localisez le connecteur du graphe de services Protection du point de CrowdStrike terminaison.
      3. Sélectionnez le lien qui vous redirige vers la liste d’applications pour Connecteur du graphe de services pour CrowdStrike dans le ServiceNow® Store.
      4. Suivez les invites pour installer l’application.
      5. Téléchargez le guide d’installation à partir de la section Liens et documents de support de la liste des applications avant de quitter pour vous aider dans la configuration et l’activation.
      6. Accédez à la CrowdStrike > Configuration dans votre instance.
      7. Suivez les invites de la configuration guidée et reportez-vous à la documentation pour configurer et activer le SGC.
    2. Accédez à la Configuration des connecteurs et des tickets d'utilisation > Intégrations d'API SPC.

      Cet onglet répertorie les sources de contrôles d’atténuation (CrowdStrike, F5 Big IP et SCCM), et l’onglet n’est affiché dans l’espace de travail que si vous avez installé l’application Monitoring des contrôles d’atténuation.

      Sur les cartes sources, vous pouvez afficher l’état de la source d’atténuation (active ou inactive) et le nombre de contrôles d’atténuation et de leurs politiques associées qui sont surveillés par CrowdStrike (6). Vous pouvez sélectionner le nombre pour afficher la liste.

      Notez que la colonne Actif dans Sources affiche Actif. Cela indique que la source (CrowdStrike SGC) est active, mais vous devez configurer l’intégration de l’API avant de pouvoir surveiller les contrôles d’atténuation CrowdStrike .

    3. Sélectionnez Suivant.
    4. Sélectionnez CrowdStrike dans la colonne Nom.
    5. Sélectionnez Modifier et remplissez les champs.
      Remarque :
      Entrez les mêmes informations de compte et de serveur CrowdStrike pour l’intégration d’API que vous avez fournies pour Connecteur du CrowdStrike graphe de services. Ces informations vous assurent d’importer des données d’atténuation qui correspondent aux données d’actif que vous avez importées avec Connecteur du graphe de services.
      Champ Description
      Nom Nom d’instance. Vous pouvez modifier ce nom pour vous aider à enregistrer les informations d’identification sans les tester. Si vous modifiez des champs sous le champ Nom, vous devez tester la connexion avant d’enregistrer et de quitter.
      Limite de taille de l'actif Nombre d’actifs surveillés.
      ID client ID CrowdStrike
      Secret client CrowdStrike Secret
      URL D'API URL d’API, par exemple, https://api.crowdstrike.com
    6. Lorsque vous êtes prêt, sélectionnez Tester la connexion.
      Un message s’affiche si la connexion aboutit.
    7. Sélectionnez Enregistrer et quitter.
    8. Sélectionnez Afficher les détails sur la CrowdStrike carte dans l’onglet Intégrations d’API SPC et notez que la source et l’API sont activées et que la barre de progression de la configuration est terminée.
    9. Facultatif : Si le test des informations d’identification échoue, vous pouvez sélectionner Revenir aux informations d’identification précédentes pour insérer les informations d’identification que vous avez précédemment validées.
    10. Suivez ces étapes pour exécuter les CrowdStrike intégrations.
      1. Accédez à la Contrôle d'atténuation de CrowdStrike > Intégrations.
        Il existe trois intégrations :
        • CrowdStrike Intégration de la politique de prévention
        • CrowdStrike Intégration de la politique de contrôle des appareils
        • CrowdStrike Intégration des aperçus des actifs

        Les intégrations sont enchaînées et s’exécutent dans un ordre spécifique. La réussite d’une intégration initie la suivante.

      2. Sélectionnez l’intégration de la CrowdStrike politique de prévention dans la colonne Nom pour lancer les exécutions d’intégration.
      3. Sur l’enregistrement, cochez la case Actif , puis sélectionnez Exécuter maintenant.

        Vous pouvez afficher l’état de l’exécution de l’intégration dans l’onglet Exécution de l’intégration à partir des enregistrements d’intégration.

        L’intégration est planifiée pour s’exécuter quotidiennement par défaut.

        L’intégration CrowdStrike de l’aperçu des actifs importe uniquement les informations sur les actifs qui ont changé depuis la dernière exécution de l’intégration. L’intégration CrowdStrike de la politique de contrôle des appareils et l’intégration de la CrowdStrike politique de prévention importent toutes les données pour chaque exécution.