Thema
In diesem Artikel wird erläutert, wie Sie CrowdStrike auf Ihren Geräten bereitstellen, nachdem Sie die Integration in NinjaOne aktiviert, Benachrichtigungen für Antivirenaktivitäten aktiviert und Ihren Technikern die Möglichkeit gegeben haben, Maßnahmen gegen erkannte Bedrohungen zu ergreifen.
Umgebung
- In NinjaOne integrierte Anbieter
- CrowdStrike-Antivirus
Beschreibung
Wenn CrowdStrike in NinjaOne aktiviert ist, erfolgt die Integration richtliniengesteuert aus NinjaOne heraus. Die Richtlinie veranlasst den NinjaOne-Agenten, die vorhandene Installation des CrowdStrike-Sensors auf dem Endpunkt zu erkennen und die Installation automatisch durchzuführen, falls der Sensor nicht vorhanden ist. Wenn auf einem Gerät bereits vor der NinjaOne-Integration CrowdStrike installiert war, kann der NinjaOne-Agent die vorhandene Agent-ID auslesen.
Bevor Sie CrowdStrike als Ihr Endpunkt-Antiviren-Tool bereitstellen können, müssen Sie die Integration in NinjaOne aktivieren. Informationen hierzu finden Sie im CrowdStrike: Integrationshandbuch.
Wählen Sie anschließend eine Kategorie aus, um mehr zu erfahren:
- CrowdStrike auf Richtlinienebene bereitstellen
- Benachrichtigungen für Aktivitäten aktivieren
- Benutzerberechtigungen für CrowdStrike festlegen
- CrowdStrike-Zustandsstatus und Aktivitätsprotokolle anzeigen
CrowdStrike auf Richtlinienebene bereitstellen
Wenn Sie CrowdStrike als Antivirus-Lösung für die Richtlinie auswählen, wird der NinjaOne-Agent angewiesen, den CrowdStrike-Sensor auf den betroffenen Endpunkten zu installieren.
- Gehen Sie zu „Administration“ → „Richtlinien“ und wählen Sie die Richtlinie aus, für die das CrowdStrike-Antivirus erforderlich ist, oder erstellen Sie eine neue.
- Öffnen Sie die Registerkarte „Antivirus“ und wählen Sie „CrowdStrike“ aus der Dropdown-Liste aus. Wenn bereits ein anderes Antivirenprogramm ausgewählt ist, müssen Sie zunächst „Deaktiviert“ auswählen, bevor Sie „CrowdStrike“ auswählen können. Wichtiger Hinweis: Wenn Sie von einem anderen Antivirenprogramm zu CrowdStrike wechseln, wird NinjaOne bei der Änderung des Antivirenprogramms nicht deinstalliert. Sie müssen das Antivirenportal aufrufen, um die Deinstallation durchzuführen. Wenn Sie versuchen, CrowdStrike als Antivirenprogramm zu installieren, und auf den mit dieser Richtlinie verbundenen Geräten bereits ein Antivirenprogramm installiert ist, erhalten Sie für dieses Gerät eine Aktivitätsmeldung, dass die Installation von CrowdStrike fehlgeschlagen ist und Sie das andere Antivirenprogramm deinstallieren müssen.
- Wählen Sie aus den Optionen neben „Installation“, um die Konfiguration vorzunehmen.
Abbildung 1: Installationsoptionen für das CrowdStrike-Antivirenprogramm in NinjaOne
- Wenn eine andere Antivirensoftware installiert ist, benachrichtigen: Wählen Sie aus, ob Sie mit der Installation fortfahren oder keine Aktion ausführen möchten.
- Wenn die CrowdStrike-Installation fehlschlägt, erneut versuchen: Sie können diese Option deaktivieren, indem Sie den Schalter umlegen oder den Zeitplan auf „täglich“ (zu einer bestimmten Uhrzeit) oder „Intervall“ (alle [#] Stunden) einstellen.
- Klicken Sie auf „Speichern“.
Wenn Sie das Antivirus auf Richtlinienebene auf CrowdStrike einstellen, wird die CrowdStrike-Anwendungskarte auf dem Geräte-Dashboard unter „Einstellungen“ angezeigt . Klicken Sie auf den Hyperlink „CrowdStrike-Geräteverbindung“, um einen bestimmten Host auszuwählen, der im Seitenbereich der CrowdStrike-Konsole angezeigt werden soll.
Wenn Sie CrowdStrike auf Richtlinienebene deaktivieren oder die Richtlinie des Geräts so ändern, dass CrowdStrike nicht mehr verwendet wird, entfernt NinjaOne alle Bedrohungen aus dem Abschnitt „Zustand“ des Geräts; der CrowdStrike Falcon Sensor wird jedoch erst von diesen Geräten deinstalliert, wenn Sie die Deinstallationsanweisungen aus der CrowdStrike Falcon-Anbieterkonsole befolgen.
Wenn die Installation fehlschlägt, erscheint eine Benachrichtigung auf der Registerkarte „Übersicht“ im Abschnitt „Zustand “. Klicken Sie auf den Pfeil, um die Option „Installation wiederholen “ zu verwenden.
Abbildung 2: Wiederholen einer fehlgeschlagenen Installation in NinjaOne
Benachrichtigungen für Aktivitäten aktivieren
- Gehen Sie zur Seite für die Richtlinienkonfiguration.
- Erweitern Sie auf der Registerkarte „Aktivitäten“ der Richtlinie den Abschnitt „CrowdStrike“ und klicken Sie auf eine beliebige Aktivität, für die Sie Benachrichtigungen aktivieren oder Tickets erstellen möchten.
Abbildung 3: Konfigurieren von Benachrichtigungs- und Ticketaktionen für CrowdStrike in NinjaOne
- Anweisungen zum Konfigurieren der Aktivitätsfelder finden Sie unter „Aktivitäts-Feed“.
- Klicken Sie oben rechts auf der Richtlinienseite auf „Speichern“, um die Änderungen zu übernehmen.
Benutzerberechtigungen für CrowdStrike festlegen
NinjaOne gewährt Systemadministratoren automatisch Zugriff auf CrowdStrike. Um anderen Technikern und Benutzern Zugriff zu gewähren, führen Sie die folgenden Schritte aus. Weitere Informationen: Benutzerberechtigungen: Berechtigungsoptionen.
- Gehen Sie zu „Administration“ → „Konten“ und wählen Sie ein Technikerkonto oder eine Rolle aus.
- Öffnen Sie die Registerkarte „System“ und wählen Sie unter „CrowdStrike konfigurieren“ die Option „Zulässig“ aus.
- Klicken Sie auf „Speichern“.
CrowdStrike-Zustandsstatus und Aktivitätsprotokolle anzeigen
Sobald Sie den CrowdStrike-Sensor installiert haben oder der NinjaOne-Agent einen vorhandenen CrowdStrike-Sensor erkennt, werden CrowdStrike Falcon-Aktivitäten von der NinjaOne-Organisationsebene bis hinunter zur Geräteebene angezeigt.
Techniker können nur nach CrowdStrike-Ereignissen filtern oder suchen. Zu diesen Ereignissen können Rückmeldungen zur Installation/Deinstallation des Agenten, Bedrohungen und andere gehören. NinjaOne überwacht kontinuierlich den CrowdStrike-Sensor jedes Geräts in jeder NinjaOne-Organisation, in der Sie CrowdStrike bereitgestellt haben.
NinjaOne identifiziert potenzielle Bedrohungen und zeigt sie im Abschnitt „Zustand“ des Geräte-Dashboards an. Wenn eine potenzielle Bedrohung erkannt wird, verlinkt NinjaOne zu der Bedrohung in CrowdStrike, sodass NinjaOne-Benutzer schnell zu ihrer CrowdStrike Falcon-Konsole navigieren können, um die Bedrohung zu untersuchen und zu beheben.
Abbildung 4: Darstellung des Zustands und der Aktivitäten von CrowdStrike in NinjaOne
Maßnahmen gegen Bedrohungen ergreifen
Die gesamte Behebung von Bedrohungen erfolgt innerhalb der CrowdStrike Falcon-Konsole.
Wenn eine potenzielle Bedrohung erkannt wird, stellt CrowdStrike NinjaOne eine eindeutige Bedrohungskennung zur Verfügung, die bei der Behebung verwendet wird. Klicken Sie auf den Status im Geräte-Dashboard, um zur Bedrohung auf der CrowdStrike-Plattform zu navigieren, wo Sie Maßnahmen ergreifen können.
Abbildung 5: Behebung einer Bedrohung für CrowdStrike aus NinjaOne(zum Vergrößern anklicken)
Sobald Sie eine Bedrohung innerhalb von CrowdStrike mit einer der unten aufgeführten Statusbezeichnungen beheben, protokolliert NinjaOne die Aktivität und entfernt die Bedrohung aus dem Abschnitt „Gerätezustand“ in der NinjaOne-Benutzeroberfläche.
CrowdStrike-Behebungsstatus:
- Echtes Positiv
- Falsch-positiv
- Geschlossen
- Ignoriert
Sie können Maßnahmen gegen eine Bedrohung auch über das System- und/oder Organisations-Dashboard ergreifen. Wählen Sie das betroffene Gerät auf dem Organisations-Dashboard unter „Geräte“ → „Bedrohungen “ aus und klicken Sie dann oben in der Liste auf „Bedrohung in CrowdStrike beheben “. Sie können jeweils nur eine Bedrohung beheben.
Abbildung 6: Beheben einer Bedrohung für CrowdStrike über das NinjaOne-Organisations-Dashboard
Nach CrowdStrike-Aktivitäten filtern
Benutzer können die Aktivitätsprotokolle nach CrowdStrike-Ereignissen filtern.
- Klicken Sie im Gerät-Dashboard auf die Registerkarte „Aktivitäten“ und wählen Sie „Alle“ aus .
- Wählen Sie „CrowdStrike“ aus der Dropdown-Liste „Typ(en) “ aus, um alle CrowdStrike-Ereignisse in der Dropdown-Liste „Filter“ anzuzeigen.