Configura CrowdStrike come antivirus in NinjaOne

Argomento

Questo articolo spiega come distribuire CrowdStrike sui dispositivi dopo aver abilitato l'integrazione in NinjaOne, attivato le notifiche relative alle attività antivirus e consentito ai tecnici di intervenire sulle minacce rilevate.  

Ambiente

• Fornitori integrati in NinjaOne
• Antivirus CrowdStrike

Descrizione

Con CrowdStrike abilitato in NinjaOne, l'integrazione è guidata da criteri all'interno di NinjaOne. Il criterio attiva l'agente NinjaOne per rilevare l'installazione esistente del sensore CrowdStrike sull'endpoint ed eseguire l'installazione automaticamente se il sensore non è presente. Se su un dispositivo è già installato CrowdStrike prima dell'integrazione con NinjaOne, l'agente NinjaOne può leggere l'ID agente esistente. 

Prima di poter distribuire CrowdStrike come strumento antivirus per gli endpoint, è necessario abilitare l'integrazione in NinjaOne. A tal fine, consultare CrowdStrike: Guida all'integrazione. 

Quindi, seleziona una categoria per saperne di più: 

• Distribuire CrowdStrike a livello di policy
• Abilitare le notifiche per le attività
• Impostare le autorizzazioni utente per CrowdStrike
• Visualizza gli stati di integrità e i registri delle attività di CrowdStrike
  • Intervenire sulle minacce
  • Filtrare per attività di CrowdStrike

Distribuisci CrowdStrike a livello di policy

Selezionando CrowdStrike come antivirus della policy, l'agente NinjaOne installa il sensore CrowdStrike sugli endpoint interessati. 

1. Vai su Amministrazione → Politiche e seleziona la politica che richiede l'antivirus CrowdStrike oppure creane una nuova.
2. Aprire la scheda Antivirus e selezionare CrowdStrike dal menu a discesa. Se è già selezionato un altro antivirus, è necessario selezionare prima "Disabilitato" prima di selezionare "CrowdStrike". 
   Nota importante: se si passa da un antivirus diverso a CrowdStrike, NinjaOne non si disinstalla quando si cambia l'antivirus. È necessario andare sul portale dell'antivirus per disinstallarlo. Se si tenta di installare CrowdStrike come antivirus e i dispositivi associati a quella politica hanno già un antivirus installato, si riceverà un'attività per quel dispositivo che indica che l'installazione di CrowdStrike non è riuscita e che è necessario disinstallare l'altro antivirus. 
3. Selezionare una delle opzioni accanto a Installazione per configurare. 

Figura 1: Opzioni di installazione per l'antivirus CrowdStrike in NinjaOne

• Se è installato un altro software antivirus, inviare una notifica: selezionarese si desidera procedere con l'installazione o non intraprendere alcuna azione.
• Se l'installazione di CrowdStrike non va a buon fine, riprovare: è possibile disattivare questa opzione spostando l'interruttore a levetta o impostando la pianificazione su giornaliera (a un'ora specificata) o a intervalli (ogni [#] ore).

4. Fare clic su Salva.

Quando si imposta l'antivirus su CrowdStrike a livello di policy, la scheda dell'applicazione CrowdStrike viene visualizzata nella dashboard del dispositivo in Impostazioni. Fare clic sul collegamento CrowdStrike Device Link per selezionare un host specifico da visualizzare nel pannello laterale della console CrowdStrike. 

Se si disabilita CrowdStrike a livello di policy o si modifica la policy del dispositivo con una che non utilizza CrowdStrike, NinjaOne rimuoverà tutte le minacce dalla sezione Stato del dispositivo; tuttavia, CrowdStrike Falcon Sensor non verrà disinstallato da tali dispositivi finché non si seguiranno le istruzioni di disinstallazione dalla console del fornitore di CrowdStrike Falcon. 

Se l'installazione non va a buon fine, viene visualizzata una notifica nella scheda Panoramica nella sezione Stato. Fare clic sulla freccia per utilizzare l'opzione Riprova installazione. 

Figura 2: Riprova un'installazione non riuscita in NinjaOne

Abilitare le notifiche per le attività

1. Vai alla pagina di configurazione delle politiche.
2. Dalla scheda Attività della policy, espandi la sezione CrowdStrike e fai clic su qualsiasi attività per la quale desideri abilitare le notifiche o creare ticket. 

Figura 3: Configurare le azioni di notifica e ticket per CrowdStrike in NinjaOne

3. Per istruzioni sulla configurazione dei campi delle attività, consultare Feed delle attività.
4. Fare clic su Salva nell'angolo in alto a destra della pagina della policy per applicare le modifiche. 

Imposta le autorizzazioni utente per CrowdStrike

NinjaOne concede automaticamente agli amministratori di sistema l'accesso a CrowdStrike. Per abilitare altri tecnici e utenti, segui i passaggi riportati di seguito. Risorsa aggiuntiva: Autorizzazioni utente: Opzioni di autorizzazione.

1. Vai su Amministrazione → Account e seleziona un account o un ruolo di tecnico.
2. Apri la scheda Sistema e seleziona "Consentito" per Configura CrowdStrike.
3. Fai clic su Salva.

Visualizza gli stati di integrità e i registri delle attività di CrowdStrike

Una volta installato il sensore CrowdStrike o quando l'agente NinjaOne rileva un sensore CrowdStrike esistente, le attività di CrowdStrike Falcon vengono visualizzate a partire dal livello dell'organizzazione NinjaOne fino al livello del dispositivo.

I tecnici possono filtrare o cercare solo gli eventi CrowdStrike. Questi eventi potrebbero includere feedback sull'installazione/disinstallazione dell'agente, minacce e altro. NinjaOne monitora continuamente il sensore CrowdStrike di ogni dispositivo in ciascuna organizzazione NinjaOne in cui è stato distribuito CrowdStrike.

NinjaOne identifica e visualizza le potenziali minacce nella sezione Stato di integrità della dashboard del dispositivo. Quando viene rilevata una potenziale minaccia, NinjaOne crea un collegamento alla minaccia in CrowdStrike, consentendo agli utenti di NinjaOne di passare rapidamente alla console di CrowdStrike Falcon per effettuare ricerche e risolvere la minaccia. 

Figura 4: Posizione dello stato di integrità e dell'attività di CrowdStrike in NinjaOne

Agire sulle minacce

Tutte le operazioni di risoluzione delle minacce avvengono all'interno della console CrowdStrike Falcon.

Quando viene rilevata una potenziale minaccia, CrowdStrike fornisce a NinjaOne un identificatore univoco della minaccia utilizzato per la risoluzione. Fare clic sullo stato di integrità nella dashboard del dispositivo per accedere alla minaccia nella piattaforma CrowdStrike, dove è possibile intervenire. 

Figura 5: Risoluzione di una minaccia per CrowdStrike da NinjaOne(clicca per ingrandire)

Una volta risolta una minaccia all'interno di CrowdStrike con una delle etichette di stato elencate di seguito, NinjaOne registra l'attività e rimuove la minaccia dalla sezione Stato del dispositivo nell'interfaccia utente di NinjaOne. 

Stati di risoluzione di CrowdStrike: 

• Vero positivo
• Falso positivo
• Chiuso
• Ignorato

È inoltre possibile intervenire su una minaccia dalla dashboard del sistema e/o dell'organizzazione. Selezionare il dispositivo interessato dalla scheda Dispositivi → Minacce nella dashboard dell'organizzazione, quindi fare clic su Risolvi minaccia in CrowdStrike nella parte superiore dell'elenco. È possibile risolvere solo una minaccia alla volta. 

Figura 6: Risoluzione di una minaccia per CrowdStrike dalla dashboard dell'organizzazione di NinjaOne

Filtro per attività CrowdStrike

Gli utenti possono filtrare i registri delle attività per gli eventi CrowdStrike.

1. Nella dashboard del dispositivo, fare clic sulla scheda Attività e selezionare Tutto.
2. Selezionare "CrowdStrike" dal menu a discesa Tipo/i per visualizzare tutti gli eventi CrowdStrike nel menu a discesa Filtro. 

Risorse aggiuntive

• Integrazione CrowdStrike: Domande frequenti
• Integrazione CrowdStrike: risoluzione dei problemi relativi alle minacce risolte bloccate
• CrowdStrike Spotlight/Gestione dell'esposizione: installazione e configurazione
• Importatore di vulnerabilità di CrowdStrike Spotlight: installazione e configurazione