Thema
NinjaOne lässt sich in CrowdStrike Falcon (FalconInsight XDR und Falcon Prevent) integrieren, eine integrierte cloudbasierte Lösung für Endpoint Detection and Response (EDR) und Endpoint Protection Platform (EPP).
Umgebung
NinjaOne-Integrationen
Beschreibung
Haftungsausschluss: CrowdStrike wurde als vollständiger Ersatz für Antivirenprogramme entwickelt. NinjaOne empfiehlt, es nicht zusammen mit anderen Anbietern von Endpunkt-Erkennungs- und Reaktionslösungen zu verwenden. NinjaOne deinstalliert das Antivirenprogramm nicht von Geräten, wenn Sie CrowdStrike in NinjaOne deaktivieren. NinjaOne verwendet die allgemein verfügbare Version des zwischengespeicherten Installationsprogramms für den CrowdStrike Falcon Sensor, da diese als kompatibel mit Geräten bekannt ist. Die NinjaOne CrowdStrike-Integration folgt den Richtlinien des CrowdStrikeFalcon-Sensors, sodass der Falcon-Sensor nach der Installation je nach Ihren CrowdStrike-Einstellungen aktualisiert oder heruntergestuft wird. |
Die CrowdStrike-Integration wird bei Aktivierung von NinjaOne aus richtliniengesteuert. NinjaOne ordnet Organisationen automatisch CrowdStrike Dynamic Host Groups (Gruppen von Standardgeräten) zu, basierend auf Falcon Grouping-Tags.
Die Richtlinie veranlasst den NinjaOne Remote Monitoring Management (RMM)-Agenten, die vorhandene Installation des CrowdStrike-Sensors auf dem Endpunkt zu erkennen und die Installation automatisch durchzuführen, wenn der Sensor nicht vorhanden ist. Wenn auf einem Gerät bereits CrowdStrike installiert ist, bevor Sie die Integration aktivieren, kann der NinjaOne-Agent die vorhandene Agent-ID lesen.
Wählen Sie eine Kategorie aus, um mehr zu erfahren:
- Support
- Voraussetzungen
- Hauptfunktionen
- Aktivieren Sie die CrowdStrike-Integration
- NinjaOne-Organisationen CrowdStrike-Hostgruppen zuordnen
- API-Bereiche für Multi-Tenancy konfigurieren
- Zusätzliche Ressourcen
Support
Falcon Sensor 7.19.18910 unter Microsoft Windows und Apple macOS.
Voraussetzungen
Beachten Sie vor der Aktivierung der Integration die folgenden Hinweise:
- Für die Integration mit NinjaOne ist eine bestehende CrowdStrike Falcon-Lizenz erforderlich.
- Möglichkeit zur Generierung von API-Tokens (Application Programming Interface) in der CrowdStrike Falcon-Konsole.
- Zugriff auf CrowdStrike-Anwendungen: Falcon Prevent und Falcon Insight XDR (erweiterte Erkennung und Reaktion).
- CrowdStrike-Übergeordnetes Konto (NinjaOne überwacht derzeit keine vererbten Konten in CrowdStrike Flight Control für Organisationen).
- Wenn Ihre CrowdStrike-Instanz die Aufnahme von IP-Adressen in die Zulassungsliste erfordert, lesen Sie die Informationen zur globalen Zulassungsliste (Whitelist) von NinjaOne.
Hauptmerkmale
Die CrowdStrike-Integration in NinjaOne bietet die folgenden Vorteile.
- Die Aktivitätsprotokolle des CrowdStrike-Sensors werden auf den Dashboards für Organisationen und Geräte angezeigt. Wenn der API-Client-Bereich fehlt, wird ein Ereignisprotokoll in den Aktivitäten auf dem Dashboard zurückgegeben.
Verwalten Sie die Multi-Tenant-Client-Authentifizierung oder Host-Gruppen von CrowdStrike.
- Überprüfen Sie die Gerätedetails und den Abschnitt „Zustand“ auf Bedrohungen, Viren und Installationsprobleme. Wenn CrowdStrike eine Gerätebedrohung erkennt, zeigt NinjaOne sofort eine Warnung an. Durch Klicken auf die Warnung in NinjaOne kann der Techniker zur Untersuchung und Behebung zu diesem Gerät in der CrowdStrike-Konsole navigieren.
Aktivieren Sie die CrowdStrike-Integration
Um die CrowdStrike-Integration in der NinjaOne-Konsole zu aktivieren, führen Sie die folgenden Schritte aus:
- Navigieren Sie zu „Administration“ → „Apps “ und klicken Sie auf „Apps hinzufügen“. Wählen Sie CrowdStrike aus der Liste der verfügbaren Drittanbieter-Apps aus.
Abbildung 1: Hinzufügen von Drittanbieter-Apps in NinjaOne
Die Seite mit den Anwendungseinstellungen wird angezeigt.
- Klicken Sie auf „Aktivieren“.
Das Modal für die Anwendungseinrichtung wird angezeigt. - Lesen Sie die Bedingungen zum Migrationsprozess im Modal „CrowdStrike-Einrichtung“ sorgfältig durch und aktivieren Sie dann das Kontrollkästchen unten auf der Seite, um die Schaltfläche „Akzeptieren“ zu aktivieren.
- Navigieren Sie zu https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys ( die Basis-URL variiert je nach geografischem Standort oder Cloud-Lizenz) und wählen Sie einen API-Client aus oder erstellen Sie einen neuen. Auf dieser Seite können Sie Ihren Client-Geheimcode zurücksetzen, falls Sie ihn vergessen haben. Geben Sie die erforderlichen Details ein, um Ihren API-Client zu bestätigen, und richten Sie dann Ihre API-Bereiche ein:
- Jedem API-Client werden ein oder mehrere API-Bereiche zugewiesen. Bereiche sind Berechtigungen, die die Endpunkte und Methoden festlegen, auf die ein API-Client zugreifen kann. Wählen Sie beim Erstellen eines API-Clients aus Lese- und Schreibaktionen aus, die Sie für verschiedene Gruppen von API-Endpunkten ausführen können. Die von Ihnen festgelegten Bereiche werden auf die vom API-Client generierten Zugriffstoken angewendet, und der Zugriff wird nur für die Endpunkte gewährt, die für die Verwendung autorisiert sind.
API-Clients haben einen oder mehrere API-Bereiche. Bereiche ermöglichen den Zugriff auf bestimmte CrowdStrike-APIs und beschreiben die Aktionen, die ein API-Client ausführen kann. Verwenden Sie Bereiche, um die Berechtigungen Ihrer API-Clients genau anzupassen. OAuth 2.0-Zugriffstoken gelten für die im API-Client konfigurierten Ressourcen.
Wenn ein API-Client nicht über die erforderlichen Mindestberechtigungen verfügt, funktioniert die Integration möglicherweise nicht. Stellen Sie sicher, dass Sie dem API-Client mindestens die folgenden Bereiche zuweisen. Diese Bereichsberechtigungen sind für eine erfolgreiche Integration erforderlich.
Für Version 7.0 erforderliche Bereiche:
| Bereich | Anforderung |
|---|---|
| Warnungen | Lesen |
| Hosts | Lesen/Schreiben |
| Hostgruppen | Lesen/Schreiben |
| Sensor-Download | Lesen |
- Klicken Sie auf „Aktivieren“.
Ihr CrowdStrike-Status sollte nun als „Aktiviert“ und „Verbunden“ angezeigt werden. Sie können überprüfen, ob die verwendeten Anmeldedaten gültig sind, indem Sie im Widget „Einstellungen“ auf die Schaltfläche „Bearbeiten“ klicken.
Abbildung 2: CrowdStrike-Integrationsstatus in NinjaOne
NinjaOne-Organisationen CrowdStrike-Hostgruppen zuordnen
Der „Zuordnungsprozess“ verknüpft NinjaOne-Organisationen mit CrowdStrike-Host-Verwaltungsgruppen und stellt sicher, dass die richtigen Gerätegruppen oder Richtlinien in NinjaOne festgelegt und gemeldet werden. Dieser Prozess ist automatisiert und wird ohne Benutzer- oder Administratorinteraktion durchgeführt.
Wenn Sie die CrowdStrike-Integration in NinjaOne aktivieren, werden in CrowdStrike automatisch Host-Verwaltungsgruppen für jede vorhandene NinjaOne-Organisation erstellt, sobald Sie die CrowdStrike-Integration aktivieren. Um eine Hostgruppe in CrowdStrike zu erstellen, müssen Sie diese nicht in der Richtlinie aktivieren oder das CrowdStrike-Antivirenprogramm bereitstellen. Diese neuen dynamischen Gruppenhosts spiegeln den in NinjaOne verwendeten Organisationsnamen wider und werden nahtlos aktualisiert, wenn NinjaOne-Organisationen erstellt oder gelöscht werden.
NinjaOne kennzeichnet jedes Gerät, auf dem der NinjaOne-Agent und ein CrowdStrike-Sensor installiert sind, mit einem Falcon-Gruppierungstag (eindeutige Kennung) in der NinjaOne-Organisation. Durch die Kennzeichnung können Aktivitäten und Bedrohungen ordnungsgemäß der entsprechenden CrowdStrike-Hostgruppe zugeordnet werden.
API-Bereiche für Mandantenfähigkeit konfigurieren
Wenn Sie Multi-Tenancy in NinjaOne verwenden, müssen Sie neue Bereiche für den API-Client einrichten. Weitere Informationen finden Sie unter NinjaOne und CrowdStrike: Multi-Tenancy-Integration.
Weitere Ressourcen
Weitere Informationen zur Integration von NinjaOne mit CrowdStrike finden Sie in den folgenden Ressourcen: