Imposta CrowdStrike come antivirus in NinjaOne

Argomento

Questo articolo spiega come distribuire CrowdStrike sui dispositivi dopo aver abilitato l'integrazione in NinjaOne, abilitato le notifiche per le attività antivirus e consentito ai tecnici di intervenire sulle minacce rilevate.

Ambiente

• Fornitori integrati NinjaOne
• Antivirus CrowdStrike

Descrizione

Con CrowdStrike abilitato in NinjaOne, l'integrazione è basata su criteri definiti all'interno di NinjaOne. Il criterio attiva l'agente NinjaOne per rilevare l'installazione esistente del sensore CrowdStrike sull'endpoint ed eseguire automaticamente l'installazione se il sensore non è presente. Se un dispositivo ha già CrowdStrike installato prima dell'integrazione di NinjaOne, l'agente NinjaOne può leggere l'ID agente esistente.

Prima di poter distribuire CrowdStrike come strumento antivirus per endpoint, è necessario abilitare l'integrazione in NinjaOne. A tal fine, consultare CrowdStrike: Guida all'integrazione.

Quindi, selezionare una categoria per ulteriori informazioni:

• Distribuisci CrowdStrike a livello di policy
• Abilita notifiche per le attività
• Imposta le autorizzazioni utente per CrowdStrike
• Visualizza gli stati di integrità e i registri delle attività di CrowdStrike
  • Agire sulle minacce
  • Filtra le attività di CrowdStrike

Distribuisci CrowdStrike a livello di policy

Selezionando CrowdStrike come antivirus della policy, l'agente NinjaOne installerà il sensore CrowdStrike sugli endpoint interessati.

1. Vai su Amministrazione → Politiche e seleziona la politica che richiede l'antivirus CrowdStrike oppure creane una nuova.
2. Apri la scheda Antivirus e seleziona CrowdStrike dal menu a discesa. Se è già selezionato un altro antivirus, devi prima selezionare "Disabilitato" prima di selezionare "CrowdStrike"
   Nota importante: se stai passando da un antivirus diverso a CrowdStrike, NinjaOne non disinstalla l'antivirus quando lo cambi. Devi andare sul portale dell'antivirus per disinstallarlo. Se provi a installare CrowdStrike come antivirus e i dispositivi associati a quella politica hanno già un antivirus installato, riceverai un'attività per quel dispositivo che indica che l'installazione di CrowdStrike non è riuscita e che devi disinstallare l'altro antivirus.
3. Selezionare una delle opzioni accanto a Installazione per configurare.

Figura 1: Opzioni di installazione per l'antivirus CrowdStrike in NinjaOne

• Se è installato un altro software antivirus, avvisare: selezionare se si desidera procedere con l'installazione o non intraprendere alcuna azione.
• Se l'installazione di CrowdStrike non riesce, riprova: puoi disattivare questa opzione spostando l'interruttore o impostando la pianificazione su giornaliera (a un'ora specificata) o a intervalli (ogni [#] ore).

4. Fai clic su Salva.

Quando si imposta l'antivirus su CrowdStrike a livello di policy, la scheda dell'applicazione CrowdStrike viene visualizzata nella dashboard del dispositivo in Impostazioni. Fare clic sul collegamento ipertestuale CrowdStrike Device Link per selezionare un host specifico da visualizzare nel pannello laterale della console CrowdStrike.

Se si disabilita CrowdStrike a livello di policy o si modifica la policy del dispositivo con una che non utilizza CrowdStrike, NinjaOne rimuoverà tutte le minacce dalla sezione Stato del dispositivo; tuttavia, CrowdStrike Falcon Sensor non verrà disinstallato da tali dispositivi fino a quando non si seguiranno le istruzioni di disinstallazione dalla console del fornitore CrowdStrike Falcon.

Se l'installazione non riesce, viene visualizzata una notifica nella scheda Panoramica nella sezione Stato. Fare clic sulla freccia per utilizzare l'opzione Riprova installazione.

Figura 2: Riprova un'installazione non riuscita in NinjaOne

Abilita le notifiche per le attività

1. Vai alla pagina di configurazione dei criteri.
2. Dalla scheda Attività del criterio, espandi la sezione CrowdStrike e fai clic su qualsiasi attività per la quale desideri abilitare le notifiche o creare ticket.

Figura 3: Configurazione delle azioni di notifica e dei ticket per CrowdStrike in NinjaOne

3. Per istruzioni sulla configurazione dei campi delle attività, consulta Feed attività.
4. Fai clic su Salva nell'angolo in alto a destra della pagina delle politiche per impostare le modifiche.

Imposta le autorizzazioni utente per CrowdStrike

NinjaOne concede automaticamente agli amministratori di sistema l'accesso a CrowdStrike. Per abilitare altri tecnici e utenti, segui i passaggi riportati di seguito. Risorsa aggiuntiva: Autorizzazioni utente: opzioni di autorizzazione.

1. Vai su Amministrazione → Account e seleziona un account tecnico o un ruolo.
2. Apri la scheda Sistema e seleziona "Consentito" per Configura CrowdStrike.
3. Fai clic su Salva.

Visualizza gli stati di integrità e i registri delle attività di CrowdStrike

Una volta installato il sensore CrowdStrike o quando l'agente NinjaOne rileva un sensore CrowdStrike esistente, le attività di CrowdStrike Falcon vengono visualizzate dal livello dell'organizzazione NinjaOne fino al livello del dispositivo.

I tecnici possono filtrare o cercare solo gli eventi CrowdStrike. Questi eventi possono includere feedback sull'installazione/disinstallazione dell'agente, minacce e altro. NinjaOne monitora continuamente il sensore CrowdStrike di ogni dispositivo in ogni organizzazione NinjaOne in cui è stato distribuito CrowdStrike.

NinjaOne identifica e visualizza le potenziali minacce nella sezione Stato di salute della dashboard del dispositivo. Quando viene rilevata una potenziale minaccia, NinjaOne si collega alla minaccia in CrowdStrike, consentendo agli utenti NinjaOne di navigare rapidamente alla console CrowdStrike Falcon per effettuare ricerche e rimediare alla minaccia.

Figura 4: Posizione dello stato di integrità e dell'attività di CrowdStrike in NinjaOne

Agire sulle minacce

Tutte le operazioni di risoluzione delle minacce avvengono all'interno della console CrowdStrike Falcon.

Quando viene rilevata una potenziale minaccia, CrowdStrike fornisce a NinjaOne un identificatore univoco utilizzato per la risoluzione. Fare clic sullo stato di integrità nella dashboard del dispositivo per accedere alla minaccia nella piattaforma CrowdStrike, dove è possibile intervenire.

Figura 5: Risoluzione di una minaccia per CrowdStrike da NinjaOne(clicca per ingrandire)

Una volta risolta una minaccia da CrowdStrike con una delle etichette di stato elencate di seguito, NinjaOne registra l'attività e rimuove la minaccia dalla sezione Stato del dispositivo nell'interfaccia utente di NinjaOne.

Stati di correzione di CrowdStrike:

• Vero positivo
• Falso positivo
• Chiuso
• Ignorato

È inoltre possibile intervenire su una minaccia dalla dashboard del sistema e/o dell'organizzazione. Selezionare il dispositivo interessato dalla scheda Dispositivi → Minacce nella dashboard dell'organizzazione, quindi fare clic su Risolvi minaccia in CrowdStrike nella parte superiore dell'elenco. È possibile risolvere una sola minaccia alla volta.

Figura 6: Risoluzione di una minaccia per CrowdStrike dalla dashboard dell'organizzazione NinjaOne

Filtro per attività CrowdStrike

Gli utenti possono filtrare i registri delle attività per gli eventi CrowdStrike.

1. Nella dashboard del dispositivo, fare clic sulla scheda Attività e selezionare Tutto.
2. Selezionare "CrowdStrike" dal menu a discesa Tipo per visualizzare tutti gli eventi CrowdStrike nel menu a discesa Filtro.

Risorse aggiuntive

• Integrazione CrowdStrike: domande frequenti
• Integrazione CrowdStrike: risoluzione dei problemi relativi alle minacce bloccate
• CrowdStrike Spotlight/Gestione dell'esposizione: impostazione e configurazione
• Importatore di vulnerabilità Spotlight di CrowdStrike: impostazione e configurazione