Sujet
Cet article explique comment déployer CrowdStrike sur vos appareils après avoir activé l'intégration dans NinjaOne, activé les notifications pour les activités antivirus et permis à vos techniciens d'intervenir sur les menaces détectées.
Environnement
- Fournisseurs intégrés à NinjaOne
- Antivirus CrowdStrike
Description
Une fois CrowdStrike activé dans NinjaOne, l'intégration est pilotée par des règles depuis NinjaOne. La règle déclenche l'agent NinjaOne pour détecter l'installation existante du capteur CrowdStrike sur le terminal et effectuer l'installation automatiquement si le capteur n'est pas présent. Si un appareil dispose déjà de CrowdStrike avant l'intégration de NinjaOne, l'agent NinjaOne peut lire l'ID d'agent existant.
Avant de pouvoir déployer CrowdStrike comme outil antivirus pour vos terminaux, vous devez activer l'intégration dans NinjaOne. Pour ce faire, consultez le guide d'intégration CrowdStrike.
Sélectionnez ensuite une catégorie pour en savoir plus :
- Déployer CrowdStrike au niveau des politiques
- Activer les notifications pour les activités
- Définir les autorisations utilisateur pour CrowdStrike
- Afficher les états de santé et les journaux d'activité de CrowdStrike
Déployer CrowdStrike au niveau de la politique
La sélection de CrowdStrike comme antivirus de la politique invite l'agent NinjaOne à installer le capteur CrowdStrike sur le ou les terminaux concernés.
- Accédez à Administration → Politiques et sélectionnez la politique qui nécessite l'antivirus CrowdStrike ou créez-en une nouvelle.
- Ouvrez l'onglet Antivirus et sélectionnez CrowdStrike dans le menu déroulant. Si un autre antivirus est déjà sélectionné, vous devez d'abord sélectionner « Désactivé » avant de sélectionner « CrowdStrike ». Remarque importante : si vous passez d’un autre antivirus à CrowdStrike, NinjaOne ne se désinstalle pas lorsque vous changez d’antivirus. Vous devez vous rendre sur le portail de l’antivirus pour procéder à la désinstallation. Si vous essayez d’installer CrowdStrike comme antivirus et que les appareils associés à cette politique ont déjà un antivirus installé, vous recevrez une notification pour cet appareil indiquant que l’installation de CrowdStrike a échoué et que vous devez désinstaller l’autre antivirus.
- Sélectionnez l'une des options à côté de « Installation » pour configurer.
Figure 1 : Options d’installation de l’antivirus CrowdStrike dans NinjaOne
- Si un autre logiciel antivirus est installé, alors notifier : sélectionnezsi vous souhaitez poursuivre l'installation ou ne prendre aucune mesure.
- Si l'installation de CrowdStrike échoue, réessayer : vous pouvez désactiver cette option en basculant le commutateur ou en définissant la planification sur quotidien (à une heure spécifiée) ou à intervalles réguliers (toutes les [#] heures).
- Cliquez sur Enregistrer.
Lorsque vous définissez l'antivirus sur CrowdStrike au niveau de la politique, la fiche d'application CrowdStrike s'affiche sur le tableau de bord de l'appareil sous Paramètres. Cliquez sur le lien CrowdStrike Device Link pour sélectionner un hôte spécifique à afficher dans le panneau latéral de la console CrowdStrike.
Si vous désactivez CrowdStrike au niveau de la stratégie ou si vous modifiez la stratégie de l'appareil pour qu'elle n'utilise pas CrowdStrike, NinjaOne supprimera toutes les menaces de la section État de l'appareil ; toutefois, le capteur CrowdStrike Falcon ne sera pas désinstallé de ces appareils tant que vous n'aurez pas suivi les instructions de désinstallation de la console du fournisseur CrowdStrike Falcon.
Si l'installation échoue, une notification s'affiche sous l'onglet « Overview » (Aperçu) dans la section « Health » (État). Cliquez sur la flèche pour utiliser l'option « Retry Install » (Réessayer l'installation).
Figure 2 : Réessayer une installation ayant échoué dans NinjaOne
Activer les notifications pour les activités
- Accédez à la page de configuration de la politique.
- Dans l'onglet Activités de la politique, développez la section CrowdStrike et cliquez sur n'importe quelle activité pour laquelle vous souhaitez activer les notifications ou créer des tickets.
Figure 3 : Configurer les actions de notification et de ticket pour CrowdStrike dans NinjaOne
- Pour obtenir des instructions sur la configuration des champs d'activité, veuillez consulter la section Flux d'activité.
- Cliquez sur Enregistrer dans le coin supérieur droit de la page de la politique pour appliquer les modifications.
Définir les autorisations utilisateur pour CrowdStrike
NinjaOne accorde automatiquement l'accès à CrowdStrike aux administrateurs système. Pour autoriser d'autres techniciens et utilisateurs, suivez les étapes ci-dessous. Ressource supplémentaire : Autorisations utilisateur : options d'autorisation.
- Accédez à Administration → Comptes et sélectionnez un compte ou un rôle de technicien.
- Ouvrez l'onglet Système et sélectionnez « Autorisé » pour Configurer CrowdStrike.
- Cliquez sur Enregistrer.
Afficher les états de santé et les journaux d'activité de CrowdStrike
Une fois que vous avez installé le capteur CrowdStrike ou que l'agent NinjaOne a détecté un capteur CrowdStrike existant, les activités de CrowdStrike Falcon s'affichent depuis le niveau de l'organisation NinjaOne jusqu'au niveau de l'appareil.
Les techniciens peuvent filtrer ou rechercher uniquement les événements CrowdStrike. Ces événements peuvent inclure des informations sur l'installation/la désinstallation de l'agent, des menaces et autres. NinjaOne surveille en permanence le capteur CrowdStrike de chaque appareil dans chaque organisation NinjaOne où vous avez déployé CrowdStrike.
NinjaOne identifie et affiche les menaces potentielles dans la section État de santé du tableau de bord de l'appareil. Lorsqu'une menace potentielle est détectée, NinjaOne établit un lien vers la menace dans CrowdStrike, permettant aux utilisateurs de NinjaOne d'accéder rapidement à leur console CrowdStrike Falcon pour effectuer des recherches et remédier à la menace.
Figure 4 : Emplacement de l'état de santé et de l'activité de CrowdStrike dans NinjaOne
Réagir aux menaces
Toutes les mesures de remédiation des menaces s'effectuent au sein de la console CrowdStrike Falcon.
Lorsqu'une menace potentielle est détectée, CrowdStrike fournit à NinjaOne un identifiant unique de la menace utilisé pour la correction. Cliquez sur l'état de santé dans le tableau de bord de l'appareil pour accéder à la menace sur la plateforme CrowdStrike, où vous pouvez prendre des mesures.
Figure 5 : Remédier à une menace pour CrowdStrike depuis NinjaOne(cliquez pour agrandir)
Une fois que vous avez corrigé une menace depuis CrowdStrike avec l'un des statuts répertoriés ci-dessous, NinjaOne enregistre l'activité et supprime la menace de la section État de santé de l'appareil dans l'interface utilisateur de NinjaOne.
Statuts de remédiation CrowdStrike :
- Vrai positif
- Faux positif
- Clôturé
- Ignoré
Vous pouvez également intervenir sur une menace à partir du tableau de bord du système et/ou de l'organisation. Sélectionnez l'appareil concerné dans l'onglet Appareils → Menaces du tableau de bord de l'organisation, puis cliquez sur Corriger la menace dans CrowdStrike en haut de la liste. Vous ne pouvez corriger qu'une seule menace à la fois.
Figure 6 : Remédier à une menace pour CrowdStrike depuis le tableau de bord de l'organisation NinjaOne
Filtrer les activités CrowdStrike
Les utilisateurs peuvent filtrer les journaux d'activité pour les événements CrowdStrike.
- Dans le tableau de bord de l'appareil, cliquez sur l'onglet Activités et sélectionnez Tout.
- Sélectionnez « CrowdStrike » dans le menu déroulant Type(s) pour afficher tous les événements CrowdStrike dans le menu déroulant Filtre.