Mise en route de l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vous pouvez activer et configurer l’interface CrowdStrike Falcon Insight avec votre instance et Réponse aux incidents de sécurité votre Now Platform produit.

    Avant de commencer

    Rôle requis : admin

    Avant de pouvoir l’utiliser CrowdStrike Falcon Insight pour l’intégration Security Operations , vous devez le télécharger à ServiceNow Storepartir du fichier .

    Pourquoi et quand exécuter cette tâche

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles et Réponse aux incidents de sécurité requis Now Platform ; Ces rôles sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir de et ServiceNow Store affecte le rôle sn_si.admin.
    • Le rôle sn_si.admin configure l’intégration, crée et active les profils, puis affecte le rôle sn_si.analyst.
    • Le rôle sn_si.analyst répond aux incidents de sécurité, lance les profils manuellement et peut soumettre des demandes pour des actions telles que l’isolement de l’hôte et la suppression de l’isolement de l’hôte pour un groupe approuvé.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le module d’extension ServiceNow Hub d'intégration Enterprise Pack Installer [com.glide.hub.integrations.enterprise] est requis. Ce module d’extension permet l’exécution des actions et des flux du Centre d’intégration :

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications requises par l’intégration.

    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez les installer et les activer une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail des intégrations de sécurité
    3. Security Support Common
    4. Orchestration du support de sécurité
    5. Renseignements sur les menaces Prise en charge commune
    6. Trusted Security Circles
    7. Security Operations Assistant de configuration
    8. Réponse aux incidents de sécurité
    Configurez un groupe d’approbation.

    Une option d’approbation facultative est disponible pour isoler les ordinateurs hôtes, les restaurer sur le réseau et lancer des recherches d’observations.

    Pour activer cette option, vous devez obtenir l’approbation préalable du rôle sn_si.admin avant que les ordinateurs hôtes ne soient isolés et restaurés sur votre réseau, ou lorsque des recherches de perceptions sont effectuées. Si vous avez besoin d’un niveau de contrôle supplémentaire sur ces actions, activez l’option Exiger l’approbation lors de la configuration du profil. L’autorité d’approbation est affectée à l’utilisateur ayant le rôle sn_si.admin. Vous pouvez également réaffecter cette autorité d’approbation à un groupe d’approbation.
    Affecter et vérifier les rôles de la plateforme CrowdStrike Falcon. Les rôles suivants sont requis sur la plateforme CrowdStrike Falcon pour la configuration de l’intégration :
    • Le rôle d’administrateur Falcon est requis pour afficher, créer ou modifier des clients ou des clés d’API.
    • Le rôle Répondeur en temps réel – Administrateur est requis pour créer et exécuter des scripts personnalisés.
    • Le rôle Répondeur en temps réel – Répondeur actif est requis pour créer et exécuter des scripts personnalisés.
    Vérifiez que les scripts, rôles et autorisations personnalisés sont activés dans la plateforme CrowdStrike Falcon. Cette intégration utilise les scripts personnalisés de CrowdStrike pour quelques options d’enrichissement.
    • Vérifiez que les rôles Répondeur en temps réel – Administrateur et Répondeur en temps réel – Répondeur actif sont disponibles.
    • Vérifiez que l’option de politique Par défaut (Windows) est activée dans Politiques de configuration > de réponse de l’interface utilisateur de CrowdStrike Falcon.
    • Vérifiez que la réponse en temps réel et les scripts personnalisés sous Fonctionnalité en temps réel sont activés dans l’interface utilisateur de CrowdStrike Falcon.
    Générer des clients d’API et des clés dans la plateforme CrowdStrike Falcon. Créez les clients ou les clés d’API CrowdStrike dans la plateforme CrowdStrike Falcon à utiliser dans la configuration de l’intégration Now Platform .