Mise en route de l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Vous pouvez activer et configurer l’interface avec votre instance et Réponse aux incidents de sécurité votre CrowdStrike Falcon InsightServiceNow AI Platform produit.

    Rôle requis : admin

    Avant de pouvoir l’utiliser CrowdStrike Falcon Insight pour l’intégrationOpérations de sécurité, vous devez la télécharger à partir du .ServiceNow Store

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles et Réponse aux incidents de sécurité requisServiceNow AI Platform. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle admin installe l’intégration à partir de et ServiceNow Store affecte le rôle sn_si.admin.
    • Le rôle sn_si.admin configure l’intégration, crée et active les profils, puis affecte le rôle sn_si.analyst.
    • Le rôle sn_si.analyst répond aux incidents de sécurité, lance manuellement des profils et peut soumettre des demandes pour des actions telles que l’isolement de l’hôte ou la suppression de l’isolement de l’hôte pour un groupe approuvé.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le ServiceNow Centre d'intégration module d’extension Programme d’installation du pack Enterprise [com.glide.hub.integrations.enterprise] est requis. Ce module d’extension permet l’exécution des actions et des flux du Centre d’intégration :

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail d’intégration de sécurité
    3. Prise en charge de la sécurité commune
    4. Orchestration de support de sécurité
    5. Renseignements sur les menaces Prise en charge commune
    6. Cercles de sécurité approuvés
    7. Opérations de sécurité Assistant de configuration
    8. Réponse aux incidents de sécurité
    Configurez un groupe d’approbation.

    Une aptitude d’approbation facultative est disponible pour isoler les machines hôtes, les restaurer sur le réseau et initier des recherches de détections.

    Pour activer cette option, vous devez obtenir l’approbation préalable du rôle sn_si.admin avant que les machines hôtes ne soient isolées et restaurées sur votre réseau, ou lorsque des recherches de perception sont effectuées. Si vous avez besoin d’un niveau de contrôle supplémentaire sur ces actions, activez l’option Exiger l’approbation lors de la configuration du profil. L’autorité d’approbation est affectée à l’utilisateur disposant du rôle sn_si.admin. Vous pouvez également réaffecter cette autorité d’approbation à un groupe d’approbation.
    Affectez et vérifiez les rôles de CrowdStrike Falcon Platform. Les rôles suivants sont requis sur CrowdStrike Falcon Platform pour la configuration de l’intégration :
    • Le rôle d’administrateur Falcon est nécessaire pour afficher, créer ou modifier les clients ou les clés de l’API.
    • Le rôle Real Time Responder (Intervenant en temps réel : administrateur) est requis pour créer et exécuter des scripts personnalisés.
    • Le rôle Répondeur en temps réel : intervenant actif est requis pour créer et exécuter des scripts personnalisés.
    Vérifiez que les scripts, rôles et autorisations personnalisés sont activés dans CrowdStrike Falcon Platform. Cette intégration utilise les scripts personnalisés de CrowdStrike pour certaines des options d’enrichissement.
    • Vérifiez que les rôles Répondeur en temps réel – Administrateur et Répondeur en temps réel – Intervenant actif sont disponibles.
    • Vérifiez que l’option de politique par défaut (Windows) est activée dans Politiques de configuration > de réponse de l’interface utilisateur CrowdStrike Falcon.
    • Vérifiez que la réponse en temps réel et les scripts personnalisés sous la fonctionnalité en temps réel sont activés dans l’interface utilisateur CrowdStrike Falcon.
    Générez des clients et des clés d’API dans CrowdStrike Falcon Platform. Créez les clients ou les clés de l’API CrowdStrike dans CrowdStrike Falcon Platform à utiliser dans la configuration de l’intégration ServiceNow AI Platform .