Mise en route de l’intégration CrowdStrike Falcon X Sandbox

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Activez et configurez l’interface CrowdStrike Falcon X Sandbox de destination avec votre instance et Réponse aux incidents de sécurité votre ServiceNow produit.

    Avant de commencer

    • Avant de pouvoir utiliser l’intégration CrowdStrike Falcon X Sandbox pour Security Operations, vous devez la télécharger à partir du ServiceNow Store.
    • Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez terminé toutes les tâches pour une intégration fluide CrowdStrike Falcon X Sandbox .
    Rôle requis : admin, sn_si.admin
    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles et Réponse aux incidents de sécurité requisNow Platform.

    		 Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • L’administrateur (admin) installe l’intégration Sand Box à partir de l’App Store de ServiceNow et affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Le sn_si.admin crée et modifie la configuration et les paramètres globaux, puis affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    • L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité, par exemple en soumettant des fichiers et des URL à la boîte de réception et en analysant les résultats de la soumission.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Cette intégration est prise en charge le et ParisOrlando les versions.

    Assurez-vous que ces modules d’extension dépendants sont installés. Ces modules d’extension permettent l’exécution d’actions et de Hub d'intégration flux :

    • ServiceNow Étape d’action du Centre d’intégration : REST (com.glide.hub.action_step.rest)

    • ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    Remarque :
    Si vous ne trouvez pas de module d’extension, vous devrez peut-être le demander au ServiceNow personnel. Pour demander un module d'extension, suivez les étapes présentées dans Demander un module d'extension.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications requises par l’intégration.

    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour garantir une installation sans problème.

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail des intégrations de sécurité
    3. Security Support Common
    4. Orchestration du support de sécurité
    5. Renseignements sur les menaces Prise en charge commune (requise pour vouspermettre d’utiliser les fonctionnalités d’intégration Sandbox)
    6. Trusted Security Circles
    7. Security Operations Assistant de configuration
    8. Réponse aux incidents de sécurité

    Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une application Security Operations et Activer une application ServiceNow Store.

    Vérifiez que vous disposez d’une licence pour la clé API privée Falcon Sandbox et obtenezla CrowdStrike Falcon X Sandbox clé API complète.
    Cette intégration prend uniquement en charge le cloud privé Falcon Sandbox.
    Remarque :
    Cette version ne prend pas en charge l’intégration de Falcon X.

    CrowdStrike Falcon X Sandbox offre une clé API restreinte auto-signée et une clé API complète mise à niveau. Utilisez la clé API complète pour cette intégration , car elle permet un accès sans restriction pour les soumissions automatisées.

    Pour plus d’informations, consultez la base de connaissances CrowdStrike Falcon Sandbox.

    Procédure

    1. Téléchargez l’intégration de CrowdStrike Falcon Sandbox for Security Operations à partir du ServiceNow Store.
    2. Lorsque l’installation est terminée, accédez à Security Operations> Intégrations > Configurations des intégrations.
    3. Recherchez la vignette d’intégration CrowdStrike Falcon X Sandbox , puis cliquez sur Configurer.
      Mosaïque de configuration Sandbox (Bac à sable).
    4. Saisissez les détails suivants pour terminer la configuration :
      Champ Description
      Nom Nom de cette intégration, par exemple : demo-1. Bien qu’il s’agisse d’un nom unique pour identifier la configuration S and Box, vous ne pouvez configurer qu’une seule intégration par instance ServiceNow.
      CrowdStrike Falcon Sandbox Base URL Set l’URL de base de la boîte. Cette URL est disponible une fois que vous avez configuré la zone de configuration.Par exemple, https:// servicenow.falcon-sandbox.com est une URL de base.
      ID client ID client de l’API OAuth2. Pour plus d’informations, consultez Clients et clés d’API.
      Secret client Clé secrète du client de l’API OAuth2. Pour plus d’informations, consultez Clients et clés d’API.
    5. Cliquez sur Envoyer.
      Une fois le bac à sable validé et envoyé, il est enregistré sur la page Intégrations de sécurité sous forme de mosaïque. Vous pouvez maintenant afficher le module Bac à sable (sandbox) dans le navigateur d’application.
      Liens de bac à sable (sandbox) dans le navigateur d’application.

    Que faire ensuite

    Une fois l’intégration terminée, l’étape suivante consiste à configurer les configurations de soumission à Sandbox.