Sujet
Cet article explique comment déployer CrowdStrike sur vos appareils après avoir activé l'intégration dans NinjaOne, activé les notifications pour les activités antivirus et permis à vos techniciens de prendre des mesures contre les menaces détectées.
Environnement
- Fournisseurs intégrés à NinjaOne
- Antivirus CrowdStrike
Description
Une fois CrowdStrike activé dans NinjaOne, l'intégration est gérée par des politiques depuis NinjaOne. La politique déclenche l'agent NinjaOne pour détecter l'installation existante du capteur CrowdStrike sur le terminal et effectuer l'installation automatiquement si le capteur n'est pas présent. Si un appareil dispose déjà de CrowdStrike avant l'intégration de NinjaOne, l'agent NinjaOne peut lire l'ID de l'agent existant.
Avant de pouvoir déployer CrowdStrike comme outil antivirus sur vos terminaux, vous devez activer l'intégration dans NinjaOne. Pour ce faire, consultez le guide d'intégration CrowdStrike.
Sélectionnez ensuite une catégorie pour en savoir plus :
- Déployer CrowdStrike au niveau de la politique
- Activer les notifications pour les activités
- Définir les autorisations utilisateur pour CrowdStrike
- Afficher les statuts de santé et les journaux d'activité de CrowdStrike
Déployer CrowdStrike au niveau de la politique
La sélection de CrowdStrike comme antivirus de la politique invite l'agent NinjaOne à installer le capteur CrowdStrike sur le ou les terminaux concernés.
- Accédez à Administration → Politiques et sélectionnez la politique qui nécessite l'antivirus CrowdStrike ou créez-en une nouvelle.
- Ouvrez l'onglet Antivirus et sélectionnez CrowdStrike dans le menu déroulant. Si un autre antivirus est déjà sélectionné, vous devez d'abord sélectionner « Désactivé » avant de sélectionner « CrowdStrike ». Remarque importante : si vous passez d'un autre antivirus à CrowdStrike, NinjaOne ne désinstalle pas l'antivirus lorsque vous changez d'antivirus. Vous devez vous rendre sur le portail de l'antivirus pour le désinstaller. Si vous essayez d'installer CrowdStrike comme antivirus et que les appareils associés à cette politique ont déjà un antivirus installé, vous recevrez une notification pour cet appareil indiquant que l'installation de CrowdStrike a échoué et que vous devez désinstaller l'autre antivirus.
- Sélectionnez l'une des options à côté de « Installation » pour configurer.
Figure 1 : Options d'installation de l'antivirus CrowdStrike dans NinjaOne
- Si un autre logiciel antivirus est installé, alors notifier : Sélectionnezsi vous souhaitez poursuivre l'installation ou ne prendre aucune mesure.
- Si l'installation de CrowdStrike échoue, réessayez : vous pouvez désactiver cette option en basculant le commutateur ou en définissant la fréquence sur quotidienne (à une heure spécifiée) ou à intervalles réguliers (toutes les [#] heures).
- Cliquez sur Enregistrer.
Lorsque vous définissez l'antivirus sur CrowdStrike au niveau de la politique, la carte d'application CrowdStrike s'affiche sur le tableau de bord de l'appareil sous Paramètres. Cliquez sur le lien hypertexte CrowdStrike Device Link pour sélectionner un hôte spécifique à afficher dans le panneau latéral de la console CrowdStrike.
Si vous désactivez CrowdStrike au niveau de la politique ou modifiez la politique de l'appareil pour qu'elle n'utilise pas CrowdStrike, NinjaOne supprimera toutes les menaces de la section Santé de l'appareil ; cependant, le capteur CrowdStrike Falcon ne sera pas désinstallé de ces appareils tant que vous n'aurez pas suivi les instructions de désinstallation de la console du fournisseur CrowdStrike Falcon.
Si l'installation échoue, une notification s'affiche sous l'onglet « Overview » (Aperçu) dans la section « Health » (Santé). Cliquez sur la flèche pour utiliser l'option « Retry Install » (Réessayer l'installation).
Figure 2 : Réessayer une installation qui a échoué dans NinjaOne
Activer les notifications pour les activités
- Accédez à la page de configuration des politiques.
- Dans l'onglet Activités de la politique, développez la section CrowdStrike et cliquez sur toute activité pour laquelle vous souhaitez activer les notifications ou créer des tickets.
Figure 3 : Configurer les actions de notification et de ticket pour CrowdStrike dans NinjaOne
- Pour obtenir des instructions sur la configuration des champs d'activité, consultez la section Flux d'activité.
- Cliquez sur Enregistrer dans le coin supérieur droit de la page des politiques pour enregistrer les modifications.
Définir les autorisations utilisateur pour CrowdStrike
NinjaOne accorde automatiquement aux administrateurs système l'accès à CrowdStrike. Pour activer d'autres techniciens et utilisateurs, suivez les étapes ci-dessous. Ressource supplémentaire : Autorisations utilisateur : options d'autorisation.
- Accédez à Administration → Comptes et sélectionnez un compte ou un rôle de technicien.
- Ouvrez l'onglet Système et sélectionnez « Autorisé » pour Configurer CrowdStrike.
- Cliquez sur Enregistrer.
Afficher les états de santé et les journaux d'activité CrowdStrike
Une fois que vous avez installé le capteur CrowdStrike ou que l'agent NinjaOne a détecté un capteur CrowdStrike existant, les activités CrowdStrike Falcon apparaissent depuis le niveau de l'organisation NinjaOne jusqu'au niveau de l'appareil.
Les techniciens peuvent filtrer ou rechercher uniquement les événements CrowdStrike. Ces événements peuvent inclure des commentaires sur l'installation/la désinstallation de l'agent, des menaces et autres. NinjaOne surveille en permanence le capteur CrowdStrike de chaque appareil dans chaque organisation NinjaOne où vous avez déployé CrowdStrike.
NinjaOne identifie et affiche les menaces potentielles dans la section Santé du tableau de bord de l'appareil. Lorsqu'une menace potentielle est détectée, NinjaOne établit un lien vers la menace dans CrowdStrike, ce qui permet aux utilisateurs de NinjaOne d'accéder rapidement à leur console CrowdStrike Falcon pour effectuer des recherches et remédier à la menace.
Figure 4 : Emplacement de l'état de santé et de l'activité de CrowdStrike dans NinjaOne
Prendre des mesures contre les menaces
Toutes les mesures de remédiation des menaces sont effectuées dans la console CrowdStrike Falcon.
Lorsqu'une menace potentielle est détectée, CrowdStrike fournit à NinjaOne un identifiant de menace unique utilisé pour la correction. Cliquez sur l'état de santé dans le tableau de bord de l'appareil pour accéder à la menace dans la plateforme CrowdStrike, où vous pouvez prendre des mesures.
Figure 5 : Remédier à une menace pour CrowdStrike à partir de NinjaOne(cliquez pour agrandir)
Une fois que vous avez corrigé une menace depuis CrowdStrike avec l'une des étiquettes d'état répertoriées ci-dessous, NinjaOne enregistre l'activité et supprime la menace de la section Santé de l'appareil dans l'interface utilisateur NinjaOne.
Statuts de remédiation CrowdStrike :
- Vrai positif
- Faux positif
- Fermé
- Ignoré
Vous pouvez également prendre des mesures contre une menace à partir du tableau de bord du système et/ou de l'organisation. Sélectionnez l'appareil concerné dans l'onglet Appareils → Menaces du tableau de bord de l'organisation, puis cliquez sur Remédier à la menace dans CrowdStrike en haut de la liste. Vous ne pouvez remédier qu'à une seule menace à la fois.
Figure 6 : Remédier à une menace pour CrowdStrike à partir du tableau de bord de l'organisation NinjaOne
Filtrer l'activité CrowdStrike
Les utilisateurs peuvent filtrer les journaux d'activité pour les événements CrowdStrike.
- Dans le tableau de bord de l'appareil, cliquez sur l'onglet Activités et sélectionnez Tout.
- Sélectionnez « CrowdStrike » dans le menu déroulant Type(s) pour afficher tous les événements CrowdStrike dans le menu déroulant Filtre.