Argomento
NinjaOne si integra con CrowdStrike Falcon (FalconInsight XDR e Falcon Prevent), una soluzione integrata basata su cloud per il rilevamento e la risposta degli endpoint (EDR) e la protezione degli endpoint (EPP).
Ambiente
Integrazioni NinjaOne
Descrizione
|
Dichiarazione di non responsabilità: CrowdStrike è stato progettato come sostituto completo dell'antivirus. NinjaOne sconsiglia di utilizzarlo con altri fornitori di soluzioni di rilevamento e risposta degli endpoint. NinjaOne non disinstalla l'antivirus dai dispositivi se si disattiva CrowdStrike in NinjaOne. NinjaOne utilizza la versione generalmente disponibile del programma di installazione cache CrowdStrike Falcon Sensor, poiché è nota per essere compatibile con i dispositivi. L'integrazione NinjaOne CrowdStrike segue le politiche del sensore CrowdStrikeFalcon in modo che il sensore Falcon venga aggiornato o downgradato dopo l'installazione, a seconda delle impostazioni di CrowdStrike. |
L'integrazione di CrowdStrike è basata su criteri interni a NinjaOne quando è abilitata. NinjaOne mappa automaticamente le organizzazioni ai gruppi di host dinamici di CrowdStrike (gruppi di dispositivi standard) in base ai tag di raggruppamento Falcon.
La politica attiva l'agente di gestione del monitoraggio remoto (RMM) NinjaOne per rilevare l'installazione esistente del sensore CrowdStrike sull'endpoint ed eseguire automaticamente l'installazione se il sensore non è presente. Se un dispositivo ha già CrowdStrike installato prima di abilitare l'integrazione, l'agente NinjaOne può leggere l'ID agente esistente.
Seleziona una categoria per saperne di più:
- Assistenza
- Prerequisiti
- Caratteristiche principali
- Abilita l'integrazione CrowdStrike
- Mappa le organizzazioni NinjaOne ai gruppi host CrowdStrike
- Configura gli ambiti API per il multi-tenancy
- Risorse aggiuntive
Assistenza
Falcon Sensor 7.19.18910 su Microsoft Windows e Apple macOS.
Prerequisiti
Prima di abilitare l'integrazione, tenere presente quanto segue:
- L'integrazione con NinjaOne richiede una licenza CrowdStrike Falcon esistente.
- Possibilità di generare token API (Application Programming Interface) nella console CrowdStrike Falcon.
- Accesso alle applicazioni CrowdStrike: Falcon Prevent e Falcon Insight XDR (rilevamento e risposta estesi).
- Account principale CrowdStrike (NinjaOne attualmente non monitora gli account ereditati in CrowdStrike Flight Control per le organizzazioni).
- Se la vostra istanza CrowdStrike richiede l'inserimento nell'elenco di autorizzazioni degli indirizzi IP (Internet Protocol), consultate le informazioni sull'elenco di autorizzazioni globale (whitelist) di NinjaOne.
Caratteristiche principali
L'integrazione di CrowdStrike in NinjaOne offre i seguenti vantaggi.
- I registri delle attività del sensore CrowdStrike vengono visualizzati nei dashboard dell'organizzazione e dei dispositivi. Quando l'ambito del client API è mancante, un registro eventi viene restituito in Attività nel dashboard.
Gestisci l'autenticazione client multi-tenant CrowdStrike o i gruppi host.
- Esamina i dettagli del dispositivo e la sezione relativa allo stato di salute per individuare minacce, virus e problemi di installazione. Quando CrowdStrike rileva una minaccia per il dispositivo, NinjaOne visualizza immediatamente un avviso. Facendo clic sull'avviso in NinjaOne, il tecnico può navigare fino a quel dispositivo nella console CrowdStrike per effettuare indagini e correzioni.
Abilitare l'integrazione CrowdStrike
Per abilitare l'integrazione CrowdStrike nella console NinjaOne, procedi come segue:
- Accedere a Amministrazione → App e fare clic su Aggiungi app. Selezionare CrowdStrike dall'elenco delle app di terze parti disponibili.
Figura 1: Aggiungi app di terze parti in NinjaOne
Viene visualizzata la pagina delle impostazioni dell'applicazione.
- Fare clic su Abilita.
Viene visualizzata la finestra modale di configurazione dell'applicazione. - Leggere attentamente i termini che descrivono il processo di migrazione nella finestra modale di configurazione di CrowdStrike, quindi selezionare la casella di controllo nella parte inferiore della pagina per abilitare il pulsante Accetta.
- Accedere a https://falcon.{dominio}.crowdstrike.com/support/api-clients-and-keys ( l'URL di base varia in base alla posizione geografica o alla licenza cloud) e selezionare un client API o crearne uno nuovo. Da questa pagina è possibile reimpostare il segreto client se lo si è dimenticato. Immettere i dettagli richiesti per confermare il client API, quindi configurare gli ambiti API:
- A ogni client API vengono assegnati uno o più ambiti API. Gli ambiti sono autorizzazioni che specificano gli endpoint e i metodi a cui un client API può accedere. Quando si crea un client API, scegliere tra le azioni di lettura e scrittura che è possibile eseguire su diversi gruppi di endpoint API. Gli ambiti impostati vengono applicati ai token di accesso generati dalle credenziali del client API e l'accesso viene concesso solo agli endpoint autorizzati all'uso.
-
I client API hanno uno o più ambiti API. Gli ambiti consentono l'accesso a specifiche API CrowdStrike e descrivono le azioni che un client API può eseguire. Utilizza gli ambiti per ottimizzare le autorizzazioni dei tuoi client API. I token di accesso OAuth 2.0 hanno ambito alle risorse configurate nel client API.
Se un client API non dispone delle autorizzazioni minime relative al proprio ambito, l'integrazione potrebbe non funzionare. Assicurarsi almeno di fornire i seguenti ambiti al client API. Queste autorizzazioni relative all'ambito sono necessarie per il corretto funzionamento dell'integrazione.
Ambiti richiesti nella versione 7.0:
| Ambito | Requisito |
|---|---|
| Avvisi | Lettura |
| Host | Lettura/scrittura |
| Gruppi di host | Lettura/Scrittura |
| Scarica sensore | Leggi |
- Fai clic su Abilita.
Lo stato di CrowdStrike dovrebbe ora essere visualizzato come abilitato e connesso ed è possibile verificare la validità delle credenziali di autenticazione utilizzate facendo clic sul pulsante Modifica nel widget Impostazioni .
Figura 2: Stato dell'integrazione di CrowdStrike in NinjaOne
Mappare le organizzazioni NinjaOne ai gruppi host CrowdStrike
Il processo di "mappatura" associa le organizzazioni NinjaOne ai gruppi di gestione host CrowdStrike, garantendo che il gruppo di dispositivi o le politiche corretti siano impostati e segnalati in NinjaOne. Questo processo è automatizzato e viene eseguito senza l'interazione dell'utente o dell'amministratore.
Quando si abilita l'integrazione CrowdStrike in NinjaOne, i gruppi di gestione host vengono creati automaticamente in CrowdStrike per ogni organizzazione NinjaOne esistente non appena si abilita l'integrazione CrowdStrike. La creazione di un gruppo host in CrowdStrike non richiede l'abilitazione nella politica o la distribuzione dell'antivirus CrowdStrike. Questi nuovi host di gruppi dinamici riflettono il nome dell'organizzazione utilizzato in NinjaOne e vengono aggiornati senza soluzione di continuità quando le organizzazioni NinjaOne vengono create o eliminate.
NinjaOne contrassegna qualsiasi dispositivo con l'agente NinjaOne e un sensore CrowdStrike installato con un tag di raggruppamento Falcon (identificatore univoco) nell'organizzazione NinjaOne. Il tagging consente di associare correttamente le attività e le minacce al gruppo host CrowdStrike corrispondente.
Configurare gli ambiti API per il multi-tenancy
Se si utilizza la multi-tenancy in NinjaOne, è necessario impostare nuovi ambiti per il client API. Per ulteriori informazioni, consultare NinjaOne e CrowdStrike: integrazione multi-tenancy.
Risorse aggiuntive
Per ulteriori informazioni sull'integrazione di NinjaOne con CrowdStrike, consultare le seguenti risorse: