Introdução à integração CrowdStrike Falcon X Sandbox

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Ative e configure o CrowdStrike Falcon X Sandbox para interagir com sua instância [ ServiceNow e produto Security Incident Response.

    Antes de Iniciar

    • Antes de usar o CrowdStrike Falcon X Sandbox para integração do Security Operations, você deve baixá-lo da ServiceNow Store.
    • Revise a check-list de configuração a seguir e verifique se você concluiu todas as tarefas para uma integração sem problemas CrowdStrike Falcon X Sandbox.
    Função necessária: admin, sn_si.admin
    Tabela 1. Check-list
    Configuração de tarefa Descrição

    Verifique se você atribuiu as funções Now Platform e Security Incident Response.

    		 As funções a seguir são necessárias para configuração e verificação dos resultados esperados:
    • O administrador (admin) instala a integração sandbox da loja de aplicativos da ServiceNow e atribui a função de administrador de incidentes de segurança (sn_si.admin).
    • O sn_si.admin cria e edita a configuração e configurações globais e , então atribui a função de analista de incidente de segurança (sn_si.analyst).
    • O analista de incidentes de segurança (sn_si.analyst) responde a incidentes de segurança, como enviar arquivos e URLs para a sandbox e analisar os resultados do envio.

    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de configurar esta integração.

    Esta integração é compatível com as versões Paris e Orlando.

    Certifique-se de que esses plug-ins dependentes estejam instalados. Esses plug-ins permitem a execução de IntegrationHub ações e fluxos:

    • ServiceNow Etapa de ação do IntegrationHub - REST (com.glide.hub.action_step.rest)

    • ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    Nota:
    Se vocênão encontrar um plug-in, talvez seja necessário solicitá-lo ao ServiceNow pessoal. Para solicitar um plug-in, siga as etapas em Solicitar um plug-in.

    O plug-in Security Incident Response (com.snc.security_incident) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar os outros Security Operations aplicativos que são necessários para a integração.

    Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

    1. Security Incident Response Dependência (com.snc.si_dep)
    2. Security Integration Framework
    3. Security Support Common
    4. Orquestração de suporte de segurança
    5. Inteligência contra ameaças Suporte comum (necessário para usarse as capacidades de integração da área restrita)
    6. Trusted Security Circles
    7. Security Operations Assistente de configuração
    8. Security Incident Response

    Para obter mais informações sobre como configurar sua instância Now Platform para a integração, consulte Obter direito de um produto ou aplicação do Security Operations e Ativar uma aplicação da ServiceNow Store.

    Verifique se você está licenciado para a chave de API privada do Falcon Sandbox e ouobtenha a CrowdStrike Falcon X Sandbox chave de API completa.
    Esta integração é compatível somente com o Falcon Sandbox Private Cloud.
    Nota:
    Esta versão não é compatível com a integração do Falcon X.

    CrowdStrike Falcon X Sandbox O oferece uma chave de API restrita autoassinada e uma chave de API completa atualizada. Use a chave de API completa para esta integração porque ela permite acesso irrestrito para envios automatizados.

    Para obter mais informações, consulte Base de conhecimento do CrowdStrike Falcon Sandbox.

    Procedimento

    1. Baixe a integração do CrowdStrike Falcon Sandbox for Security Operations na ServiceNow Store.
    2. Quando a instalação estiver concluída, navegue até Security Operations > Integrações > Configurações de integração.
    3. Pesquise o bloco de integração CrowdStrike Falcon X Sandbox e clique em Configurar.
      Bloco de configuração da área restrita.
    4. Insira os seguintes detalhes para concluir a configuração:
      Campo Descrição
      Nome Nome desta integração, por exemplo, demo-1. Embora este seja um nome exclusivo para identificar a configuração do sandbox, você só pode configurar uma integração por instância da ServiceNow.
      URL base do CrowdStrike Falcon Sandbox SURL base do andbox. Este URL está disponível depois de configurar a secaixa.Por exemplo, https://servicenow.falcon-sandbox.com é um URL base.
      ID de cliente ID do cliente da API do OAuth2. Para obter mais informações, consulte Clientes e chaves de API.
      Segredo do Cliente Chave secreta do cliente da API do OAuth2. Para obter mais informações, consulte Clientes e chaves de API.
    5. Clique em Enviar.
      Depois que a área restrita for validada e enviada com sucesso, ele será salvo na página Integrações de segurança como um bloco. Agora você pode exibir o módulo Sandbox no navegador da aplicação .
      Links da área restrita no navegador da aplicação .

    O que Fazer Depois

    Depois de concluir com sucesso a integração, a próxima etapa é definir as configurações de envio da Sandbox.