Démarrer l’intégration CrowdStrike Falcon X Sandbox

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Activez et configurez l’interface CrowdStrike Falcon X Sandbox avec votre instance et Réponse aux incidents de sécurité votre ServiceNow produit.

    Avant de commencer

    • Avant de pouvoir utiliser l’intégration CrowdStrike Falcon X Sandbox pour Security Operations, vous devez la télécharger à partir du ServiceNow Store.
    • Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez effectué toutes les tâches pour une intégration fluide CrowdStrike Falcon X Sandbox .
    Rôle requis : admin, sn_si.admin
    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles requis Now Platform AND Réponse aux incidents de sécurité .

    		 Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • L’administrateur (admin) installe l’intégration sandbox à partir de l’App Store ServiceNow et attribue le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Le sn_si.admin crée et modifie la configuration et les paramètres globaux, puis affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    • L’analyste des incidents de sécurité (sn_si.analyst) répond aux incidents de sécurité, notamment en soumettant des fichiers et des URL à la boîte de dialogue et en analysant les résultats de soumission.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Cette intégration est prise en charge sur Paris et Orlando mises en production.

    Assurez-vous que ces modules d’extension dépendants sont installés. Ces modules d’extension permettent l’exécution d’actions et de Hub d'intégration flux :

    • ServiceNow Étape d’action du Centre d’intégration : REST (com.glide.hub.action_step.rest)

    • ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    Remarque :
    Si vous ne trouvez pas de module d’extension, vous devrez peut-être le demander au ServiceNow personnel. Pour demander un module d'extension, suivez les étapes présentées dans Demander un module d'extension.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

    1. Réponse aux incidents de sécurité Dépendance (com.snc.si_dep)
    2. Cadre de travail de Security Integration
    3. Security Support Common
    4. Orchestration de support de sécurité
    5. Renseignements sur les menaces Support commun (requis pour que vousutilisiez les options d’intégration Sandbox)
    6. Trusted Security Circles
    7. Opérations de sécurité Assistant de configuration
    8. Réponse aux incidents de sécurité

    Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une application Security Operations et Activer une application ServiceNow Store.

    Vérifiez que vous disposez d’une licence pour la clé API privée Falcon Sandbox et obtenez la CrowdStrike Falcon X Sandbox clé API complète.
    Cette intégration prend uniquement en charge le cloud privé Falcon Sandbox.
    Remarque :
    Cette version ne prend pas en charge l’intégration de Falcon X.

    CrowdStrike Falcon X Sandbox offre une clé API restreinte auto-signée et une clé API complète mise à niveau. Utilisez la clé API complète pour cette intégration , car elle permet un accès illimité aux soumissions automatisées.

    Pour plus d’informations, consultez la base de connaissances CrowdStrike Falcon Sandbox.

    Procédure

    1. Téléchargez l’intégration de CrowdStrike Falcon Sandbox for Security Operations à partir du ServiceNow Store.
    2. Une fois l’installation terminée, accédez à Security Operations > Intégrations > Configurations d’intégration.
    3. Recherchez la vignette d’intégration CrowdStrike Falcon X Sandbox , puis cliquez sur Configurer.
      Vignette de configuration du bac à sable.
    4. Entrez les détails suivants pour terminer la configuration :
      Champ Description
      Nom Nom de cette intégration, par exemple : demo-1. Bien qu’il s’agisse d’un nom unique pour identifier la configuration sand box, vous ne pouvez configurer qu’une seule intégration par instance ServiceNow.
      CrowdStrike Falcon Sandbox Base URL S et l’URLde base de la boîte de dialogue Cette URL est disponible une fois que vous avez configuré le sandbox.Par exemple, https:// servicenow.falcon-sandbox.com est une URL de base.
      ID client ID client de l’API OAuth2. Pour plus d’informations, reportez-vous à la section Clients et clés d’API.
      Secret client Clé secrète du client de l’API OAuth2. Pour plus d’informations, reportez-vous à la section Clients et clés d’API.
    5. Cliquez sur Envoyer.
      Une fois le bac à sable validé et soumis, il est enregistré sous forme de vignette sur la page Intégrations de sécurité. Vous pouvez maintenant afficher le module Sandbox dans le navigateur d’application.
      Liens de bac à sable dans le navigateur d’application.

    Que faire ensuite

    Une fois l’intégration terminée, l’étape suivante consiste à configurer les configurations de soumission de Sandbox.