Thema
NinjaOne lässt sich mit CrowdStrike Falcon (FalconInsight XDR und Falcon Prevent) integrieren, einer integrierten Cloud-basierten Lösung für Endpoint Detection and Response (EDR) und Endpoint Protection Platform (EPP).
Umgebung
NinjaOne-Integrationen: CrowdStrike
Beschreibung
Haftungsausschluss: CrowdStrike wurde als vollständiger Ersatz für Antivirenprogramme entwickelt. NinjaOne bietet nicht die Verwendung mit anderen Anbietern von Endpoint Detection und Response. NinjaOne deinstalliert das Antivirusprogramm nicht von den Geräten, wenn Sie CrowdStrike in NinjaOne deaktivieren. NinjaOne verwendet die allgemein verfügbare Version des CrowdStrike Falcon Sensor Cached Installer, da diese bekanntermaßen mit den Geräten kompatibel ist. Die NinjaOne CrowdStrike-Integration folgt den CrowdStrikeFalcon-Sensor-Richtlinien, so dass der Falcon-Sensor nach der Installation je nach Ihren CrowdStrike-Einstellungen auf- oder heruntergestuft wird. |
Die CrowdStrike-Integration erfolgt richtliniengesteuert aus NinjaOne heraus, wenn sie aktiviert ist. NinjaOne ordnet Organisationen automatisch CrowdStrike Dynamic Host Groups (Gruppen von Standardgeräten) zu, basierend auf Falcon Grouping Tags.
Die Richtlinie veranlasst den NinjaOne RMM-Agenten (Remote Monitoring Management), die vorhandene Installation des CrowdStrike-Sensors auf dem Endpunkt zu erkennen und die Installation automatisch durchzuführen, wenn der Sensor nicht vorhanden ist. Wenn auf einem Gerät bereits CrowdStrike installiert ist, bevor Sie die Integration aktivieren, kann der NinjaOne-Agent die vorhandene Agent-ID lesen.
Wählen Sie eine Kategorie, um mehr zu erfahren:
- Unterstützung
- Voraussetzungen
- Hauptmerkmale
- Aktivieren Sie die CrowdStrike-Integration
- Zuordnung von NinjaOne-Organisationen zu CrowdStrike-Host-Gruppen
- Konfigurieren von API-Bereichen für Mandantenfähigkeit
- Zusätzliche Ressourcen:
Support
Falcon Sensor 7.19.18910 auf Microsoft Windows und Apple macOS.
Voraussetzungen
Beachten Sie die folgenden Hinweise, bevor Sie die Integration aktivieren:
- Die Integration mit NinjaOne erfordert eine bestehende CrowdStrike Falcon-Lizenz.
- Möglichkeit, API-Tokens (Application Programming Interface) in der CrowdStrike Falcon-Konsole zu erzeugen.
- Zugang zu CrowdStrike-Anwendungen: Falcon Prevent und Falcon Insight XDR (erweiterte Erkennung und Reaktion).
- CrowdStrike übergeordnetes Konto (NinjaOne überwacht derzeit keine vererbten Konten in CrowdStrike Flight Control für Organisationen).
- Wenn Ihre CrowdStrike-Instanz das Zulassen von IP-Adressen (Internet Protocol) erfordert, lesen Sie bitte NinjaOne Global Allowlist (Whitelist) Information.
Hauptmerkmale
Die Integration von CrowdStrike in NinjaOne bietet die folgenden Vorteile.
- Die Aktivitätsprotokolle des CrowdStrike-Sensors werden auf den Dashboards für Organisationen und Geräte angezeigt. Wenn der Bereich des API-Clients nicht vorhanden ist, wird ein Ereignisprotokoll unter Aktivitäten auf dem Dashboard angezeigt.
Verwalten Sie die CrowdStrike-Multi-Tenant-Client-Authentifizierung oder Host-Gruppen.
- Überprüfen Sie die Gerätedetails und den Abschnitt zum Gesundheitszustand auf Bedrohungen, Viren und Installationsprobleme. Wenn CrowdStrike eine Gerätebedrohung feststellt, zeigt NinjaOne sofort eine Warnung an. Wenn der Techniker in NinjaOne auf den Alarm klickt, kann er in der CrowdStrike-Konsole zu diesem Gerät navigieren, um es zu untersuchen und zu beheben.
Aktivieren Sie die CrowdStrike-Integration
Um die CrowdStrike-Integration in der NinjaOne-Konsole zu aktivieren, führen Sie die folgenden Schritte aus:
- Navigieren Sie zu Verwaltung → Apps und klicken Sie auf Apps hinzufügen. Wählen Sie CrowdStrike aus der Liste der verfügbaren Drittanbieteranwendungen aus.
1. Screenshot: Hinzufügen von Anwendungen Dritter in NinjaOne
Die Seite mit den Anwendungseinstellungen wird angezeigt.
- Klicken Sie auf Aktivieren.
Das Modal für die Anwendungseinrichtung wird angezeigt. - Lesen Sie die Bedingungen für den Migrationsprozess im CrowdStrike-Einrichtungsmenü gründlich durch und aktivieren Sie dann das Kontrollkästchen unten auf der Seite, um die Schaltfläche Akzeptieren zu aktivieren.
- Navigieren Sie zu https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys (die Basis-URL unterscheidet sich je nach Standort oder Cloud-Lizenz) und wählen Sie einen API-Client aus oder erstellen Sie einen neuen. Sie können Ihr Kundengeheimnis auf dieser Seite zurücksetzen, wenn Sie es vergessen haben. Geben Sie die erforderlichen Details ein, um Ihren API-Client zu bestätigen, und stellen Sie dann Ihre API-Bereiche bereit:
- Jedem API-Client werden ein oder mehrere API-Bereiche zugewiesen. Scopes sind Berechtigungen, die die Endpunkte und Methoden angeben, auf die ein API-Client zugreifen kann. Beim Erstellen eines API-Clients können Sie zwischen Lese- und Schreibaktionen wählen, die Sie auf verschiedenen Gruppen von API-Endpunkten ausführen können. Die von Ihnen festgelegten Bereiche werden auf die von den API-Client-Anmeldeinformationen generierten Zugriffstoken angewandt, und der Zugriff wird nur für die Endpunkte gewährt, die für die Verwendung autorisiert sind.
API-Clients haben einen oder mehrere API-Bereiche. Scopes ermöglichen den Zugriff auf bestimmte CrowdStrike-APIs und beschreiben die Aktionen, die ein API-Client durchführen kann. Verwenden Sie Bereiche zur Feinabstimmung der Berechtigungen Ihrer API-Clients. OAuth 2.0-Zugriffstoken gelten für die im API-Client konfigurierten Ressourcen.
Wenn ein API-Client nicht über die Mindestberechtigungen verfügt, ist die Integration möglicherweise nicht funktionsfähig. Stellen Sie mindestens sicher, dass Sie dem API-Client die folgenden Bereiche zur Verfügung stellen. Diese Berechtigungen sind notwendig, damit die Integration erfolgreich ist.
Erforderliche Bereiche in Version 7.0:
| Scope | Anforderung |
|---|---|
| Warnungen | Lesen Sie |
| Hosts | Lesen/Schreiben |
| Gastgeber-Gruppen | Lesen/Schreiben |
| Sensor Download | Lesen Sie |
- Klicken Sie auf Aktivieren.
Ihr CrowdStrike-Status sollte nun als aktiviert und verbunden angezeigt werden, und Sie können überprüfen, ob die verwendeten Authentifizierungsdaten gültig sind, indem Sie auf die Schaltfläche " Bearbeiten " im Widget " Einstellungen" klicken.
2. Screenshot: Status der CrowdStrike-Integration in NinjaOne
Zuordnung von NinjaOne-Organisationen zu CrowdStrike-Host-Gruppen
Der "Mapping"-Prozess verknüpft NinjaOne-Organisationen mit CrowdStrike Host Management Groups und stellt sicher, dass die richtige Gerätegruppe oder Richtlinien in NinjaOne eingestellt und gemeldet werden. Dieser Prozess ist automatisiert und wird ohne Interaktion des Benutzers oder Administrators durchgeführt.
Wenn Sie die CrowdStrike-Integration in NinjaOne aktivieren, werden in CrowdStrike automatisch Host Management Groups für jede bestehende NinjaOne-Organisation erstellt, sobald Sie die CrowdStrike-Integration aktivieren. Für die Erstellung einer Host-Gruppe in CrowdStrike ist es nicht erforderlich, sie in der Richtlinie zu aktivieren oder das CrowdStrike-Virenschutzprogramm zu installieren. Diese neuen dynamischen Gruppenhosts spiegeln den in NinjaOne verwendeten Organisationsnamen wider und werden nahtlos aktualisiert, wenn NinjaOne Organisationen erstellt oder gelöscht werden.
NinjaOne kennzeichnet jedes Gerät, auf dem der NinjaOne-Agent und ein CrowdStrike-Sensor installiert sind, mit einem Falcon Grouping Tag (eindeutige Kennung) in der NinjaOne-Organisation. Durch die Kennzeichnung können Aktivitäten und Bedrohungen ordnungsgemäß mit der entsprechenden CrowdStrike-Host-Gruppe verknüpft werden.
Konfigurieren von API-Bereichen für Mandantenfähigkeit
Wenn Sie in NinjaOne die Mandantenfähigkeit nutzen, müssen Sie neue Bereiche für den API-Client einrichten. Weitere Informationen finden Sie unter NinjaOne und CrowdStrike: Integration mehrerer Mandanten.
Zusätzliche Ressourcen:
In den folgenden Ressourcen erfahren Sie mehr über die Integration von NinjaOne und CrowdStrike: