Tema
NinjaOne se integra con CrowdStrike Falcon (FalconInsight XDR y Falcon Prevent), una solución integrada de detección y respuesta de puntos finales (EDR) basada en la nube y plataforma de protección de puntos finales (EPP).
Entorno
Integraciones NinjaOne: CrowdStrike
Descripción
Descargo de responsabilidad CrowdStrike se diseñó como un sustituto completo del antivirus. NinjaOne no no ninjaOne no recomienda su uso con otros proveedores de detección y respuesta de puntos finales. NinjaOne no desinstala el antivirus de los dispositivos si desactiva CrowdStrike en NinjaOne. NinjaOne utiliza la versión generalmente disponible del instalador en caché de CrowdStrike Falcon Sensor, ya que se sabe que es compatible con los dispositivos. La integración de NinjaOne CrowdStrike sigue las políticas del sensor CrowdStrikeFalcon, de modo que el sensor Falcon se actualizará o degradará después de la instalación, dependiendo de su configuración de CrowdStrike. |
La integración de CrowdStrike está controlada por políticas desde NinjaOne cuando está activada. NinjaOne asigna organizaciones automáticamente a CrowdStrike Dynamic Host Groups (grupos de dispositivos estándar) basándose en las etiquetas Falcon Grouping.
La política activa el agente de gestión de supervisión remota (RMM) de NinjaOne para detectar la instalación existente del sensor CrowdStrike en el endpoint y realizar automáticamente la instalación si el sensor no está presente. Si un dispositivo ya tiene CrowdStrike instalado antes de habilitar la integración, el agente NinjaOne puede leer el ID de agente existente.
Seleccione una categoría para obtener más información:
- Ayuda
- Requisitos previos
- Funciones principales
- Activar la integración de CrowdStrike
- Mapear organizaciones NinjaOne a grupos host CrowdStrike
- Configurar ámbitos de API para multi-tenancy
- Recursos adicionales:
Soporte
Falcon Sensor 7.19.18910 en Microsoft Windows y Apple macOS.
Requisitos previos
Tenga en cuenta las siguientes notas antes de activar la integración:
- La integración con NinjaOne requiere una licencia CrowdStrike Falcon existente.
- Capacidad para generar tokens de interfaz de programación de aplicaciones (API) en la consola de CrowdStrike Falcon.
- Acceso a las aplicaciones CrowdStrike: Falcon Prevent y Falcon Insight XDR (detección y respuesta ampliadas).
- CrowdStrike parent account (NinjaOne no supervisa actualmente las cuentas heredadas en CrowdStrike Flight Control para organizaciones).
- Si su instancia de CrowdStrike requiere una lista de direcciones de protocolo de Internet (IP) permitidas, consulte Información sobre la lista global permitida (lista blanca) de NinjaOne.
Funciones principales
La integración de CrowdStrike en NinjaOne proporciona los siguientes beneficios.
- Los registros de actividad del sensor CrowdStrike se muestran en los paneles de control de la organización y del dispositivo. Cuando falta el ámbito del cliente API, aparece un registro de eventos en Actividades en el panel de control.
Gestione la autenticación de clientes o grupos de hosts de CrowdStrike multi-tenant.
- Revise los detalles del dispositivo y la sección de salud en busca de amenazas, virus y problemas de instalación. Cuando CrowdStrike detecta una amenaza en un dispositivo, NinjaOne muestra una alerta inmediatamente. Al hacer clic en la alerta en NinjaOne, el técnico puede navegar hasta ese dispositivo en la consola de CrowdStrike para su investigación y corrección.
Activar la integración de CrowdStrike
Para habilitar la integración CrowdStrike en la consola NinjaOne, realice los siguientes pasos:
- Vaya a Administración → Aplicaciones y haga clic en Añadir aplicaciones. Seleccione CrowdStrike en la lista de aplicaciones de terceros disponibles.
Imagen 1: Añadir aplicaciones de terceros en NinjaOne
Aparece la página de configuración de la aplicación.
- Haz clic en Habilitar.
Aparece el modal de configuración de la aplicación. - Lea detenidamente los términos que describen el proceso de migración en el modal de Configuración de CrowdStrike y, a continuación, seleccione la casilla de verificación situada en la parte inferior de la página para activar el botón Aceptar.
- Navega a https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys (la URL base variará en función de la geolocalización o la licencia de nube) y selecciona un cliente API o crea uno nuevo. Puedes restablecer tu secreto de cliente desde esta página si lo has olvidado. Introduzca los datos necesarios para confirmar su cliente API y, a continuación, aprovisione sus ámbitos API:
- A cada cliente API se le asigna uno o más ámbitos API. Los ámbitos son permisos que especifican los puntos finales y los métodos a los que puede acceder un cliente de API. Al crear un cliente de API, elija entre las acciones de lectura y escritura que puede ejecutar en diferentes grupos de puntos finales de API. Los ámbitos que establezca se aplican a los tokens de acceso generados por las credenciales de cliente de la API, y el acceso sólo se concede a los puntos finales autorizados para su uso.
Los clientes API tienen uno o más ámbitos API. Los ámbitos permiten el acceso a API específicas de CrowdStrike y describen las acciones que puede realizar un cliente de API. Utilice ámbitos para ajustar los permisos de sus clientes API. Alcance de los tokens de acceso OAuth 2.0 a los recursos configurados en el cliente API.
Si un Cliente API no tiene los permisos mínimos asignados, es posible que la integración no funcione. Como mínimo, asegúrese de proporcionar los siguientes ámbitos al Cliente de API. Estos permisos de alcance son necesarios para que la integración tenga éxito.
Ámbitos necesarios en la versión 7.0:
| Alcance | Requisito |
|---|---|
| Alertas | Leer |
| Anfitriones | Leer/Escribir |
| Grupos de acogida | Leer/Escribir |
| Descarga de sensores | Leer |
- Haga clic en Habilitar.
Su estado de CrowdStrike debería mostrarse ahora como activado y conectado, y puede comprobar si las credenciales de autenticación utilizadas son válidas haciendo clic en el botón Editar del widget Configuración .
Imagen 2: Estado de la integración de CrowdStrike en NinjaOne
Mapear organizaciones NinjaOne a grupos host CrowdStrike
El proceso de "mapeo" asocia las organizaciones de NinjaOne con los grupos de gestión de host de CrowdStrike, asegurando que el grupo de dispositivos o las políticas apropiadas se establezcan e informen en NinjaOne. Este proceso está automatizado y se realiza sin interacción del usuario o del administrador.
Al habilitar la integración de CrowdStrike en NinjaOne, se crean automáticamente grupos de gestión de host en CrowdStrike para cada organización NinjaOne existente en cuanto se habilita la integración de CrowdStrike. Para crear un grupo de hosts en CrowdStrike no es necesario habilitarlo en la política ni desplegar el antivirus CrowdStrike. Estos nuevos Dynamic Group Hosts reflejan el nombre de la organización utilizada en NinjaOne y se actualizan sin problemas cuando las organizaciones NinjaOne se crean o eliminan.
NinjaOne etiqueta cualquier dispositivo con el agente NinjaOne y un sensor CrowdStrike instalado con una etiqueta de agrupación Falcon (identificador único) en la organización NinjaOne. El etiquetado permite que las actividades y amenazas se asocien correctamente con el grupo de hosts de CrowdStrike correspondiente.
Configurar ámbitos de API para multi-tenancy
Si está utilizando multi-tenancy en NinjaOne, debe configurar nuevos ámbitos para el cliente API. Para obtener más información, consulte NinjaOne y CrowdStrike: Integración multi-tenancy.
Recursos adicionales:
Consulte los siguientes recursos para obtener más información sobre la integración de NinjaOne con CrowdStrike: