Introdução à integração CrowdStrike Falcon Insight

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Você pode ativar e configurar o CrowdStrike Falcon Insight para interagir com sua instância Now Platform e o produto Resposta a incidentes de segurança.

    Antes de Iniciar

    Função necessária: administrador

    Antes de poder usar CrowdStrike Falcon Insight para a integração Operações de segurança, você deve baixá-lo do ServiceNow Store.

    Por Que e Quando Desempenhar Esta Tarefa

    Tabela 1. Check-list
    Configuração de tarefa Descrição
    Atribua e verifique as funções Now Platform e Resposta a incidentes de segurança. Essas funções são necessárias para configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Store e atribui a função sn_si.admin.
    • A função sn_si.admin configura a integração, cria e ativa perfis e atribui a função sn_si.analyst.
    • A função sn_si.analyst responde a incidentes de segurança, inicia perfis manualmente e pode enviar solicitações para ações como isolar o host e remover o isolamento do host para um grupo aprovado.
    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de configurar esta integração.

    O plug-in ServiceNow Integration Hub Enterprise Pack Installer [com.glide.hub.integrations.enterprise] é necessário. Este plug-in permite a execução de ações e fluxos do IntegrationHub:

    O plug-in Resposta a incidentes de segurança (com.snc.security_incident) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Resposta a incidentes de segurança. Instale e ative este plug-in antes de instalar e ativar as outras aplicações Operações de segurança que são necessárias para a integração.

    Verifique se as Operações de segurança aplicações a seguir estão instaladas e ativadas a partir do ServiceNow Store. Se essas aplicações ainda não estiverem instaladas, você deverá instalar e ativar cada aplicação, uma de cada vez, na seguinte ordem para garantir uma instalação sem problemas:

    1. Resposta a incidentes de segurança Dependência (com.snc.si_dep)
    2. Estrutura de integração de segurança
    3. Security Support Common
    4. Orquestração de suporte de segurança
    5. Inteligência contra ameaças Suporte comum
    6. Trusted Security Circles
    7. Operações de segurança Assistente de configuração
    8. Resposta a incidentes de segurança
    Configure um grupo de aprovação.

    Uma capacidade de aprovação opcional está disponível para isolar máquinas host, restaurá-las na rede e iniciar pesquisas de detecções.

    Para habilitar esta opção, você precisa de aprovação prévia da função sn_si.admin antes que as máquinas host sejam isoladas e restauradas na rede ou quando as pesquisas de detecções forem realizadas. Se você precisar de um nível extra de controle sobre essas ações, habilite a opção Requer aprovação ao configurar o perfil. A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação.
    Atribua e verifique as funções da plataforma CrowdStrike Falcon. As funções a seguir são necessárias na plataforma CrowdStrike Falcon para a configuração da integração:
    • A função de administrador do Falcon é necessária para exibir, criar ou modificar clientes ou chaves de API.
    • A função de Respondente em tempo real – Administrador é necessária para criar e executar scripts personalizados.
    • A função Respondente em tempo real – Respondente ativo é necessária para criar e executar scripts personalizados.
    Verifique se as funções e permissões de scripts personalizados estão habilitadas na plataforma CrowdStrike Falcon. Esta integração usa scripts personalizados do CrowdStrike para alguns dos recursos de enriquecimento.
    • Verifique se as funções de Respondente em tempo real – Administrador e Respondente em tempo real – Respondente ativo estão disponíveis.
    • Verifique se a opção de política Padrão (Windows) está habilitada em Configuração > Políticas de resposta na IU do CrowdStrike Falcon.
    • Verifique se a resposta em tempo real e os scripts personalizados na funcionalidade em tempo real estão habilitados na IU do CrowdStrike Falcon.
    Gere clientes de API e chaves na plataforma CrowdStrike Falcon. Crie clientes ou chaves de API do CrowdStrike na plataforma CrowdStrike Falcon para usar na configuração de integração Now Platform.