Establecer CrowdStrike como su antivirus en NinjaOne

Tema

En este artículo se explica cómo implementar CrowdStrike en sus dispositivos después de habilitar la integración en NinjaOne, activar las notificaciones de actividades antivirus y permitir que sus técnicos tomen medidas ante las amenazas detectadas.  

Entorno

• Proveedores integrados en NinjaOne
• Antivirus CrowdStrike

Descripción

Con CrowdStrike habilitado en NinjaOne, la integración se gestiona mediante políticas desde dentro de NinjaOne. La política activa el agente de NinjaOne para que detecte la instalación existente del sensor de CrowdStrike en el punto final y realice la instalación automáticamente si el sensor no está presente. Si un dispositivo ya tiene CrowdStrike instalado antes de la integración con NinjaOne, el agente de NinjaOne puede leer el ID del agente existente. 

Antes de poder implementar CrowdStrike como su herramienta antivirus para terminales, debe habilitar la integración en NinjaOne. Para ello, consulte CrowdStrike: Guía de integración. 

A continuación, seleccione una categoría para obtener más información: 

• Implementar CrowdStrike a nivel de política
• Habilitar notificaciones para actividades
• Configurar permisos de usuario para CrowdStrike
• Ver los estados de integridad y los registros de actividad de CrowdStrike
  • Tomar medidas ante las amenazas
  • Filtrar por actividad de CrowdStrike

Implementar CrowdStrike a nivel de política

Al seleccionar CrowdStrike como antivirus de la política, el agente de NinjaOne instala el sensor de CrowdStrike en los endpoints afectados. 

1. Vaya a Administración → Políticas y seleccione la política que necesita el antivirus de CrowdStrike o cree una nueva.
2. Abre la pestaña Antivirus y selecciona CrowdStrike en el menú desplegable. Si ya hay otro antivirus seleccionado, primero debes seleccionar «Desactivado» antes de seleccionar «CrowdStrike». 
   Nota importante: Si está cambiando de otro antivirus a CrowdStrike, NinjaOne no se desinstala al cambiar de antivirus. Debe ir al portal del antivirus para desinstalarlo. Si intenta instalar CrowdStrike como su antivirus y los dispositivos asociados a esa política ya tienen un antivirus instalado, recibirá una notificación para ese dispositivo indicando que la instalación de CrowdStrike ha fallado y que debe desinstalar el otro antivirus. 
3. Seleccione una de las opciones junto a «Instalación » para configurarla. 

Figura 1: Opciones de instalación del antivirus CrowdStrike en NinjaOne

• Si hay otro software antivirus instalado, notificar: Seleccionasi deseas continuar con la instalación o no realizar ninguna acción.
• Si falla la instalación de CrowdStrike, volver a intentarlo: puede desactivar esta opción moviendo el interruptor o configurando la programación para que sea diaria (a una hora específica) o por intervalos (cada [#] horas).

4. Haga clic en Guardar.

Cuando configura el antivirus como CrowdStrike a nivel de política, la tarjeta de la aplicación CrowdStrike se muestra en el panel de control del dispositivo , en la sección Configuración. Haga clic en el hipervínculo «CrowdStrike Device Link» para seleccionar un host específico que se mostrará en el panel lateral de la consola de CrowdStrike. 

Si desactiva CrowdStrike a nivel de política o cambia la política del dispositivo a una que no utilice CrowdStrike, NinjaOne eliminará todas las amenazas de la sección Estado del dispositivo; sin embargo, el sensor CrowdStrike Falcon no se desinstalará de esos dispositivos hasta que siga las instrucciones de desinstalación de la consola del proveedor de CrowdStrike Falcon. 

Si la instalación falla, aparecerá una notificación en la pestaña «Overview» (Resumen ) de la sección «Health» (Estado). Haga clic en la flecha para utilizar la opción «Retry Install» (Reintentar instalación ). 

Figura 2: Reintentar una instalación fallida en NinjaOne

Habilitar notificaciones para actividades

1. Vaya a la página de configuración de la política.
2. En la pestaña «Actividades» de la política, expanda la sección «CrowdStrike» y haga clic en cualquier actividad para la que desee habilitar notificaciones o crear tickets. 

Figura 3: Configurar acciones de notificación y tickets para CrowdStrike en NinjaOne

3. Para obtener instrucciones sobre cómo configurar los campos de actividad, consulta el feed de actividades.
4. Haga clic en Guardar en la esquina superior derecha de la página de la política para aplicar los cambios. 

Configurar permisos de usuario para CrowdStrike

NinjaOne concede automáticamente acceso a CrowdStrike a los administradores del sistema. Para habilitar a otros técnicos y usuarios, siga los pasos que se indican a continuación. Recurso adicional: Permisos de usuario: Opciones de permisos.

1. Vaya a Administración → Cuentas y seleccione una cuenta o un rol de técnico.
2. Abra la pestaña Sistema y seleccione «Permitido» en Configurar CrowdStrike.
3. Haga clic en Guardar.

Ver estados de salud y registros de actividad de CrowdStrike

Una vez que instale el sensor de CrowdStrike o el agente de NinjaOne detecte un sensor de CrowdStrike existente, las actividades de CrowdStrike Falcon aparecerán desde el nivel de la organización de NinjaOne hasta el nivel del dispositivo.

Los técnicos pueden filtrar o buscar solo eventos de CrowdStrike. Estos eventos pueden incluir comentarios sobre la instalación o desinstalación del agente, amenazas y otros. NinjaOne supervisa continuamente el sensor de CrowdStrike de todos los dispositivos de cada organización de NinjaOne en la que hayas implementado CrowdStrike.

NinjaOne identifica y muestra las amenazas potenciales en la sección «Estado» del panel de control del dispositivo. Cuando se detecta una amenaza potencial, NinjaOne establece un enlace a la amenaza en CrowdStrike, lo que permite a los usuarios de NinjaOne navegar rápidamente a su consola de CrowdStrike Falcon para investigar y remediar la amenaza. 

Figura 4: Ubicación del estado de salud y la actividad de CrowdStrike en NinjaOne

Actúa ante las amenazas

Toda la corrección de amenazas se lleva a cabo dentro de la consola de CrowdStrike Falcon.

Cuando se detecta una amenaza potencial, CrowdStrike proporciona a NinjaOne un identificador de amenaza único que se utiliza en la corrección. Haga clic en el estado de salud en el panel de control del dispositivo para acceder a la amenaza en la plataforma CrowdStrike, donde podrá tomar medidas. 

Figura 5: Solucionar una amenaza de CrowdStrike desde NinjaOne(haga clic para ampliar)

Una vez que corrija una amenaza desde CrowdStrike con una de las etiquetas de estado que se enumeran a continuación, NinjaOne registra la actividad y elimina la amenaza de la sección de estado del dispositivo en la interfaz de usuario de NinjaOne. 

Estados de corrección de CrowdStrike: 

• Verdadero positivo
• Falso positivo
• Cerrado
• Ignorado

También puede tomar medidas ante una amenaza desde el panel del sistema o de la organización. Seleccione el dispositivo afectado en la pestaña Dispositivos → Amenazas del panel de la organización y, a continuación, haga clic en Corregir amenaza en CrowdStrike en la parte superior de la lista. Solo puede corregir una amenaza a la vez. 

Figura 6: Solucionar una amenaza de CrowdStrike desde el panel de control de la organización de NinjaOne

Filtrar por actividad de CrowdStrike

Los usuarios pueden filtrar los registros de actividad para los eventos de CrowdStrike.

1. En el panel de control del dispositivo, haga clic en la pestaña Actividades y seleccione Todas.
2. Seleccione «CrowdStrike» en el menú desplegable Tipo(s) para ver todos los eventos de CrowdStrike en el menú desplegable Filtro. 

Recursos adicionales

• Integración de CrowdStrike: preguntas frecuentes
• Integración de CrowdStrike: Solución de problemas de amenazas remediadas atascadas
• CrowdStrike Spotlight/Gestión de la exposición: instalación y configuración
• Importador de vulnerabilidades de CrowdStrike Spotlight: instalación y configuración