Beginnen Sie mit der Integration von CrowdStrike Falcon X Sandbox .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Aktivieren und richten Sie CrowdStrike Falcon X Sandbox als Schnittstelle mit Ihrer Instanz von [ ServiceNow und Ihrem Produkt von Security Incident Response ein.

    Vorbereitungen

    • Bevor Sie CrowdStrike Falcon X Sandbox für die Integration mit Security Operations verwenden können, müssen Sie sie aus dem ServiceNow Store herunterladen.
    • Überprüfen Sie die folgende Setup-Prüfliste, und stellen Sie sicher, dass Sie alle Aufgaben für eine reibungslose CrowdStrike Falcon X Sandbox -Integration abgeschlossen haben.
    Erforderliche Rolle: admin, sn_si.admin
    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung

    Vergewissern Sie sich, dass Sie die erforderlichen Rollen Now Platform und Security Incident Response zugewiesen haben.

    		 Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Der Administrator (admin) installiert die andbox-Integration saus dem ServiceNow-App-Store und weist die Rolle „Security Incident-Administrator“ (sn_si.admin) zu.
    • Der sn_si.admin erstellt und bearbeitet die Konfigurationund die globalen Einstellungen . Anschließend weist die Rolle „Security Incident Analyst“ (sn_si.analyst) zu.
    • Der Security Incident Analyst (sn_si.analyst) reagiert auf Security Incidents, , z. B., übermittelt Dateien und URLs an die sund analysiert die Übermittlungsergebnisse.

    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie diese Integration konfigurieren.

    Diese Integration wird in den Releases Paris und Orlando unterstützt.

    Stellen Sie sicher, dass diese abhängigen Plugins installiert sind. Diese Plugins ermöglichen die Ausführung von IntegrationHub Aktionen und Flows:

    • ServiceNow IntegrationHub-Aktionsschritt – REST (com.glide.hub.action_step.rest)

    • ServiceNow IntegrationHub-Laufzeit (com.glide.hub.integration.runtime)
    Hinweis:
    Wenn Sie ein Plugin nicht finden können, müssen Sie es möglicherweise von einem Mitarbeiter vonanfordern ServiceNow . Um ein Plugin anzufordern, befolgen Sie die in Plugin anfordern erläuterten Schritte.

    Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn nicht installiert ist, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.

    1. Security Incident Response Abhängigkeit (com.snc.si_dep)
    2. Security Integration Framework
    3. Security Support Common
    4. Security Support Orchestration
    5. Threat Intelligence Support Common (erforderlich für die Verwendung der Sandbox-Integrationsfunktionen vonse )
    6. Trusted Security Circles
    7. Security Operations Setup-Assistent
    8. Security Incident Response

    Weitere Informationen zum Einrichten Ihrer Now Platform -Instanz für die Integration finden Sie unter Berechtigungen für ein Security Operations-Produkt oder eine Security Operations-Anwendung erhalten und ServiceNow Store-Anwendungen aktivieren.

    Vergewissern Sie sich, dass Sie für den privaten API-Schlüssel von Falcon Sandbox lizenziert sind und oderden vollständigen API-Schlüssel CrowdStrike Falcon X Sandbox erhalten.
    Diese Integration unterstützt nur die Falcon Sandbox Private Cloud.
    Hinweis:
    Diese Version unterstützt keine Falcon X-Integration.

    CrowdStrike Falcon X Sandbox bietet einen selbstsignierten eingeschränkten API-Schlüssel und einen aktualisierten vollständigen API-Schlüssel. Verwenden Sie den vollständigen API-Schlüssel für diese Integration , da damit uneingeschränkten Zugriff für automatisierte Übermittlungen ermöglicht.

    Weitere Informationen finden Sie in der CrowdStrike Falcon Sandbox-Knowledge Base.

    Prozedur

    1. Laden Sie die CrowdStrike Falcon Sandbox for Security Operations-Integration aus dem ServiceNow Store herunter.
    2. Navigieren Sie nach Abschluss der Installation zu Security Operations > Integrations > Integration Configurations(Sicherheitsvorgänge > Integrationen > Integrationskonfigurationen).
    3. Suchen Sie nach der Integrationskachel CrowdStrike Falcon X Sandbox, und klicken Sie auf Konfigurieren.
      Sandbox-Konfigurationskachel.
    4. Geben Sie die folgenden Details ein, um die Konfiguration abzuschließen:
      Feld Beschreibung
      Name Name dieser Integration, z. B. demo-1. Dies ist zwar ein eindeutiger Name zur Identifizierung der andbox-Konfiguration s, Sie können jedoch nur eine Integration pro ServiceNow-Instanz konfigurieren.
      CrowdStrike Falcon Sandbox-Basis-URL Sandbox-Basis-URL. Diese URL ist verfügbar , nachdem Sie die sandbox konfiguriert haben.Beispiel: https://servicenow.falcon-sandbox.com ist eine Basis-URL.
      Client-ID OAuth2-API-Client-ID Weitere Informationen finden Sie unter API-Clients und -Schlüssel.
      Geheimer Clientschlüssel Geheimer Schlüssel des OAuth2-API-Clients. Weitere Informationen finden Sie unter API-Clients und -Schlüssel.
    5. Klicken Sie auf Absenden.
      Nachdem die Sandbox erfolgreich validiert und übermittelt wurde, wird sie auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Sie können das Sandbox-Modul jetzt im -Anwendungsnavigator anzeigen.
      Sandbox-Links im -Anwendungsnavigator .

    Nächste Maßnahme

    Nachdem Sie die Integration erfolgreich abgeschlossen haben, besteht der nächste Schritt darin, Sandbox-Übermittlungskonfigurationeneinzurichten.