Configurar CrowdStrike como su antivirus en NinjaOne

Tema

Este artículo explica cómo implementar CrowdStrike en sus dispositivos después de habilitar la integración en NinjaOne, habilitar las notificaciones para las actividades antivirus y habilitar a sus técnicos para que tomen medidas ante las amenazas detectadas.

Entorno

• Proveedores integrados en NinjaOne
• Antivirus CrowdStrike

Descripción

Con CrowdStrike habilitado en NinjaOne, la integración se basa en políticas desde NinjaOne. La política activa el agente NinjaOne para detectar la instalación existente del sensor CrowdStrike en el punto final y realizar la instalación automáticamente si el sensor no está presente. Si un dispositivo ya tiene CrowdStrike instalado antes de la integración de NinjaOne, el agente NinjaOne puede leer el ID del agente existente.

Antes de poder implementar CrowdStrike como herramienta antivirus para terminales, debe habilitar la integración en NinjaOne. Para ello, consulte CrowdStrike: Guía de integración.

A continuación, seleccione una categoría para obtener más información:

• Implementar CrowdStrike a nivel de política
• Habilitar notificaciones para actividades
• Establecer permisos de usuario para CrowdStrike
• Ver los estados de salud y los registros de actividad de CrowdStrike
  • Actuar ante amenazas
  • Filtrar la actividad de CrowdStrike

Implementar CrowdStrike a nivel de política

Al seleccionar CrowdStrike como antivirus de la política, el agente NinjaOne instalará el sensor CrowdStrike en los terminales afectados.

1. Vaya a Administración → Políticas y seleccione la política que necesita el antivirus CrowdStrike o cree una nueva.
2. Abra la pestaña Antivirus y seleccione CrowdStrike en el menú desplegable. Si ya hay otro antivirus seleccionado, primero debe seleccionar «Desactivado» antes de seleccionar «CrowdStrike»
   Nota importante: Si cambia de un antivirus diferente a CrowdStrike, NinjaOne no se desinstala al cambiar el antivirus. Debe ir al portal del antivirus para desinstalarlo. Si intenta instalar CrowdStrike como antivirus y los dispositivos asociados a esa política ya tienen un antivirus instalado, recibirá una actividad para ese dispositivo indicando que la instalación de CrowdStrike ha fallado y que debe desinstalar el otro antivirus.
3. Seleccione una de las opciones junto a Instalación para configurar.

Figura 1: Opciones de instalación del antivirus CrowdStrike en NinjaOne

• Si hay otro software antivirus instalado, notificar: seleccione si desea continuar con la instalación o no realizar ninguna acción.
• Si falla la instalación de CrowdStrike, volver a intentarlo: puede desactivar esta opción cambiando el interruptor o configurando la programación en diaria (a una hora específica) o en intervalos (cada [#] horas).

4. Haga clic en Guardar.

Cuando configura el antivirus en CrowdStrike a nivel de política, la tarjeta de la aplicación CrowdStrike se muestra en el panel de control del dispositivo, en Configuración. Haga clic en el hipervínculo CrowdStrike Device Link para seleccionar un host específico que se mostrará en el panel lateral de la consola de CrowdStrike.

Si desactiva CrowdStrike en el nivel de política o cambia la política del dispositivo a una que no utilice CrowdStrike, NinjaOne eliminará todas las amenazas de la sección Estado del dispositivo; sin embargo, el sensor CrowdStrike Falcon no se desinstalará de esos dispositivos hasta que siga las instrucciones de desinstalación de la consola del proveedor de CrowdStrike Falcon.

Si la instalación falla, aparecerá una notificación en la pestaña Descripción general de la sección Estado. Haga clic en la flecha para utilizar la opción Reintentar instalación.

Figura 2: Reintentar una instalación fallida en NinjaOne

Habilitar notificaciones para actividades

1. Vaya a la página de configuración de la política.
2. En la pestaña Actividades de la política, expanda la sección CrowdStrike y haga clic en cualquier actividad para la que desee habilitar notificaciones o crear tickets.

Figura 3: Configurar acciones de notificación y tickets para CrowdStrike en NinjaOne

3. Para obtener instrucciones sobre cómo configurar los campos de actividad, consulte Feed de actividades.
4. Haga clic en Guardar en la esquina superior derecha de la página de políticas para establecer los cambios.

Configurar los permisos de usuario para CrowdStrike

NinjaOne concede automáticamente a los administradores del sistema acceso a CrowdStrike. Para habilitar a otros técnicos y usuarios, siga los pasos que se indican a continuación. Recurso adicional: Permisos de usuario: Opciones de permiso.

1. Vaya a Administración → Cuentas y seleccione una cuenta o función de técnico.
2. Abra la pestaña Sistema y seleccione «Permitido» en Configurar CrowdStrike.
3. Haga clic en Guardar.

Ver los estados de salud y los registros de actividad de CrowdStrike

Una vez que instale el sensor CrowdStrike o el agente NinjaOne detecte un sensor CrowdStrike existente, las actividades de CrowdStrike Falcon aparecerán desde el nivel de la organización NinjaOne hasta el nivel del dispositivo.

Los técnicos pueden filtrar o buscar solo eventos de CrowdStrike. Estos eventos pueden incluir comentarios sobre la instalación o desinstalación del agente, amenazas y otros. NinjaOne supervisa continuamente el sensor CrowdStrike de todos los dispositivos de cada organización NinjaOne en la que haya implementado CrowdStrike.

NinjaOne identifica y muestra las amenazas potenciales en la sección Estado del panel de control del dispositivo. Cuando se detecta una amenaza potencial, NinjaOne enlaza con la amenaza en CrowdStrike, lo que permite a los usuarios de NinjaOne navegar rápidamente a su consola CrowdStrike Falcon para investigar y remediar la amenaza.

Figura 4: Ubicación del estado de salud y la actividad de CrowdStrike en NinjaOne

Actúe ante las amenazas

Toda la corrección de amenazas se realiza dentro de la consola CrowdStrike Falcon.

Cuando se detecta una amenaza potencial, CrowdStrike proporciona a NinjaOne un identificador de amenaza único que se utiliza en la corrección. Haga clic en el estado de salud en el panel de control del dispositivo para navegar hasta la amenaza en la plataforma CrowdStrike, donde podrá tomar medidas.

Figura 5: Remediación de una amenaza para CrowdStrike desde NinjaOne(haga clic para ampliar)

Una vez que se remedia una amenaza desde CrowdStrike con una de las etiquetas de estado que se indican a continuación, NinjaOne registra la actividad y elimina la amenaza de la sección Estado del dispositivo en la interfaz de usuario de NinjaOne.

Estados de corrección de CrowdStrike:

• Verdadero positivo
• Falso positivo
• Cerrado
• Ignorado

También puede tomar medidas sobre una amenaza desde el panel del sistema o de la organización. Seleccione el dispositivo afectado en la pestaña Dispositivos → Amenazas del panel de la organización y, a continuación, haga clic en Remediar amenaza en CrowdStrike en la parte superior de la lista. Solo se puede remediar una amenaza a la vez.

Figura 6: Corregir una amenaza para CrowdStrike desde el panel de control de la organización NinjaOne

Filtrar la actividad de CrowdStrike

Los usuarios pueden filtrar los registros de actividad para eventos de CrowdStrike.

1. En el panel del dispositivo, haga clic en la pestaña Actividades y seleccione Todo.
2. Seleccione «CrowdStrike» en el menú desplegable Tipo(s) para ver todos los eventos de CrowdStrike en el menú desplegable Filtro.

Recursos adicionales

• Integración de CrowdStrike: preguntas frecuentes
• Integración de CrowdStrike: Solución de problemas de amenazas remediadas bloqueadas
• CrowdStrike Spotlight/Gestión de exposiciones: configuración y configuración
• Importador de vulnerabilidades de CrowdStrike Spotlight: configuración y configuración