Installieren und konfigurieren Sie die CrowdStrike -Integrationen für die Überwachung der Verringerungssteuerung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • CrowdStrike Service Graph Connector und API-Integrationen erfordern separate Konfigurationsschritte. Sie konfigurieren den CrowdStrike Service Graph Connector für den Import von Asset-Details. Konfigurieren Sie die CrowdStrike API-Integration für das Sammeln von Risikominderungsdaten zu den Assets, die von CrowdStrikeüberwacht werden.

    Vorbereitungen

    • Vergewissern Sie sich, dass Sie die Anwendungen zur Überwachung des Sicherheitsstatus und zur Überwachung der Verringerungssteuerungen in Ihrer Instanz installiert und aktiviert haben. Diese Anwendungen sind im ServiceNow Store verfügbar.
    • Der CrowdStrike Service Graph Connector muss installiert und konfiguriert werden, bevor Sie die CrowdStrike API-Integration konfigurieren.

    Erforderliche Rolle: „admin“ für die Installation von Plugins sowie „SPC-Administratorgruppe“ und „SPC-Analystengruppe“ für die Konfiguration von Integrationen im -Arbeitsbereich.

    Prozedur

    1. Gehen Sie folgendermaßen vor, um die CrowdStrike Service Graph Connector-Integration zu installieren und zu konfigurieren:
      Hinweis:
      Wenn Sie Service Graph Connector für CrowdStrikeinstalliert haben, fahren Sie mit Schritt 2 fort, um die CrowdStrike API-Integration zu konfigurieren.
      1. Navigieren zu Setup von Connectors und Anwendungsfällen > Registerkarte „Service Graph Connectors“..
      2. Suchen Sie den Service Graph Connector für Endpunktschutz CrowdStrike.
      3. Wählen Sie den Link aus, der Sie zur App-Liste für den Service Graph Connector für CrowdStrike in ServiceNow® Storeführt.
      4. Befolgen Sie die Eingabeaufforderungen, um die Anwendung zu installieren.
      5. Laden Sie den Installationsleitfaden aus dem Abschnitt „Links und Dokumente zur Unterstützung“ in der App-Liste herunter, bevor Sie den Vorgang beenden, um bei der Konfiguration und Aktivierung zu helfen.
      6. Navigieren zu CrowdStrike > Setup in Ihrer Instanz.
      7. Befolgen Sie die Eingabeaufforderungen im geführten Setup, und lesen Sie die Dokumentation, um SGC zu konfigurieren und zu aktivieren.
    2. Navigieren zu Setup von Connectors und Anwendungsfällen > SPC-API-Integrationen.

      Auf dieser Registerkarte werden die Quellen für die Verringerungssteuerungen (CrowdStrike, F5 BIG IP und SCCM) aufgelistet. Die Registerkarte wird nur im Arbeitsbereich angezeigt, wenn Sie die Anwendung „Überwachung der Verringerungssteuerungen“ installiert haben.

      Auf den Quellkarten können Sie den Status der Ausgleichsquelle (Aktiv oder Inaktiv) und die Anzahl der Ausgleichssteuerungen und der zugehörigen Richtlinien anzeigen, die von CrowdStrike (6) überwacht werden. Sie können die Nummer auswählen, um die Liste anzuzeigen.

      Beachten Sie die Spalte Aktiv in den Anzeigen Quellen, Aktiv. Dies zeigt an, dass die Quelle (CrowdStrike SGC) aktiv ist, Sie müssen jedoch die API-Integration CrowdStrike konfigurieren, bevor Sie Steuerungen zur Risikominderung überwachen können.

    3. Wählen Sie Weiter.
    4. Wählen Sie CrowdStrike in der Spalte Name aus.
    5. Wählen Sie Bearbeiten aus, und füllen Sie die Felder aus.
      Hinweis:
      Geben Sie die gleichen CrowdStrike -Account-Informationen und Serverdetails für die API-Integration ein, die Sie für den CrowdStrike Service Graph Connector angegeben haben. Diese Informationen stellen sicher, dass Sie Verringerungsdaten importieren, die mit den Asset-Daten übereinstimmen, die Sie mit dem Service Graph Connector importiert haben.
      Feld Beschreibung
      Name Name der Instanz. Sie können diesen Namen ändern, um die Anmeldeinformationen zu speichern, ohne sie zu testen. Wenn Sie Felder unter dem Feld Name ändern, müssen Sie die Verbindung vor dem Speichern und Beenden testen.
      Asset-Größenbeschränkung Anzahl der überwachten Assets.
      Client-ID CrowdStrike – ID
      Geheimer Clientschlüssel CrowdStrike Geheimnis
      API-URL API-URL, z. B. https://api.rowdStrike.com
    6. Wenn Sie bereit sind, wählen Sie Verbindung testenaus.
      Bei erfolgreicher Verbindung wird eine Meldung angezeigt.
    7. Wählen Sie Speichern und beenden.
    8. Wählen Sie auf der Karte CrowdStrike auf der Registerkarte SPC-API-Integrationen die Option Details anzeigen aus. Beachten Sie, dass die Quelle und die API aktiviert sind und der Fortschrittsbalken für die Konfiguration abgeschlossen ist.
    9. Wahlweise: Wenn der Test der Anmeldeinformationen nicht erfolgreich ist, können Sie Zu vorherigen Anmeldeinformationen zurückkehren auswählen, um zuvor validierte Anmeldeinformationen einzufügen.
    10. Befolgen Sie diese Schritte, um die CrowdStrike -Integrationen auszuführen.
      1. Navigieren zu CrowdStrike-Minderungssteuerung > Integrationen.
        Es gibt drei Integrationen:
        • CrowdStrike Integration von Präventionsrichtlinien
        • CrowdStrike Integration von Gerätesteuerungsrichtlinien
        • CrowdStrike Asset Insight-Integration

        Die Integrationen sind verkettet und werden in einer bestimmten Reihenfolge ausgeführt. Der erfolgreiche Abschluss einer Integration initiiert die nächste.

      2. Wählen Sie in der Spalte „Name“ die Option CrowdStrike Integrationsrichtlinie aus, um die Integrationsausführungen zu initiieren.
      3. Aktivieren Sie im Datensatz das Kontrollkästchen Aktiv, und wählen Sie Jetzt ausführenaus.

        Sie können den Status der Integrationsausführung auf der Registerkarte Integrationsausführung in den Integrationsdatensätzen anzeigen.

        Die Integration ist so geplant, dass sie standardmäßig täglich ausgeführt wird.

        Die CrowdStrike Asset Insight Integration importiert nur Informationen zu Assets, die sich seit der letzten Integrationsausführung geändert haben. Die CrowdStrike Device Control Policy Integration und die CrowdStrike Prevention Policy Integration importieren alle Daten für jede Ausführung.