Thème
NinjaOne s'intègre à CrowdStrike Falcon (FalconInsight XDR et Falcon Prevent), une solution intégrée de détection et de réponse aux incidents au niveau des terminaux (EDR) et de protection des terminaux (EPP) basée sur le cloud.
Environnement
Intégrations NinjaOne
Description
|
Avertissement : CrowdStrike a été conçu pour remplacer complètement les antivirus. NinjaOne ne recommande pas de l'utiliser avec d'autres fournisseurs de solutions de détection et de réponse aux incidents sur les terminaux. NinjaOne ne désinstalle pas l'antivirus des appareils si vous désactivez CrowdStrike dans NinjaOne. NinjaOne utilise la version généralement disponible du programme d'installation en cache CrowdStrike Falcon Sensor, car elle est connue pour être compatible avec les appareils. L'intégration NinjaOne CrowdStrike suit les politiques du capteur CrowdStrikeFalcon afin que le capteur Falcon soit mis à niveau ou rétrogradé après l'installation, en fonction de vos paramètres CrowdStrike. |
L'intégration CrowdStrike est basée sur des politiques définies dans NinjaOne lorsqu'elle est activée. NinjaOne mappe automatiquement les organisations aux groupes d'hôtes dynamiques CrowdStrike (groupes d'appareils standard) en fonction des balises de regroupement Falcon.
La politique déclenche l'agent de gestion de la surveillance à distance (RMM) NinjaOne pour détecter l'installation existante du capteur CrowdStrike sur le terminal et effectuer automatiquement l'installation si le capteur n'est pas présent. Si un appareil dispose déjà de CrowdStrike avant que vous n'activiez l'intégration, l'agent NinjaOne peut lire l'ID de l'agent existant.
Sélectionnez une catégorie pour en savoir plus :
- Assistance
- Prérequis
- Principales fonctionnalités
- Activer l'intégration CrowdStrike
- Mapper les organisations NinjaOne aux groupes d'hôtes CrowdStrike
- Configurer les champs d'application de l'API pour la multi-location
- Ressources supplémentaires
Assistance
Falcon Sensor 7.19.18910 sur Microsoft Windows et Apple macOS.
Conditions
Tenez compte des remarques suivantes avant d'activer l'intégration :
- L'intégration avec NinjaOne nécessite une licence CrowdStrike Falcon existante.
- Capacité à générer des jetons d'interface de programmation d'application (API) dans la console CrowdStrike Falcon.
- Accès aux applications CrowdStrike : Falcon Prevent et Falcon Insight XDR (détection et réponse étendues).
- Compte parent CrowdStrike (NinjaOne ne surveille actuellement pas les comptes hérités dans CrowdStrike Flight Control pour les organisations).
- Si votre instance CrowdStrike nécessite l'ajout d'adresses IP à la liste blanche, consultez les informations relatives à la liste blanche globale (liste blanche) de NinjaOne.
Principales fonctionnalités
L'intégration de CrowdStrike dans NinjaOne offre les avantages suivants.
- Les journaux d'activité du capteur CrowdStrike s'affichent sur les tableaux de bord Organisation et Appareil. Lorsque la portée du client API est manquante, un journal d'événements s'affiche dans Activités sur le tableau de bord.
Gérez l'authentification des clients multi-locataires CrowdStrike ou les groupes d'hôtes.
- Consultez les détails de l'appareil et la section « Santé » pour détecter les menaces, les virus et les problèmes d'installation. Lorsque CrowdStrike détecte une menace sur un appareil, NinjaOne affiche immédiatement une alerte. En cliquant sur l'alerte dans NinjaOne, le technicien peut accéder à cet appareil dans la console CrowdStrike pour l'examiner et y remédier.
Activer l'intégration CrowdStrike
Pour activer l'intégration CrowdStrike dans la console NinjaOne, procédez comme suit :
- Accédez à Administration → Applications et cliquez sur Ajouter des applications. Sélectionnez CrowdStrike dans la liste des applications tierces disponibles.
Figure 1 : Ajouter des applications tierces dans NinjaOne
La page des paramètres de l'application s'affiche.
- Cliquez sur Activer.
La fenêtre modale de configuration de l'application s'affiche. - Lisez attentivement les conditions décrivant le processus de migration dans la fenêtre modale Configuration de CrowdStrike, puis cochez la case en bas de la page pour activer le bouton Accepter.
- Accédez à https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys ( l'URL de base varie en fonction de la géolocalisation ou de la licence cloud) et sélectionnez un client API ou créez-en un nouveau. Vous pouvez réinitialiser votre secret client à partir de cette page si vous l'avez oublié. Saisissez les informations requises pour confirmer votre client API, puis provisionnez vos champs d'application API :
- Chaque client API se voit attribuer une ou plusieurs portées API. Les portées sont des autorisations qui spécifient les points de terminaison et les méthodes auxquels un client API peut accéder. Lors de la création d'un client API, choisissez parmi les actions de lecture et d'écriture que vous pouvez exécuter sur différents groupes de points de terminaison API. Les portées que vous définissez sont appliquées aux jetons d'accès générés par les informations d'identification du client API, et l'accès n'est accordé qu'aux points de terminaison autorisés à être utilisés.
-
Les clients API ont un ou plusieurs champs d'application API. Les champs d'application permettent d'accéder à des API CrowdStrike spécifiques et décrivent les actions qu'un client API peut effectuer. Utilisez les champs d'application pour affiner les autorisations de vos clients API. Les jetons d'accès OAuth 2.0 s'appliquent aux ressources configurées dans le client API.
Si un client API ne dispose pas des autorisations minimales qui lui sont attribuées, l'intégration peut ne pas fonctionner. Veillez au minimum à attribuer les champs d'application suivants au client API. Ces autorisations de champ d'application sont nécessaires pour que l'intégration réussisse.
Portées requises pour la version 7.0 :
| Portée | Exigence |
|---|---|
| Alertes | Lecture |
| Hôtes | Lecture/écriture |
| Groupes d'hôtes | Lecture/Écriture |
| Téléchargement du capteur | Lecture |
- Cliquez sur Activer.
Votre statut CrowdStrike devrait désormais apparaître comme activé et connecté. Vous pouvez vérifier la validité des informations d'authentification utilisées en cliquant sur le bouton Modifier dans le widget Paramètres .
Figure 2 : Statut d'intégration de CrowdStrike dans NinjaOne
Mapper les organisations NinjaOne aux groupes d'hôtes CrowdStrike
Le processus de « mappage » associe les organisations NinjaOne aux groupes de gestion d'hôtes CrowdStrike, garantissant ainsi que le groupe d'appareils ou les politiques appropriés sont définis et signalés dans NinjaOne. Ce processus est automatisé et s'effectue sans intervention de l'utilisateur ou de l'administrateur.
Lorsque vous activez l'intégration CrowdStrike dans NinjaOne, des groupes de gestion d'hôtes sont automatiquement créés dans CrowdStrike pour chaque organisation NinjaOne existante dès que vous activez l'intégration CrowdStrike. La création d'un groupe d'hôtes dans CrowdStrike ne nécessite pas de l'activer dans la politique ni de déployer l'antivirus CrowdStrike. Ces nouveaux hôtes de groupe dynamique reflètent le nom de l'organisation utilisé dans NinjaOne et sont mis à jour de manière transparente lorsque des organisations NinjaOne sont créées ou supprimées.
NinjaOne marque tout appareil sur lequel l'agent NinjaOne et un capteur CrowdStrike sont installés avec une balise de regroupement Falcon (identifiant unique) dans l'organisation NinjaOne. Le marquage permet d'associer correctement les activités et les menaces au groupe d'hôtes CrowdStrike correspondant.
Configurer les champs d'application de l'API pour la multi-location
Si vous utilisez la multi-location dans NinjaOne, vous devez configurer de nouvelles portées pour le client API. Pour en savoir plus, consultez NinjaOne et CrowdStrike : intégration multi-location.
Ressources supplémentaires
Consultez les ressources suivantes pour en savoir plus sur l'intégration de NinjaOne avec CrowdStrike :