• Die Rolle admin installiert die Integration aus ServiceNow Store und weist die Rolle sn_si.admin zu.
• Die Rolle sn_si.admin konfiguriert die Integration, erstellt und aktiviert Profile und weist dann die Rolle sn_si.analyst zu.
• Die Rolle sn_si.analyst reagiert auf Security Incidents, startet Profile manuell und kann Anforderungen für Aktionen wie das Isolieren des Hosts oder das Entfernen der Hostisolierung für eine genehmigte Gruppe übermitteln.

Das Plugin ServiceNow IntegrationHub Enterprise Pack Installer [com.glide.hub.integrations.enterprise] ist erforderlich. Dieses Plugin ermöglicht die Ausführung von IntegrationHub-Aktionen und -Flows:

Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie sie einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation zu gewährleisten:

1. Security Incident Response Abhängigkeit (com.snc.si_dep)
2. Security Integration Framework
3. Security Support Common
4. Security Support Orchestration
5. Threat Intelligence Support Common
6. Trusted Security Circles
7. Security Operations Setup-Assistent
8. Security Incident Response

Eine optionale Genehmigungsfunktion ist verfügbar, um Hostcomputer zu isolieren, sie im Netzwerk wiederherzustellen und Sichtungssuchen zu initiieren.

Zum Aktivieren dieser Option benötigen Sie die vorherige Genehmigung der Rolle „sn_si.admin“, bevor Hostcomputer isoliert und in Ihrem Netzwerk wiederhergestellt werden oder wenn Sichtungssuchen durchgeführt werden. Wenn Sie eine zusätzliche Kontrollebene für diese Aktionen benötigen, aktivieren Sie bei der Konfiguration des Profils die Option Genehmigung erforderlich. Die Genehmigungsberechtigung wird dem Benutzer mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen.

• Zum Anzeigen, Erstellen oder Ändern von API-Clients oder Schlüsseln ist die Rolle „Falcon-Administrator“ erforderlich.
• Zum Erstellen und Ausführen von anwenderdefinierten Skripts ist die Rolle „Real Time Responder – Administrator“ erforderlich.
• Die Rolle „Echtzeit-Responder – Aktiver Responder“ ist zum Erstellen und Ausführen von anwenderdefinierten Skripts erforderlich.

• Vergewissern Sie sich, dass die Rollen „Echtzeit-Responder – Administrator“ und „Echtzeit-Responder – Aktiver Responder“ verfügbar sind.
• Stellen Sie sicher, dass die Richtlinienoption Standard (Windows) unter Konfiguration > Antwortrichtlinien in der CrowdStrike Falcon-UI aktiviert ist.
• Vergewissern Sie sich, dass in der CrowdStrike Falcon-UI unter „Echtzeitfunktionalität“ Echtzeitantwort und anwenderdefinierte Skripts aktiviert sind.