Integration mit CrowdStrike

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Durch die Integration Ihrer Anwendung Software Asset Management in CrowdStrike können Sie Informationen zu aktiven Hostsensoren CrowdStrike von anzeigen und die Lizenz-Compliance überprüfen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Benutzerberechtigungen
    Prozess Erforderliche Anwenderrolle in der Anwendung CrowdStrike Authentifizierungsbereiche
    Verbrauch herunterladen Falcon-Administrator Sensornutzungsbereich mit Leseberechtigungen

    Dieser Prozess gilt für Yokohama Patch 1, Software Asset Management  – SaaS-Lizenzmanagement (sn_sam_saas_int) 15.0.8 und Software Asset Management (sn_itam_samp) ab Version 2.1.0. Wenn Sie eine Version für Yokohama vor Patch 1 verwenden, konsultieren Sie KB1801232.

    Registrieren Sie eine CrowdStrike OAuth-Anwendung

    Registrieren Sie die OAuth-Anwendung CrowdStrike, um auf die API CrowdStrike zuzugreifen und eine Client-ID sowie einen geheimen Clientschlüssel zu erhalten.

    Vorbereitungen

    Die CrowdStrike IntegrationHub -Spoke muss aktiv sein. Weitere Informationen finden Sie unter CrowdStrike-Spoke.

    CrowdStrike Erforderliche Rolle: Falcon-Administrator

    Wichtig:
    • Um die APIs für die Sensornutzung zu verwenden, muss Ihrem API-Client der Sensornutzungsbereich mit Leseberechtigungen zugewiesen werden.
    • Wenden Sie sich an Ihr Account-Team, um die folgenden Funktionskennzeichnungen zu aktivieren:
      • Kennzeichnung für Funktion „Stündliche Nutzungsdaten“: Diese Kennzeichnung muss aktiviert sein, damit Ihre Kundenidentifizierung (Customer Identification, CID) stündliche Nutzungsdaten anzeigen kann.
      • Funktionskennzeichnung für aggregierte Nutzungsdaten: Diese Kennzeichnung muss aktiviert sein, um aggregierte Nutzungsdaten in Multi-CID-Accounts (Nicht-Flugsteuerung) abzurufen.

    Prozedur

    1. Melden Sie sich mit Ihren Administratoranmeldeinformationen bei Falcon an.
    2. Navigieren zu Support > API-Clients und -Schlüssel.
    3. Wählen Sie Neuen API-Client hinzufügen aus.
    4. Geben Sie den Clientnamen und die Beschreibung an.
    5. Aktivieren Sie das Kontrollkästchen Lesen für den Anwendungsbereich Sensor.
    6. Wählen Sie HINZUFÜGENaus.
      Der Bildschirm „API-Client erstellt“ wird angezeigt.
    7. Kopieren Sie die Client-ID und den geheimen Clientschlüssel zur späteren Verwendung.

    Erstellen Sie eine CrowdStrike -Verbindung

    Stellen Sie eine Verbindung zwischen Ihren CrowdStrike -Anwendungen und Ihrer -Instanz ServiceNow her, damit Ihre -Instanz Benutzerdaten aus Ihren Anwendungen abrufen kann.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: admin

    Prozedur

    1. Melden Sie sich bei der ServiceNow-Instanz an.
    2. Navigieren zu Verbindung und Anmeldeinformationen > Aliasse für Verbindungen und Anmeldeinformationen.
    3. Suchen Sie Ihre Verbindung CrowdStrike, und wählen Sie Neue Verbindung und Anmeldeinformationen erstellen aus.
    4. Füllen Sie die Felder im Dialogfeld „Verbindungen und Anmeldeinformationen erstellen“ aus.
      Tabelle : 2. Dialogfeld „Verbindungen und Anmeldeinformationen erstellen“.
      Feld Wert
      Verbindungsinformation
      Verbindungsname Name der CrowdStrike -Verbindung. Dieses Feld wird automatisch ausgefüllt.
      Verbindungs-URL URL für die Verbindung. Dieses Feld wird automatisch auf https://api.rowdstrike.comfestgelegt.
      Jede CrowdStrike -Cloud hat eine andere Basis-URL. Verwenden Sie die Basis-URL, die der Cloud entspricht, in der Ihre Integration gehostet wird.
      • US-1: https://api.rowdStrike.com
      • US-2: https://api.us-2.rowdStrike.com
      • EU-1: https://api.eu-1.rowdStrike.com
      • US-GOV-1: https://api.laggar.gcw.rowdstrike.com
      • US-GOV-2: https://api.us-gov-2.rowdstrike.mil
      Anmeldedaten
      OAuth-Client-ID Client-ID, die Sie beim Konfigurieren der CrowdStrike API-Einstellungen generiert haben.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel, den Sie beim Konfigurieren der CrowdStrike API-Einstellungen generiert haben.
      OAuth-Umleitungs-URL https://<instance name> /oauth_redirect.do , wobei der Instanzname der Name Ihrer ServiceNow-Instanz ist.
    5. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Hinweis:
      Informationen zur Rolle, die zum Ausführen dieses Schritts erforderlich ist, finden Sie in der Tabelle der minimalen Anwenderberechtigungen.
      Das OAuth-Token wurde erfolgreich generiert.

    CrowdStrike-Integrationsprofile erstellen

    Erstellen Sie ein CrowdStrike -Integrationsprofil, um -Softwareabonnements nachzuverfolgen und die Lizenzierung für Ihre CrowdStrike -Anwendungen zu optimieren.

    Vorbereitungen

    Das Plugin Software Asset Management - SaaS-Lizenzmanagement (sn_sam_saas_int) muss aus dem ServiceNow Storeinstalliert werden.

    ServiceNow Erforderliche Rolle: admin oder sam_integrator

    Wichtig:
    Sie müssen das Kontrollkästchen CrowdStrike-Spoke für diese Integration aktivieren, während Sie optionale Funktionen auf der Seite Application Manager installieren. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie Software-Asset-Arbeitsbereichverwenden, ist die Option zum Erstellen des Integrationsprofils CrowdStrike in Core-UI inaktiv.

    Hinweis:
    Beim Upgrade auf Yokohama Patch 1 mit installierten Store Apps Software Asset Management - SaaS-Lizenzmanagement (sn_sam_saas_int) 15.0.8 und Software Asset Management (sn_itam_samp) 2.1.0 müssen Sie die Berechtigungen für die vorhandenen Integrationsprofile CrowdStrike löschen. Erstellen Sie dann basierend auf den Lizenzmetriken neue Berechtigungen für verschiedene CrowdStrike -Produkte, z. B. Falcon Endpoint Protection und Falcon Discover. Zu diesen Metriken gehören Reservierter stündlicher durchschnittlicher Sensor und Sensorabonnement, die unter der Lizenzmetrikgruppe CrowdStrike zu finden sind.
    • Wenn sich vorhandene CrowdStrike -Profile im Status Entwurf befinden, erstellen Sie neue Integrationsprofile, und löschen Sie die vorhandenen.
    • Wenn sich vorhandene CrowdStrike -Profile im Status „Veröffentlicht“ befinden, ändert sich ihr Status in „Entwurf“.

    Wenn Sie eine Version für Yokohama vor Patch 1 verwenden, konsultieren Sie KB1801232.

    Prozedur

    1. Navigieren Sie zum -Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > Profile für direkte Integration.
      2. Wählen Sie Neu.
      3. Wählen Sie CrowdStrike-Integrationsprofilaus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > Direkte Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie CrowdStrike in der Dropdown-Liste aus.
      4. Wählen Sie Fortsetzen.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 3. Formular „Integrationsprofil“.
      Feld Wert
      Anzeigename Name des Integrationsprofils. Beispiel: CrowdStrike integration.
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf Entwurffestgelegt.
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf Veröffentlichtgesetzt.
      Profiltyp Integrationsprofiltyp. Dieses Feld wird automatisch auf CrowdStrike Abonnement festgelegt.
    3. Überprüfen Sie die erforderlichen Anwenderrollen oder API-Berechtigungen, die im Feld Lieferantenkonfiguration für den -Prozess angegeben sind, um Sicherheitsrisiken zu minimieren und SaaS -Lizenzen zu optimieren.
      Hinweis:
      Das Kontrollkästchen Verbrauche herunterladen ist standardmäßig aktiviert und kann nicht deaktiviert werden.

      Weitere Informationen zu den erforderlichen Rollen und Bereichen finden Sie unter Tabelle der minimalen Benutzerberechtigungen.

    4. Wählen Sie Speichern.
      Ein Integrationsprofilentwurf wird erstellt.

      Das Feld Verbindung und Anmeldeinformationen wird angezeigt und automatisch auf sn_rowdstrich_spoke.CrowdStrikefestgelegt.

    5. Fahren Sie mit der Zuordnung des Arbeitsauslastungsprodukts fort, indem Sie die Registerkarte CrowdStrike-Produkt-Arbeitsauslastungszuordnungen auswählen.
      1. Wählen Sie auf der Seite CrowdStrike Produkt-Arbeitsauslastungszuordnungen Neuaus.
        Hinweis:
        Die Softwaremodelle müssen erstellt werden, bevor mit dem nächsten Schritt fortgefahren wird.
      2. Füllen Sie die Felder des Formulars aus.
        Tabelle : 4. CrowdStrike Formular „Zuordnung der Produktarbeitsauslastung“.
        Feld Beschreibung
        Integrationsprofil Dieses Feld wird automatisch auf das Integrationsprofil festgelegt, für das die Arbeitsauslastungszuordnung erstellt wird.
        Arbeitslast Endpunkte sind physische oder virtuelle Geräte, z. B. Computer, Server, Laptops, Desktopcomputer, Mobilgeräte, Mobilfunkgeräte, Container, Pods oder das Abbild eines virtuellen Computers.

        Endpunkte werden manchmal als Arbeitsauslastungen bezeichnet.

        Beispiel:
        • Container
        • public_cloud_with_containers
        • server_without_containers
        • chrome_os
        Softwaremodell Profil der Software, einschließlich Herausgeber, Version und Discovery-Zuordnung.
        Lizenzmetrik Lizenzmetrik für das ausgewählte Softwaremodell.
        • Reservierter stündlicher durchschnittlicher Sensor: Diese Metrik zählt die Anzahl der eindeutigen aktiven Endpunkte pro Stunde und Stunde und mittelt sie über einen fortlaufenden Zeitraum von 28 Tagen. Die Anzahl der reservierten stündlichen durchschnittlichen Sensorlizenzen wird zu Beginn jeder vollen Stunde zurückgesetzt.
        • Sensorabonnement: Diese Metrik berechnet die Lizenznutzung durch den Durchschnitt der Endpunktanzahlen über vier aufeinanderfolgende Wochen. Die Anzahl der wöchentlichen Endpunkte basiert auf der Gesamtzahl der in den letzten sieben Tagen verbrauchten Endpunkte.
      3. Wählen Sie Speichern.
    6. Wählen Sie im Formular „Integrationsprofil“ Verbindung validieren aus, um die Verbindungs- und Anmeldeinformationsdetails dieser Integration zu überprüfen.
      Sie können auch Verbindungen validieren, bevor Sie Zuordnungen der Produktarbeitsauslastung für CrowdStrike erstellen.
      Wichtig:
      Sie müssen die Arbeitsauslastungs-Produktzuordnung angeben, bevor Sie das Profil veröffentlichen.
    7. Nachdem die Verbindung verifiziert und die Arbeitsauslastungsproduktzuordnung bereitgestellt wurde, wählen Sie Veröffentlichenaus.
    8. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option OKaus.

    Nächste Maßnahme

    Wenn Sie mehrere Integrationsprofile mit eindeutigen Verbindungen einrichten möchten, erstellen Sie untergeordnete Aliasse, um verschiedene Konfigurationen und Einstellungen für jedes Integrationsprofil zu verwalten. Weitere Informationen finden Sie unter Erstellen Sie einen untergeordneten Alias, um mehrere Integrationsprofile einzurichten.

    Erstellen Sie Softwareberechtigungen für die Softwaremodelle CrowdStrike, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen.
    Der Abgleich wird für Ihre Abonnements auch als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (Software Asset Management klassische Anwendung) oder in der Ansicht Lizenznutzung (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Position bei der Lizenz-Compliance zu bestimmen und etwaige Nichteinhaltungen zu beheben.