Argomento
NinjaOne si integra con CrowdStrike Falcon (FalconInsight XDR e Falcon Prevent), una soluzione integrata di rilevamento e risposta degli endpoint (EDR) e piattaforma di protezione degli endpoint (EPP) basata sul cloud.
Ambiente
Integrazioni NinjaOne: CrowdStrike
Descrizione
Disclaimer: CrowdStrike è stato progettato come sostituto completo dell'antivirus. NinjaOne non non consiglia di utilizzarlo con altri fornitori di rilevamento e risposta degli endpoint. NinjaOne non disinstalla l'antivirus dai dispositivi se si disattiva CrowdStrike in NinjaOne. NinjaOne utilizza la versione generalmente disponibile del programma di installazione in cache di CrowdStrike Falcon Sensor, in quanto è noto che è compatibile con i dispositivi. L'integrazione NinjaOne con CrowdStrike segue i criteri del sensore CrowdStrikeFalcon, in modo che il sensore Falcon venga aggiornato o declassato dopo l'installazione, a seconda delle impostazioni di CrowdStrike. |
L'integrazione di CrowdStrike è guidata dai criteri all'interno di NinjaOne quando è abilitata. NinjaOne mappa automaticamente le organizzazioni nei CrowdStrike Dynamic Host Groups (gruppi di dispositivi standard) in base ai tag Falcon Grouping.
Il criterio attiva l'agente di gestione del monitoraggio remoto (RMM) NinjaOne per rilevare l'installazione esistente del sensore CrowdStrike sull'endpoint ed eseguire automaticamente l'installazione se il sensore non è presente. Se un dispositivo ha già installato CrowdStrike prima di attivare l'integrazione, l'agente NinjaOne può leggere l'ID agente esistente.
Selezionate una categoria per saperne di più:
- Supporto
- Prerequisiti
- Caratteristiche principali
- Abilitare l'integrazione di CrowdStrike
- Mappare le organizzazioni NinjaOne sui gruppi host CrowdStrike
- Configurazione degli ambiti API per la multi-tenancy
- Risorse aggiuntive:
Supporto
Falcon Sensor 7.19.18910 su Microsoft Windows e Apple macOS.
Prerequisiti
Prima di attivare l'integrazione, tenere conto delle seguenti note:
- L'integrazione con NinjaOne richiede una licenza CrowdStrike Falcon esistente.
- Possibilità di generare token API (Application Programming Interface) nella console di CrowdStrike Falcon.
- Accesso alle applicazioni CrowdStrike: Falcon Prevent e Falcon Insight XDR (extended detection and response).
- Account padre di CrowdStrike (NinjaOne non monitora attualmente gli account ereditati in CrowdStrike Flight Control per le organizzazioni).
- Se l'istanza di CrowdStrike richiede l'inserimento nella lista degli indirizzi IP (Internet Protocol), fare riferimento a NinjaOne Global Allowlist (Whitelist) Information.
Caratteristiche principali
L'integrazione di CrowdStrike in NinjaOne offre i seguenti vantaggi.
- I registri delle attività di CrowdStrike Sensor vengono visualizzati nei dashboard dell'organizzazione e del dispositivo. Quando l'ambito del client API è assente, viene visualizzato un registro eventi in Attività sul dashboard.
Gestire l'autenticazione dei client o dei gruppi di host multi-tenant di CrowdStrike.
- Esaminare i dettagli del dispositivo e la sezione relativa allo stato di salute per verificare la presenza di minacce, virus e problemi di installazione. Quando CrowdStrike rileva una minaccia per il dispositivo, NinjaOne visualizza immediatamente un avviso. Facendo clic sull'avviso in NinjaOne, il tecnico può accedere al dispositivo nella console di CrowdStrike per le indagini e la bonifica.
Abilitare l'integrazione di CrowdStrike
Per abilitare l'integrazione di CrowdStrike nella console NinjaOne, eseguire le seguenti operazioni:
- Andare in Amministrazione → Applicazioni e fare clic su Aggiungi applicazioni. Selezionare CrowdStrike dall'elenco delle applicazioni di terze parti disponibili.
Immagine 1: Aggiungere applicazioni di terze parti in NinjaOne
Viene visualizzata la pagina delle impostazioni dell'applicazione.
- Clicca su Abilita.
Viene visualizzata la maschera di impostazione dell'applicazione. - Leggere attentamente i termini che delineano il processo di migrazione nella maschera CrowdStrike Setup, quindi selezionare la casella di controllo in fondo alla pagina per attivare il pulsante Accetta.
- Accedere a https://falcon.{dominio}.crowdstrike.com/support/api-clients-and-keys (l'URL di base varia in base alla posizione geografica o alla licenza cloud) e selezionare un client API o crearne uno nuovo. Da questa pagina è possibile reimpostare il segreto del cliente se lo si è dimenticato. Immettere i dettagli richiesti per confermare il client API e quindi eseguire il provisioning degli ambiti API:
- A ogni client API vengono assegnati uno o più ambiti API. Gli scope sono autorizzazioni che specificano gli endpoint e i metodi a cui un client API può accedere. Quando si crea un client API, si può scegliere tra le azioni di lettura e scrittura che si possono eseguire su diversi gruppi di endpoint API. Gli ambiti impostati vengono applicati ai token di accesso generati dalle credenziali del client API e l'accesso viene concesso solo agli endpoint autorizzati.
I client API hanno uno o più ambiti API. Gli scope consentono l'accesso a specifiche API di CrowdStrike e descrivono le azioni che un client API può eseguire. Usate gli ambiti per regolare con precisione i permessi dei vostri client API. I token di accesso OAuth 2.0 si riferiscono alle risorse configurate nel client API.
Se un client API non dispone delle autorizzazioni minime, l'integrazione potrebbe non funzionare. Come minimo, assicurarsi di fornire i seguenti ambiti al client API. Queste autorizzazioni sono necessarie per il successo dell'integrazione.
Scopi richiesti dalla versione 7.0:
| Ambito | Requisiti |
|---|---|
| Avvisi | Leggi |
| Ospiti | Di lettura/scrittura |
| Gruppi di accoglienza | Di lettura/scrittura |
| Scarica il sensore | Leggi |
- Fare clic su Abilita.
Lo stato di CrowdStrike dovrebbe ora essere abilitato e connesso e si può verificare se le credenziali di autenticazione utilizzate sono valide facendo clic sul pulsante Modifica nel widget Impostazioni .
Figura 2: Stato dell'integrazione di CrowdStrike in NinjaOne
Mappare le organizzazioni NinjaOne sui gruppi host CrowdStrike
Il processo di "mappatura" associa le organizzazioni di NinjaOne ai gruppi di gestione degli host di CrowdStrike, assicurando che il gruppo di dispositivi o i criteri corretti siano impostati e segnalati in NinjaOne. Questo processo è automatizzato ed eseguito senza l'interazione dell'utente o dell'amministratore.
Quando si attiva l'integrazione di CrowdStrike in NinjaOne, i gruppi di gestione degli host vengono creati automaticamente in CrowdStrike per ogni organizzazione NinjaOne esistente non appena si attiva l'integrazione di CrowdStrike. La creazione di un gruppo host in CrowdStrike non richiede l'abilitazione nella policy o la distribuzione dell'antivirus CrowdStrike. Questi nuovi host dinamici di gruppo riflettono il nome dell'organizzazione utilizzato in NinjaOne e vengono aggiornati senza problemi quando le organizzazioni di NinjaOne vengono create o eliminate.
NinjaOne etichetta qualsiasi dispositivo con l'agente NinjaOne e un sensore CrowdStrike installato con un Falcon Grouping Tag (identificatore unico) nell'organizzazione NinjaOne. L'etichettatura consente di associare correttamente le attività e le minacce al corrispondente CrowdStrike Host Group.
Configurazione degli ambiti API per la multi-tenancy
Se si utilizza la multi-tenancy in NinjaOne, è necessario impostare nuovi ambiti per il client API. Per saperne di più, consultare il sito NinjaOne e CrowdStrike: Integrazione multi-tenancy.
Risorse aggiuntive:
Per ulteriori informazioni sull'integrazione di NinjaOne con CrowdStrike, consultare le seguenti risorse: