Thema
In diesem Artikel wird erläutert, wie Sie CrowdStrike auf Ihren Geräten bereitstellen, nachdem Sie die Integration in NinjaOne aktiviert, Benachrichtigungen für Antivirenaktivitäten aktiviert und Ihren Technikern die Möglichkeit gegeben haben, Maßnahmen gegen entdeckte Bedrohungen zu ergreifen.
Umgebung
- In NinjaOne integrierte Anbieter
- CrowdStrike-Antivirus
Beschreibung
Wenn CrowdStrike in NinjaOne aktiviert ist, erfolgt die Integration richtliniengesteuert aus NinjaOne heraus. Die Richtlinie veranlasst den NinjaOne-Agenten, die vorhandene Installation des CrowdStrike-Sensors auf dem Endpunkt zu erkennen und die Installation automatisch durchzuführen, wenn der Sensor nicht vorhanden ist. Wenn auf einem Gerät bereits vor der NinjaOne-Integration CrowdStrike installiert war, kann der NinjaOne-Agent die vorhandene Agenten-ID lesen.
Bevor Sie CrowdStrike als Antiviren-Tool für Ihre Endgeräte einsetzen können, müssen Sie die Integration in NinjaOne aktivieren. Informationen dazu finden Sie unter CrowdStrike: Integrationshandbuch.
Wählen Sie dann eine Kategorie aus, um mehr zu erfahren:
- CrowdStrike auf Richtlinienebene bereitstellen
- Benachrichtigungen für Aktivitäten aktivieren
- Benutzerberechtigungen für CrowdStrike festlegen
- Anzeigen des CrowdStrike-Zustands und der Aktivitätsprotokolle
CrowdStrike auf Richtlinienebene bereitstellen
Wenn Sie CrowdStrike als Antivirusprogramm für die Richtlinie auswählen, wird der NinjaOne-Agent aufgefordert, den CrowdStrike-Sensor auf den betroffenen Endpunkten zu installieren.
- Gehen Sie zu „Administration“ → „Richtlinien“ und wählen Sie die Richtlinie aus, für die der CrowdStrike-Virenschutz benötigt wird, oder erstellen Sie eine neue.
- Öffnen Sie die Registerkarte „Antivirus“ und wählen Sie CrowdStrike aus der Dropdown-Liste aus. Wenn bereits ein anderes Antivirenprogramm ausgewählt ist, müssen Sie zuerst „Deaktiviert“ auswählen, bevor Sie „CrowdStrike“ auswählen können. Wichtiger Hinweis: Wenn Sie von einem anderen Antivirenprogramm zu CrowdStrike wechseln, wird NinjaOne beim Wechsel des Antivirenprogramms nicht deinstalliert. Sie müssen zum Antivirenportal gehen, um die Deinstallation durchzuführen. Wenn Sie versuchen, CrowdStrike als Ihr Antivirenprogramm zu installieren, und auf den mit dieser Richtlinie verbundenen Geräten bereits ein Antivirenprogramm installiert ist, erhalten Sie eine Aktivität für dieses Gerät, die angibt, dass die Installation von CrowdStrike fehlgeschlagen ist und Sie das andere Antivirenprogramm deinstallieren müssen.
- Wählen Sie aus den Optionen neben „Installation“ die gewünschte Konfiguration aus.
Abbildung 1: Installationsoptionen für das Antivirenprogramm CrowdStrike in NinjaOne
- Wenn eine andere Antivirensoftware installiert ist, benachrichtigen Sie: Wählen Sie aus, ob Sie mit der Installation fortfahren oder keine Maßnahmen ergreifen möchten.
- Wenn die Installation von CrowdStrike fehlschlägt, versuchen Sie es erneut: Sie können diese Option deaktivieren, indem Sie den Schalter umlegen oder den Zeitplan auf täglich (zu einer bestimmten Zeit) oder Intervall (alle [#] Stunden) einstellen.
- Klicken Sie auf „Speichern“.
Wenn Sie das Antivirenprogramm auf Richtlinienebene auf CrowdStrike einstellen, wird die CrowdStrike-Anwendungskarte auf dem Geräte-Dashboard unter „Einstellungen“ angezeigt . Klicken Sie auf den Hyperlink „CrowdStrike-Geräteverknüpfung“, um einen bestimmten Host auszuwählen, der im Seitenbereich der CrowdStrike-Konsole angezeigt werden soll.
Wenn Sie CrowdStrike auf Richtlinienebene deaktivieren oder die Richtlinie des Geräts so ändern, dass CrowdStrike nicht mehr verwendet wird, entfernt NinjaOne alle Bedrohungen aus dem Abschnitt „Zustand“ des Geräts. Der CrowdStrike Falcon Sensor wird jedoch erst dann von diesen Geräten deinstalliert, wenn Sie die Deinstallationsanweisungen der CrowdStrike Falcon-Anbieterkonsole befolgen.
Wenn die Installation fehlschlägt, wird unter der Registerkarte „Übersicht“ im Abschnitt „Zustand“ eine Benachrichtigung angezeigt. Klicken Sie auf den Pfeil, um die Option „Installation wiederholen“ zu verwenden.
Abbildung 2: Wiederholen einer fehlgeschlagenen Installation in NinjaOne
Benachrichtigungen für Aktivitäten aktivieren
- Gehen Sie zur Seite für die Richtlinienkonfiguration.
- Erweitern Sie auf der Registerkarte „Aktivitäten“ der Richtlinie den Abschnitt „CrowdStrike“ und klicken Sie auf eine beliebige Aktivität, für die Sie Benachrichtigungen aktivieren oder Tickets erstellen möchten.
Abbildung 3: Konfigurieren von Benachrichtigungs- und Ticketaktionen für CrowdStrike in NinjaOne
- Anweisungen zum Konfigurieren der Aktivitätsfelder finden Sie unter Aktivitätsfeed.
- Klicken Sie oben rechts auf der Richtlinienseite auf „Speichern“, um die Änderungen zu übernehmen.
Benutzerberechtigungen für CrowdStrike festlegen
NinjaOne gewährt Systemadministratoren automatisch Zugriff auf CrowdStrike. Um andere Techniker und Benutzer zu aktivieren, führen Sie die folgenden Schritte aus. Zusätzliche Ressource: Benutzerberechtigungen: Berechtigungsoptionen.
- Gehen Sie zu „Administration“ → „Konten“ und wählen Sie ein Technikerkonto oder eine Technikerrolle aus.
- Öffnen Sie die Registerkarte „System“ und wählen Sie „Zulässig“ für „CrowdStrike konfigurieren“.
- Klicken Sie auf „Speichern“.
Anzeigen von CrowdStrike-Zustandsstatistiken und Aktivitätsprotokollen
Sobald Sie den CrowdStrike-Sensor installiert haben oder der NinjaOne-Agent einen vorhandenen CrowdStrike-Sensor erkennt, werden die CrowdStrike Falcon-Aktivitäten von der NinjaOne-Organisationsebene bis hinunter zur Geräteebene angezeigt.
Techniker können nur nach CrowdStrike-Ereignissen filtern oder suchen. Zu diesen Ereignissen können Feedback zur Installation/Deinstallation von Agenten, Bedrohungen und andere gehören. NinjaOne überwacht kontinuierlich den CrowdStrike-Sensor jedes Geräts in jeder NinjaOne-Organisation, in der Sie CrowdStrike bereitgestellt haben.
NinjaOne identifiziert potenzielle Bedrohungen und zeigt sie im Abschnitt „Zustand“ des Geräte-Dashboards an. Wenn eine potenzielle Bedrohung erkannt wird, verlinkt NinjaOne zu der Bedrohung in CrowdStrike, sodass NinjaOne-Benutzer schnell zu ihrer CrowdStrike Falcon-Konsole navigieren können, um Nachforschungen anzustellen und die Bedrohung zu beseitigen.
Abbildung 4: Speicherort des Gesundheitsstatus und der Aktivitäten für CrowdStrike in NinjaOne
Maßnahmen gegen Bedrohungen ergreifen
Die Beseitigung von Bedrohungen erfolgt vollständig innerhalb der CrowdStrike Falcon-Konsole.
Wenn eine potenzielle Bedrohung erkannt wird, stellt CrowdStrike NinjaOne eine eindeutige Bedrohungskennung zur Verfügung, die bei der Beseitigung verwendet wird. Klicken Sie auf den Gesundheitsstatus im Geräte-Dashboard, um zur Bedrohung in der CrowdStrike-Plattform zu navigieren, wo Sie Maßnahmen ergreifen können.
Abbildung 5: Behebung einer Bedrohung für CrowdStrike aus NinjaOne(zum Vergrößern anklicken)
Sobald Sie eine Bedrohung in CrowdStrike mit einer der unten aufgeführten Statusbezeichnungen behoben haben, protokolliert NinjaOne die Aktivität und entfernt die Bedrohung aus dem Abschnitt „Gerätezustand“ in der NinjaOne-Benutzeroberfläche.
CrowdStrike-Behebungsstatus:
- Echt positiv
- Falsch positiv
- Geschlossen
- Ignoriert
Sie können auch über das System- und/oder Organisations-Dashboard Maßnahmen gegen eine Bedrohung ergreifen. Wählen Sie das betroffene Gerät auf der Registerkarte „Geräte → Bedrohungen“ im Organisations-Dashboard aus und klicken Sie dann oben in der Liste auf „Bedrohung in CrowdStrike beheben “. Sie können jeweils nur eine Bedrohung beheben.
Abbildung 6: Beheben einer Bedrohung für CrowdStrike über das NinjaOne-Organisations-Dashboard
Filter für CrowdStrike-Aktivitäten
Benutzer können die Aktivitätsprotokolle für CrowdStrike-Ereignisse filtern.
- Klicken Sie im Geräte-Dashboard auf die Registerkarte „Aktivitäten“ und wählen Sie „Alle“ aus .
- Wählen Sie „CrowdStrike“ aus der Dropdown-Liste „Typ(en) “ aus, um alle CrowdStrike-Ereignisse in der Dropdown-Liste „Filter“ anzuzeigen.