Tema
NinjaOne se integra con CrowdStrike Falcon (FalconInsight XDR y Falcon Prevent), una solución integrada basada en la nube que combina detección y respuesta en endpoints (EDR) y protección de endpoints (EPP).
Entorno
- Integraciones de NinjaOne
- CrowdStrike
Descripción
Aviso legal: CrowdStrike se diseñó como un sustituto completo del antivirus. NinjaOne no recomienda utilizarlo con otros proveedores de detección y respuesta en endpoints. NinjaOne no desinstala el antivirus de los dispositivos si desactivas CrowdStrike en NinjaOne. NinjaOne utiliza la versión disponible para el público del instalador en caché de CrowdStrike Falcon Sensor, ya que se sabe que es compatible con los dispositivos. La integración de NinjaOne con CrowdStrike sigue las políticas del sensor Falcon de CrowdStrike, de modo que el sensor Falcon se actualizará o se revertirá a una versión anterior tras la instalación, dependiendo de la configuración de CrowdStrike. |
La integración de CrowdStrike se rige por políticas desde dentro de NinjaOne cuando está habilitada. NinjaOne asigna automáticamente las organizaciones a los grupos de hosts dinámicos de CrowdStrike (grupos de dispositivos estándar) basándose en las etiquetas de agrupación de Falcon.
La política activa el agente de gestión de supervisión remota (RMM) de NinjaOne para detectar la instalación existente del sensor de CrowdStrike en el punto final y realizar automáticamente la instalación si el sensor no está presente. Si un dispositivo ya tiene CrowdStrike instalado antes de habilitar la integración, el agente de NinjaOne puede leer el ID del agente existente.
Seleccione una categoría para obtener más información:
- Soporte
- Requisitos previos
- Características principales
- Habilitar la integración de CrowdStrike
- Asignar organizaciones de NinjaOne a grupos de hosts de CrowdStrike
- Configurar ámbitos de API para multitenencia
- Recursos adicionales
Soporte
Falcon Sensor 7.19.18910 en Microsoft Windows y Apple macOS.
Requisitos previos
Tenga en cuenta las siguientes notas antes de habilitar la integración:
- La integración con NinjaOne requiere una licencia de CrowdStrike Falcon.
- Capacidad para generar tokens de la interfaz de programación de aplicaciones (API) en la consola de CrowdStrike Falcon.
- Acceso a las aplicaciones de CrowdStrike: Falcon Prevent y Falcon Insight XDR (detección y respuesta ampliadas).
- Cuenta principal de CrowdStrike (NinjaOne no supervisa actualmente las cuentas heredadas en CrowdStrike Flight Control para organizaciones).
- Si su instancia de CrowdStrike requiere la inclusión en la lista de permitidos de direcciones de Protocolo de Internet (IP), consulte la información sobre la lista global de permitidos (lista blanca) de NinjaOne.
Características principales
La integración de CrowdStrike en NinjaOne ofrece las siguientes ventajas.
- Los registros de actividad del sensor de CrowdStrike se muestran en los paneles de control de la organización y del dispositivo. Cuando falta el ámbito del cliente de la API, se muestra un registro de eventos en «Actividades» del panel de control.
Gestione la autenticación de clientes multitenant de CrowdStrike o los grupos de hosts.
- Revise los detalles del dispositivo y la sección de estado para detectar amenazas, virus y problemas de instalación. Cuando CrowdStrike detecta una amenaza en un dispositivo, NinjaOne muestra una alerta de inmediato. Al hacer clic en la alerta en NinjaOne, el técnico puede navegar hasta ese dispositivo en la consola de CrowdStrike para investigarlo y solucionarlo.
Habilitar la integración de CrowdStrike
Para habilitar la integración de CrowdStrike en la consola de NinjaOne, siga estos pasos:
- Vaya a Administración → Aplicaciones y haga clic en Añadir aplicaciones. Seleccione CrowdStrike de la lista de aplicaciones de terceros disponibles.
Figura 1: Añadir aplicaciones de terceros en NinjaOne
Se muestra la página de configuración de la aplicación.
- Haga clic en Habilitar.
Se muestra la ventana modal de configuración de la aplicación. - Lea detenidamente los términos que describen el proceso de migración en la ventana modal de configuración de CrowdStrike y, a continuación, marque la casilla de verificación situada en la parte inferior de la página para habilitar el botón Aceptar.
- Vaya a https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys ( la URL base variará en función de la ubicación geográfica o la licencia de nube) y seleccione un cliente API o cree uno nuevo. Puede restablecer su secreto de cliente desde esta página si lo ha olvidado. Introduzca los datos necesarios para confirmar su cliente API y, a continuación, aprovisione sus ámbitos de API:
- A cada cliente de API se le asignan uno o más ámbitos de API. Los ámbitos son permisos que especifican los puntos finales y los métodos a los que puede acceder un cliente de API. Al crear un cliente de API, elija entre las acciones de lectura y escritura que puede ejecutar en diferentes grupos de puntos finales de API. Los ámbitos que establezca se aplican a los tokens de acceso generados por las credenciales del cliente de API, y el acceso solo se concede a aquellos puntos finales autorizados para su uso.
Los clientes de API tienen uno o más ámbitos de API. Los ámbitos permiten el acceso a API específicas de CrowdStrike y describen las acciones que un cliente de API puede realizar. Utilice los ámbitos para ajustar con precisión los permisos de sus clientes de API. Los tokens de acceso de OAuth 2.0 se limitan a los recursos configurados en el cliente de API.
Si un cliente de API no tiene los permisos mínimos asignados, es posible que la integración no funcione. Como mínimo, asegúrese de asignar los siguientes ámbitos al cliente de API. Estos permisos de ámbito son necesarios para que la integración se realice correctamente.
Ámbitos requeridos en la versión 7.0:
| Ámbito | Requisito |
|---|---|
| Alertas | Lectura |
| Hosts | Lectura/Escritura |
| Grupos de hosts | Lectura/Escritura |
| Descarga de sensores | Lectura |
- Haga clic en Activar.
El estado de CrowdStrike debería aparecer ahora como activado y conectado, y puede comprobar si las credenciales de autenticación utilizadas son válidas haciendo clic en el botón Editar del widget Configuración .
Figura 2: Estado de la integración de CrowdStrike en NinjaOne
Asignar organizaciones de NinjaOne a grupos de hosts de CrowdStrike
Consulte NinjaOne Endpoint Management: Feed de notificaciones de actividad del dispositivo y del sistema para configurar las actividades «Credencial de CrowdStrike no válida» e «Integración de CrowdStrike: falta el ámbito del cliente API ».
Configurar ámbitos de API para la multitenencia
Si utiliza la multitenencia en NinjaOne, debe configurar nuevos ámbitos para el cliente de API. Para obtener más información, consulte NinjaOne y CrowdStrike: Integración de multitenencia.
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre la integración de NinjaOne con CrowdStrike: