Tema
NinjaOne se integra con CrowdStrike Falcon (FalconInsight XDR y Falcon Prevent), una solución integrada basada en la nube de detección y respuesta de endpoints (EDR) y plataforma de protección de endpoints (EPP).
Entorno
Integraciones de NinjaOne
Descripción
Descargo de responsabilidad: CrowdStrike se diseñó como un sustituto completo del antivirus. NinjaOne no recomienda utilizarlo con otros proveedores de detección y respuesta en puntos finales. NinjaOne no desinstala el antivirus de los dispositivos si desactiva CrowdStrike en NinjaOne. NinjaOne utiliza la versión generalmente disponible del instalador en caché del sensor CrowdStrike Falcon, ya que se sabe que es compatible con los dispositivos. La integración de NinjaOne CrowdStrike sigue las políticas del sensor CrowdStrikeFalcon, de modo que el sensor Falcon se actualizará o se degradará después de la instalación, dependiendo de la configuración de CrowdStrike. |
La integración de CrowdStrike se basa en políticas desde NinjaOne cuando está habilitada. NinjaOne asigna automáticamente las organizaciones a los grupos de hosts dinámicos de CrowdStrike (grupos de dispositivos estándar) en función de las etiquetas de agrupación de Falcon.
La política activa el agente de gestión de supervisión remota (RMM) de NinjaOne para detectar la instalación existente del sensor CrowdStrike en el punto final y realizar automáticamente la instalación si el sensor no está presente. Si un dispositivo ya tiene CrowdStrike instalado antes de habilitar la integración, el agente NinjaOne puede leer el ID del agente existente.
Seleccione una categoría para obtener más información:
- Soporte
- Requisitos previos
- Características principales
- Habilitar la integración de CrowdStrike
- Asignar organizaciones de NinjaOne a grupos de hosts de CrowdStrike
- Configurar los ámbitos de la API para la multitenencia
- Recursos adicionales
Soporte
Falcon Sensor 7.19.18910 en Microsoft Windows y Apple macOS.
Requisitos
Tenga en cuenta las siguientes notas antes de habilitar la integración:
- La integración con NinjaOne requiere una licencia CrowdStrike Falcon existente.
- Capacidad para generar tokens de interfaz de programación de aplicaciones (API) en la consola CrowdStrike Falcon.
- Acceso a las aplicaciones CrowdStrike: Falcon Prevent y Falcon Insight XDR (detección y respuesta ampliadas).
- Cuenta principal de CrowdStrike (NinjaOne no supervisa actualmente las cuentas heredadas en CrowdStrike Flight Control para organizaciones).
- Si su instancia de CrowdStrike requiere la inclusión de direcciones de protocolo de Internet (IP) en la lista de permitidos, consulte la información sobre la lista global de permitidos (lista blanca) de NinjaOne.
Características principales
La integración de CrowdStrike en NinjaOne ofrece las siguientes ventajas.
- Los registros de actividad del sensor CrowdStrike se muestran en los paneles de control de la organización y los dispositivos. Cuando falta el ámbito del cliente API, se devuelve un registro de eventos en Actividades en el panel de control.
Gestione la autenticación de clientes multitenant o los grupos de hosts de CrowdStrike.
- Revise los detalles del dispositivo y la sección de estado para detectar amenazas, virus y problemas de instalación. Cuando CrowdStrike detecta una amenaza en un dispositivo, NinjaOne muestra una alerta inmediatamente. Al hacer clic en la alerta en NinjaOne, el técnico puede navegar hasta ese dispositivo en la consola de CrowdStrike para investigarlo y solucionarlo.
Habilitar la integración de CrowdStrike
Para habilitar la integración de CrowdStrike en la consola de NinjaOne, siga estos pasos:
- Vaya a Administración → Aplicaciones y haga clic en Añadir aplicaciones. Seleccione CrowdStrike en la lista de aplicaciones de terceros disponibles.
Figura 1: Añadir aplicaciones de terceros en NinjaOne
Se muestra la página de configuración de la aplicación.
- Haga clic en Habilitar.
Aparecerá el modal de configuración de la aplicación. - Lea detenidamente los términos que describen el proceso de migración en el modal de configuración de CrowdStrike y, a continuación, seleccione la casilla de verificación situada en la parte inferior de la página para habilitar el botón Aceptar.
- Vaya a https://falcon.{dominio}.crowdstrike.com/support/api-clients-and-keys ( la URL base variará en función de la ubicación geográfica o la licencia en la nube) y seleccione un cliente API o cree uno nuevo. Si ha olvidado su secreto de cliente, puede restablecerlo desde esta página. Introduzca los datos necesarios para confirmar su cliente API y, a continuación, aprovisione sus ámbitos API:
- A cada cliente API se le asignan uno o varios ámbitos API. Los ámbitos son permisos que especifican los puntos finales y los métodos a los que puede acceder un cliente API. Al crear un cliente API, elija entre las acciones de lectura y escritura que puede ejecutar en diferentes grupos de puntos finales API. Los ámbitos que establezca se aplican a los tokens de acceso generados por las credenciales del cliente API, y solo se concede acceso a los puntos finales autorizados para su uso.
Los clientes API tienen uno o varios ámbitos API. Los ámbitos permiten el acceso a API específicas de CrowdStrike y describen las acciones que puede realizar un cliente API. Utilice los ámbitos para ajustar los permisos de sus clientes API. Los tokens de acceso OAuth 2.0 se aplican a los recursos configurados en el cliente API.
Si un cliente API no tiene los permisos mínimos asignados, es posible que la integración no funcione. Como mínimo, asegúrese de proporcionar los siguientes ámbitos al cliente API. Estos permisos de ámbito son necesarios para que la integración se realice correctamente.
Ámbitos necesarios en la versión 7.0:
| Ámbito | Requisito |
|---|---|
| Alertas | Leer |
| Hosts | Lectura/escritura |
| Grupos de hosts | Leer/Escribir |
| Descarga de sensores | Leer |
- Haga clic en Habilitar.
Su estado de CrowdStrike debería aparecer ahora como habilitado y conectado, y puede comprobar si las credenciales de autenticación utilizadas son válidas haciendo clic en el botón Editar del widget Configuración .
Figura 2: Estado de la integración de CrowdStrike en NinjaOne
Asignar organizaciones de NinjaOne a grupos de hosts de CrowdStrike
El proceso de «asignación» asocia las organizaciones de NinjaOne con los grupos de gestión de hosts de CrowdStrike, lo que garantiza que se establezcan y se informen los grupos de dispositivos o las políticas adecuados en NinjaOne. Este proceso está automatizado y se realiza sin la intervención del usuario o del administrador.
Cuando habilita la integración de CrowdStrike en NinjaOne, los grupos de gestión de hosts se crean automáticamente en CrowdStrike para cada organización NinjaOne existente tan pronto como habilita la integración de CrowdStrike. La creación de un grupo de hosts en CrowdStrike no requiere habilitarlo en la política ni implementar el antivirus CrowdStrike. Estos nuevos hosts de grupos dinámicos reflejan el nombre de la organización utilizado en NinjaOne y se actualizan perfectamente cuando se crean o eliminan organizaciones NinjaOne.
NinjaOne etiqueta cualquier dispositivo con el agente NinjaOne y un sensor CrowdStrike instalado con una etiqueta de agrupación Falcon (identificador único) en la organización NinjaOne. El etiquetado permite asociar correctamente las actividades y amenazas con el grupo de hosts CrowdStrike correspondiente.
Configurar los ámbitos de la API para la multitenencia
Si utiliza la multitenencia en NinjaOne, debe configurar nuevos ámbitos para el cliente API. Para obtener más información, consulte NinjaOne y CrowdStrike: integración multitenencia.
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre la integración de NinjaOne con CrowdStrike: