Integrazioni NinjaOne: Abilita CrowdStrike

Argomento

NinjaOne si integra con CrowdStrike Falcon (FalconInsight XDR e Falcon Prevent), una soluzione integrata basata su cloud che combina funzionalità di rilevamento e risposta agli endpoint (EDR) e protezione degli endpoint (EPP).

Ambiente

• Integrazioni NinjaOne
• CrowdStrike

Descrizione

L'integrazione di CrowdStrike è guidata da criteri all'interno di NinjaOne quando è abilitata. NinjaOne mappa automaticamente le organizzazioni ai gruppi di host dinamici di CrowdStrike (gruppi di dispositivi standard) in base ai tag di raggruppamento di Falcon.

La politica attiva l'agente di gestione del monitoraggio remoto (RMM) di NinjaOne per rilevare l'installazione esistente del sensore CrowdStrike sull'endpoint ed eseguire automaticamente l'installazione se il sensore non è presente. Se un dispositivo ha già CrowdStrike installato prima di abilitare l'integrazione, l'agente NinjaOne può leggere l'ID agente esistente.

Seleziona una categoria per saperne di più:

• Supporto
• Prerequisiti
• Caratteristiche principali
• Abilita l'integrazione CrowdStrike
• Mappare le organizzazioni NinjaOne ai gruppi di host CrowdStrike
• Configurare gli ambiti API per il multi-tenancy
• Risorse aggiuntive

Assistenza

Falcon Sensor 7.19.18910 su Microsoft Windows e Apple macOS.

Prerequisiti

Prima di abilitare l'integrazione, tenere presente quanto segue:

• L'integrazione con NinjaOne richiede una licenza CrowdStrike Falcon esistente.
• Possibilità di generare token API (Application Programming Interface) nella console CrowdStrike Falcon.
• Accesso alle applicazioni CrowdStrike: Falcon Prevent e Falcon Insight XDR (rilevamento e risposta estesi).
• Account principale CrowdStrike (NinjaOne attualmente non monitora gli account ereditati in CrowdStrike Flight Control per le organizzazioni).
• Se la tua istanza CrowdStrike richiede l'inserimento in whitelist degli indirizzi IP (Internet Protocol), consulta le informazioni sulla whitelist globale di NinjaOne.

Caratteristiche principali

L'integrazione di CrowdStrike in NinjaOne offre i seguenti vantaggi.

• I registri delle attività del sensore CrowdStrike vengono visualizzati nelle dashboard Organizzazione e Dispositivo. Quando manca l'ambito del client API, viene restituito un registro eventi in Attività sulla dashboard.

• Gestisci l'autenticazione client multi-tenant di CrowdStrike o i gruppi di host.

• Esamina i dettagli del dispositivo e la sezione relativa allo stato di integrità per individuare minacce, virus e problemi di installazione. Quando CrowdStrike rileva una minaccia su un dispositivo, NinjaOne visualizza immediatamente un avviso. Facendo clic sull'avviso in NinjaOne, il tecnico può accedere a quel dispositivo nella console CrowdStrike per effettuare indagini e interventi correttivi.

Abilitare l'integrazione CrowdStrike

Per abilitare l'integrazione di CrowdStrike nella console NinjaOne, procedere come segue:

1. Accedere a Amministrazione → App e fare clic su Aggiungi app. Selezionare CrowdStrike dall'elenco delle app di terze parti disponibili.

Figura 1: Aggiungi app di terze parti in NinjaOne

Viene visualizzata la pagina delle impostazioni dell'applicazione.

2. Fare clic su Abilita.
   Viene visualizzata la finestra modale di configurazione dell'applicazione.
3. Leggi attentamente i termini che descrivono il processo di migrazione nella finestra modale di configurazione di CrowdStrike, quindi seleziona la casella di controllo nella parte inferiore della pagina per abilitare il pulsante Accetta.
4. Accedere a https://falcon.{domain}.crowdstrike.com/support/api-clients-and-keys ( l'URL di base varia in base alla posizione geografica o alla licenza cloud) e selezionare un client API o crearne uno nuovo. Da questa pagina è possibile reimpostare il segreto del client se lo si è dimenticato. Immettere i dettagli richiesti per confermare il client API, quindi configurare gli ambiti API:

• A ogni client API vengono assegnati uno o più ambiti API. Gli ambiti sono autorizzazioni che specificano gli endpoint e i metodi a cui un client API può accedere. Quando si crea un client API, scegliere tra le azioni di lettura e scrittura che è possibile eseguire su diversi gruppi di endpoint API. Gli ambiti impostati vengono applicati ai token di accesso generati dalle credenziali del client API e l'accesso viene concesso solo agli endpoint autorizzati per l'uso.

• I client API hanno uno o più ambiti API. Gli ambiti consentono l'accesso a specifiche API CrowdStrike e descrivono le azioni che un client API può eseguire. Utilizza gli ambiti per ottimizzare le autorizzazioni dei tuoi client API. I token di accesso OAuth 2.0 si applicano alle risorse configurate nel client API.

  Se un client API non dispone delle autorizzazioni minime a cui è assegnato, l'integrazione potrebbe non funzionare. Come minimo, assicurarsi di fornire i seguenti ambiti al client API. Queste autorizzazioni di ambito sono necessarie affinché l'integrazione abbia esito positivo.

Ambiti richiesti nella versione 7.0:

5. Fare clic su Abilita.

Lo stato di CrowdStrike dovrebbe ora apparire come attivato e connesso; è possibile verificare se le credenziali di autenticazione utilizzate sono valide facendo clic sul pulsante Modifica nel widget Impostazioni .

Figura 2: Stato dell'integrazione di CrowdStrike in NinjaOne

Mappare le organizzazioni NinjaOne ai gruppi di host CrowdStrike

Per le istruzioni, fare riferimento a NinjaOne Endpoint Management: Feed di notifica delle attività di dispositivo e di sistema per configurare le attività " Credenziali CrowdStrike non valide" e " Integrazione CrowdStrike: ambito client API mancante ".

Configurazione degli ambiti API per il multi-tenancy

Se si utilizza il multi-tenancy in NinjaOne, è necessario impostare nuovi ambiti per il client API. Per ulteriori informazioni, consultare NinjaOne e CrowdStrike: Integrazione multi-tenancy.

Risorse aggiuntive

Fare riferimento alle seguenti risorse per ulteriori informazioni sull'integrazione di NinjaOne con CrowdStrike:

• CrowdStrike Antivirus – NinjaOne Dojo
• Integrazioni e app di terze parti: Catalogo delle risorse