Intégration à CrowdStrike

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 8 minutes de lecture

    • L’intégration de votre Gestion des actifs logiciels application à vous CrowdStrike permet d’afficher CrowdStrike les informations des capteurs hôtes actifs et de vérifier la conformité des licences.

    Important :
    Minimisez les risques de sécurité et protégez les informations en accordant l’accès uniquement aux autorisations nécessaires de l’utilisateur ou de l’API.
    Tableau 1. Autorisations utilisateur minimales
    Processus Rôle d’utilisateur requis dans l’application CrowdStrike Périmètres d’authentification
    Télécharger la consommation Administrateur Falcon Périmètre d’utilisation du capteur avec autorisations de lecture

    Ce processus s’applique aux Yokohama versions Patch 1, Gestion des actifs logiciels ( Gestion des licences SaaS sn_sam_saas_int) 15.0.8 et Gestion des actifs logiciels (sn_itam_samp) 2.1.0. Si vous utilisez une version pour Yokohama le correctif 1 ci-dessous, reportez-vous KB1801232.

    Enregistrer une CrowdStrike application OAuth

    Enregistrez l’application CrowdStrike OAuth pour accéder à l’API CrowdStrike et recevoir un ID client et un secret client.

    Avant de commencer

    Le CrowdStrike Centre d'intégration spoke doit être actif. Pour plus d’informations, consultez Spoke CrowdStrike.

    CrowdStrike Rôle requis : administrateur Falcon

    Important :
    • Pour utiliser les API d’utilisation de capteur, votre client d’API doit se voir affecter le champ d’application d’utilisation du capteur avec des autorisations de lecture.
    • Contactez votre équipe de compte pour activer les marqueurs de fonctionnalité suivants :
      • Marqueur de fonctionnalité des données d’utilisation horaire : ce marqueur doit être activé pour que votre identification client (CID) puisse afficher les données d’utilisation horaire.
      • Marqueur de fonctionnalité de données d’utilisation agrégées : ce marqueur doit être activé pour obtenir des données d’utilisation agrégées dans les comptes multi-CID (non contrôle de vol).

    Procédure

    1. Connectez-vous à Falcon à l’aide de vos informations d’identification d’administrateur.
    2. Accédez à la Prise en charge > Clients et clés API.
    3. Sélectionnez Ajouter un nouveau client d’API.
    4. Fournissez le nom et la description du client.
    5. Cochez la case Lecture pour le périmètre d’utilisation du capteur .
    6. Sélectionnez AJOUTER.
      L’écran créé par le client d’API s’affiche.
    7. Copiez l’ID client et le secret client pour une utilisation ultérieure.

    Créer une connexion CrowdStrike

    Créez une connexion entre vos CrowdStrike applications et votre ServiceNow instance afin que celle-ci puisse récupérer les données utilisateur de vos applications.

    Avant de commencer

    ServiceNow Rôle requis : admin

    Procédure

    1. Connectez-vous à votre instance ServiceNow.
    2. Accédez à la Connexion et informations d'identification > Alias de connexion et d’informations d’identification.
    3. Localisez votre CrowdStrike connexion et sélectionnez Créer une nouvelle connexion et de nouvelles informations d’identification.
    4. Renseignez les champs de la boîte de dialogue Créer une connexion et des informations d’identification.
      Tableau 2. Boîte de dialogue Créer une connexion et des informations d’identification
      Champ Valeur
      Information de connexion
      Nom de la connexion Nom de la CrowdStrike connexion. Ce champ se remplit automatiquement.
      URL de connexion URL de connexion. Ce champ est automatiquement défini sur https://api.crowdstrike.com.
      Chaque CrowdStrike cloud a une URL de base différente. Utilisez l’URL de base qui correspond au cloud dans lequel votre intégration est hébergée.
      • États-Unis-1 : https://api.crowdstrike.com
      • États-Unis-2 : https://api.us-2.crowdstrike.com
      • EU-1 : https://api.eu-1.crowdstrike.com
      • US-GOV-1 : https://api.laggar.gcw.crowdstrike.com
      • US-GOV-2 : https://api.us-gov-2.crowdstrike.mil
      Informations d'identification
      ID client OAuth ID client que vous avez généré lors de la configuration des paramètres de l’API CrowdStrike .
      Secret client OAuth Secret client que vous avez généré lors de la configuration des paramètres de l’API CrowdStrike .
      URL de redirection OAuth https://<nom d’instance>/oauth_redirect.do, où le nom d’instance est le nom de votre instance ServiceNow.
    5. Sélectionnez Créer et obtenir un jeton OAuth.
      Remarque :
      Pour connaître le rôle requis pour effectuer cette étape, consultez la table Autorisations utilisateur minimales .
      Le jeton OAuth est généré avec succès.

    Créer un profil d'intégration CrowdStrike

    Créez un profil d’intégration CrowdStrike pour suivre les abonnements logiciels et optimiser la gestion des licences pour vos CrowdStrike applications.

    Avant de commencer

    Le module d’extension Gestion des actifs logiciels - Gestion des licences SaaS (sn_sam_saas_int) doit être installé à partir de ServiceNow Store.

    ServiceNow Rôle requis : admin ou sam_integrator

    Important :
    Vous devez cocher la case Spoke CrowdStrike pour cette intégration lors de l’installation de fonctionnalités facultatives sur la Application Manager page. Pour plus d’informations sur le choix des applications SaaS requises, reportez-vous à la section Demander le Gestion des licences SaaS.

    Pourquoi et quand exécuter cette tâche

    Si vous utilisez Software Asset Workspace, l’option de création du profil d’intégration CrowdStrike dans Interface utilisateur principale est inactive.

    Remarque :
    Lors de la mise à niveau vers Yokohama le correctif 1 avec Gestion des licences SaaSGestion des actifs logiciels les applications de stockage (sn_sam_saas_int) 15.0.8 et Gestion des actifs logiciels (sn_itam_samp) 2.1.0 installées, vous devez supprimer les autorisations pour les profils d’intégration existantsCrowdStrike. Ensuite, créez de nouvelles autorisations pour divers CrowdStrike produits, tels que Falcon Endpoint Protection et Falcon Discover, en fonction de leurs métriques de licence. Ces mesures comprennent le capteur moyen horaire réservé et l’abonnement au capteur, qui se trouvent dans le groupe de mesures de CrowdStrike licence.
    • Si des profils existants CrowdStrike sont à l’état Brouillon , créez de nouveaux profils d’intégration et supprimez ceux qui existent déjà.
    • Si des profils existants CrowdStrike sont à l’état Publié , leur état passe à Brouillon.

    Si vous utilisez une version pour Yokohama le correctif 1 ci-dessous, reportez-vous KB1801232.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tous > Actifs Logiciels > Licence SaaS > Profils d'intégration directe.
      2. Sélectionnez Nouveau.
      3. Sélectionnez le profil d’intégration CrowdStrike.
      Espace de travail actifs logiciels
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration directe.
      2. Sélectionnez Nouveau.
      3. Sélectionnez CrowdStrike dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Remplissez les champs du formulaire.
      Tableau 3. Formulaire de profil d’intégration
      Champ Valeur
      Nom complet Nom du profil d’intégration. Par exemple, CrowdStrike l’intégration.
      Statut État du profil d'intégration.
      • Si vous n’avez pas publié le profil d’intégration, ce champ est automatiquement défini sur Brouillon.
      • Si vous avez déjà publié le profil d’intégration, ce champ est automatiquement défini sur Publié.
      Type de profil Type de profil d'intégration. Ce champ est automatiquement défini sur CrowdStrike Abonnement.
    3. Examinez les rôles d’utilisateur requis ou les autorisations d’API spécifiés dans le champ de configuration du fournisseur pour le processus afin de minimiser les risques de sécurité et d’optimiser SaaS les licences.
      Remarque :
      La case Télécharger les consommations est cochée par défaut et vous ne pouvez pas la décocher. Vérifiez que le champ Flux secondaire est défini sur Utilisation hebdomadaire et horaire du capteur de téléchargement CrowdStrike.

      Pour plus d’informations sur les rôles et les champs d’application requis, consultez Table des autorisations utilisateur minimales.

    4. Sélectionnez Enregistrer.
      Une ébauche de profil d’intégration est créée.

      Le champ Connexion et informations d’identification s’affiche et est automatiquement défini sur sn_crowdstrk_spoke. CrowdStrike.

    5. Poursuivez avec le mappage de la charge de travail en sélectionnant l’onglet Mappages de la charge de travail du produit CrowdStrike .
      1. Sur la CrowdStrike page Mappages de la charge de travail du produit, sélectionnez Nouveau.
        Remarque :
        Les modèles logiciels doivent être créés avant de passer à l’étape suivante.
      2. Remplissez les champs du formulaire.
        Tableau 4. CrowdStrike Formulaire Mappage de la charge de travail du produit
        Champ Description
        Profil d'intégration Ce champ est automatiquement défini sur le profil d’intégration pour lequel le mappage de la charge de travail est créé.
        Charge de travail Les points de terminaison sont des appareils physiques ou virtuels, tels qu’un ordinateur, un serveur, un ordinateur portable, un ordinateur de bureau, un appareil mobile, un cellulaire, un conteneur, un pod ou une image d’ordinateur virtuel.

        Les points de terminaison sont parfois appelés charges de travail.

        Par exemple :
        • conteneurs
        • public_cloud_with_containers
        • servers_without_containers
        • chrome_os
        Modèle logiciel Profil du logiciel, qui inclut l’éditeur, la version et la carte de détection.
        Métrique de licence Mesure de licence pour le modèle logiciel sélectionné.
        • Capteur de moyenne horaire réservée : cette mesure compte le nombre de points de terminaison actifs uniques par heure d’horloge et en calcule la moyenne sur une période glissante de 28 jours. Le nombre de licences de capteur moyennes horaires réservées est réinitialisé au début de chaque heure d’horloge.
        • Abonnement au capteur : cette mesure calcule l’utilisation de la licence en faisant la moyenne du nombre de points de terminaison sur quatre semaines consécutives. Le nombre hebdomadaire de points de terminaison est basé sur le nombre total de points de terminaison consommés au cours des sept jours précédents.
      3. Sélectionnez Enregistrer.
    6. Sur le formulaire de profil d’intégration, sélectionnez Valider la connexion pour vérifier les détails de connexion et d’informations d’identification de cette intégration.
      Vous pouvez également valider les connexions avant de créer des CrowdStrike mappages de charge de travail de produit.
      Important :
      Vous devez indiquer le mappage de produit de charge de travail avant de publier le profil.
    7. Une fois la connexion vérifiée et le mappage de produit de charge de travail fourni, sélectionnez Publier.
    8. Dans la boîte de dialogue Publier la confirmation, sélectionnez OK.

    Résultats

    Cette intégration extrait ou crée des enregistrements d’utilisation dans la CrowdStrike table Utilisation du produit [samp_crowdstrike_product_usage] et des enregistrements CAL dans la table Accès client [samp_sw_client_access].

    Que faire ensuite

    Si vous souhaitez configurer plusieurs profils d’intégration avec des connexions uniques, créez des alias enfants pour gérer différentes configurations et paramètres pour chaque profil d’intégration. Pour plus d'informations, consultez Créer un alias enfant pour configurer plusieurs profils d’intégration.

    Créez des autorisations logicielles pour les modèles logiciels afin de suivre les CrowdStrike logiciels utilisés par rapport aux logiciels possédés.
    Le rapprochement s’exécute également sur vos abonnements en tant que tâche planifiée ou à la demande. Vous pouvez afficher vos résultats de rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou dans la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position en matière de conformité de licence et corriger toute non-conformité.