Vous êtes déjà client NinjaOne ? Connectez-vous pour consulter d'autres guides et les dernières nouvelles.

Intégrations NinjaOne : activer CrowdStrike

Sujet

NinjaOne s'intègre à CrowdStrike Falcon (FalconInsight XDR et Falcon Prevent), une solution intégrée basée sur le cloud qui combine une plateforme de détection et de réponse aux incidents sur les terminaux (EDR) et une plateforme de protection des terminaux (EPP).

Environnement

  • Intégrations NinjaOne
  • CrowdStrike

Description

Avertissement : CrowdStrike a été conçu pour remplacer complètement un antivirus. NinjaOne ne recommande pas de l'utiliser avec d'autres fournisseurs de solutions de détection et de réponse sur les terminaux.

NinjaOne ne désinstalle pas l'antivirus des appareils si vous désactivez CrowdStrike dans NinjaOne.

NinjaOne utilise la version généralement disponible du programme d'installation mis en cache du capteur CrowdStrike Falcon, car elle est reconnue pour être compatible avec les appareils. L'intégration NinjaOne-CrowdStrike suit les politiques du capteur CrowdStrike Falcon, de sorte que le capteur Falcon sera mis à niveau ou rétrogradé après l'installation, en fonction de vos paramètres CrowdStrike.

L'intégration CrowdStrike est pilotée par des politiques depuis NinjaOne lorsqu'elle est activée. NinjaOne mappe automatiquement les organisations aux groupes d'hôtes dynamiques CrowdStrike (groupes d'appareils standard) en fonction des balises de regroupement Falcon.

La politique déclenche l'agent de gestion de la surveillance à distance (RMM) de NinjaOne pour détecter l'installation existante du capteur CrowdStrike sur le terminal et effectuer automatiquement l'installation si le capteur n'est pas présent. Si un appareil dispose déjà de CrowdStrike avant que vous n'activiez l'intégration, l'agent NinjaOne peut lire l'ID d'agent existant.

Sélectionnez une catégorie pour en savoir plus :

Assistance

Falcon Sensor 7.19.18910 sur Microsoft Windows et Apple macOS.

NinjaOne ne prend pas en charge les jetons d'installation CrowdStrike. À la place, ce processus utilisera des jetons d'accès.

Prérequis

Vous devez remplir les conditions suivantes avant de procéder à l'intégration :

  • Disposer d'une licence CrowdStrike Falcon valide.
  • Être en mesure de générer des jetons d'interface de programmation d'application (API) dans la console CrowdStrike Falcon.
  • Avoir accès aux applications CrowdStrike : Falcon Prevent et Falcon Insight XDR (détection et réponse étendues).
  • Disposer d'un compte parent CrowdStrike (NinjaOne ne surveille actuellement pas les comptes hérités dans CrowdStrike Flight Control pour les organisations).

Si votre instance CrowdStrike nécessite l'ajout d'adresses IP à une liste blanche, consultez les informations sur la liste blanche globale de NinjaOne.

Principales fonctionnalités

L'intégration de CrowdStrike dans NinjaOne offre les avantages suivants.

  • Accédez aux journaux d'activité des capteurs CrowdStrike sur les tableaux de bord de l'organisation et des appareils. Lorsque la portée du client API est manquante, un journal d'événements s'affiche dans l'onglet Activités du tableau de bord.
  • Gérez l'authentification des clients multi-locataires CrowdStrike ou les groupes d'hôtes.
  • Consultez les détails des appareils et la section « État de santé » pour détecter les menaces, les virus et les problèmes d'installation. Lorsque CrowdStrike détecte une menace sur un appareil, NinjaOne affiche immédiatement une alerte. En cliquant sur l'alerte dans NinjaOne, le technicien peut accéder à cet appareil dans la console CrowdStrike pour mener une enquête et appliquer des mesures correctives.

Activer l'intégration CrowdStrike

Pour activer l'intégration CrowdStrike dans la console NinjaOne, procédez comme suit :

  1. Accédez à AdministrationApplications et cliquez sur Ajouter des applications. Sélectionnez CrowdStrike dans la liste des applications tierces disponibles.

admin_apps_add app.png
Figure 1: Ajouter des applications tierces dans NinjaOne

La page des paramètres de l'application s'affiche.

  1. Cliquez sur Activer. La boîte de dialogue de configuration de l'application s'affiche.
  2. Lisez attentivement les conditions décrivant le processus de migration dans la boîte de dialogue de configuration de CrowdStrike, puis cochez la case en bas de la page pour activer le bouton Accepter.
  3. Accédez à https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys (l'URL de base varie en fonction de la localisation géographique ou de la licence cloud) et sélectionnez un client API ou créez-en un nouveau. Vous pouvez réinitialiser votre secret client à partir de cette page si vous l'avez oublié. Saisissez les informations requises pour confirmer votre client API, puis provisionnez vos champs d'application API :
  • Chaque client API se voit attribuer un ou plusieurs champs d'application API. Les champs d'application sont des autorisations qui spécifient les points de terminaison et les méthodes auxquels un client API peut accéder. Lors de la création d'un client API, choisissez parmi les actions de lecture et d'écriture que vous pouvez exécuter sur différents groupes de points de terminaison API. Les champs d'application que vous définissez s'appliquent aux jetons d'accès générés par les informations d'identification du client API, et l'accès n'est accordé qu'aux points de terminaison dont l'utilisation est autorisée.
  • Les clients API disposent d'un ou plusieurs champs d'application API. Les champs d'application permettent d'accéder à des API CrowdStrike spécifiques et décrivent les actions qu'un client API peut effectuer. Utilisez les champs d'application pour affiner les autorisations de vos clients API. Les jetons d'accès OAuth 2.0 s'appliquent aux ressources configurées dans le client API.

    Si un client API ne dispose pas des autorisations minimales qui lui sont attribuées, l'intégration risque de ne pas fonctionner. Veillez au minimum à attribuer les champs d'application suivants au client API. Ces autorisations sont nécessaires pour que l'intégration aboutisse.

Portées requises pour la version 7.0 :

PortéeExigence
AlertesLecture
HôtesLecture/Écriture
Groupes d'hôtesLecture/Écriture
Téléchargement des capteursLecture
  1. Cliquez sur Activer.

Votre statut CrowdStrike devrait désormais s'afficher comme activé et connecté, et vous pouvez vérifier si les informations d'authentification utilisées sont valides en cliquant sur le bouton Modifier dans le widget Paramètres.

crowdstrike app_connected.png
Figure 2: Statut d'intégration de CrowdStrike dans NinjaOne

Mapper les organisations NinjaOne aux groupes d'hôtes CrowdStrike

Reportez-vous à la section NinjaOne Endpoint Management : Flux de notifications d'activité des appareils et du système pour configurer les activités « Invalid CrowdStrike Credential » et « CrowdStrike Integration Missing API Client Scope ».

Configurer les portées API pour la multi-location

Si vous utilisez la multi-location dans NinjaOne, vous devez configurer de nouvelles portées pour le client API. Pour en savoir plus, consultez NinjaOne et CrowdStrike : Intégration multi-location.

Ressources supplémentaires

Consultez les ressources suivantes pour en savoir plus sur l'intégration de NinjaOne avec CrowdStrike :

FAQ

Pour aller plus loin