CrowdStrike Agent Management (2019 SU3)

Viele Unternehmen setzen für den Endpunktschutz CrowdStrike ein. CrowdStrike verfügt über eine eigene Management Console, die Sie zum Verwalten der CrowdStrike-Umgebung nutzen können.

Mit der Ansicht "CrowdStrike-Sicherheitsaktivität" bietet Ihnen Endpoint Manager zusätzliche Einblicke in den CrowdStrike-Agenten. Anhand dieser Ansicht lässt sich sicherstellen, dass der CrowdStrike-Agent auf allen von Endpoint Manager erkannten Geräten bereitgestellt wurde und dass er ordnungsgemäß funktioniert.

Für die Ansicht "CrowdStrike-Sicherheitsaktivität" ist keine Endpoint Security-Lizenz erforderlich.

Hier wird die neue Ansicht in einem kurzen Video vorgestellt.

Ansicht "CrowdStrike-Sicherheitsaktivität" 3:52)

So rufen Sie die Ansicht "CrowdStrike-Sicherheitsaktivität" auf:
  • Klicken Sie auf Extras > Sicherheit und Compliance > Sicherheitsaktivität und anschließend auf CrowdStrike > Verwaltete Geräte.

Eingeben von CrowdStrike-Anmeldeinformationen

Damit Sie die Ansicht "CrowdStrike-Sicherheitsaktivität" nutzen können, müssen Sie zuerst Ihre Anmeldeinformationen für das CrowdStrike Action Center eingeben. Falls Sie keine Anmeldeinformationen angegeben haben, wird ein roter Banner in der Ansicht CrowdStrike > Verwaltete Geräte angezeigt und Sie werden aufgefordert, diese einzugeben.

Anhand dieser Anmeldeinformationen kann die Endpoint Manager-Konsole verwaltete Hostinformationen direkt aus CrowdStrike abrufen. Die Daten aus CrowdStrike werden mit einem Querverweis zu den Daten versehen, die vom Endpoint Manager-Inventarscanner erfasst wurden. Auf diese Weise entsteht ein vollständiges Bild des CrowdStrike-Agentenstatus in Ihrer Umgebung.

Das Action Center fragt Sie nach Ihrer CrowdStrike-Client-ID und Ihrem Geheimschlüssel. Diese Angaben erhalten Sie von der CrowdStrike-Konsole. Klicken Sie nach deren Eingabe auf Verbindung testen, um sicherzustellen, dass die Endpoint Manager-Konsole eine Verbindung zu CrowdStrike herstellen kann.

In Endpoint Manager 2021.1 gibt es die neue Option Mandant für Verbindung auswählen. Diese ermöglicht Ihnen das Herstellen einer Verbindung zu einem bestimmten CrowdStrike-Mandanten.

So öffnen Sie das CrowdStrike Action Center:
  1. Klicken Sie auf Extras > Sicherheit und Compliance > Sicherheitsaktivität.
  2. Klicken Sie in der Symbolleiste des Fensters Sicherheitsaktivität auf die Schaltfläche "Einstellungen" und dann auf CrowdStrike Action Center.

Anzeigen von Status und Aktivität des CrowdStrike-Agenten

Bei jedem Öffnen der Ansicht "CrowdStrike-Sicherheitsaktivität" ruft Endpoint Manager mithilfe der CrowdStrike-Cloud-API Inventar- und Konfigurationsinformationen ab. Die Ansicht beinhaltet Geräte, von denen CrowdStrike meldet, dass sie von CrowdStrike verwaltet werden, sowie Geräte, die von Endpoint Manager ermittelt wurden.

Um die Ansicht einzuschränken, verwenden Sie die Filter Anzeigen, Gerätestatus und Zuletzt gesehen. Die Filter fungieren als AND-Operatoren. Achten Sie daher darauf, dass Sie keine Filterkombinationen auswählen, durch die ungewollt gewünschte Geräte ausgeschlossen werden.

  • Der Filter Anzeigen kann Alle Geräte, Von Ivanti verwaltet und Nicht von Ivanti verwaltet beinhalten.
  • Der Filter Gerätestatus kann Alle, OK oder Aktion erforderlich beinhalten.
  • Mit dem Filter Zuletzt gesehen können Sie ein Datum auswählen. Alle Geräte, die nach dem von Ihnen angegebenen Datum nicht bei CrowdStrike gemeldet wurden, werden in der Ansicht angezeigt.

In den Spalten der Ansicht werden der Gerätestatus und der Grund für den jeweiligen Status angezeigt. So kann beispielsweise als Status "Aktion erforderlich" und als Grund "Auf dem Gerät ist kein CrowdStrike-Agent installiert" angegeben sein.

Ein Gerät gilt als ordnungsgemäß, wenn sowohl CrowdStrike als auch der Inventarscanner das Vorhandensein des CrowdStrike-Agenten melden und die von diesen Quellen gemeldete Agentenversion übereinstimmt.

In der Spalte Gemeldete Version wird die Version angezeigt, von der CrowdStrike ausgeht. In der Spalte Von Ivanti gemeldete Version wird die vom Inventarscanner erkannte Version angezeigt.

Der Status Aktion erforderlich wird zugewiesen, wenn der Inventarscanner den CrowdStrike-Agent nicht ermitteln konnte oder wenn ein anderes Problem festgestellt wurde.

Vorschläge für die Verwendung der Ansicht "CrowdStrike-Sicherheitsaktivität":

  • Verwenden Sie den Filter Nicht von Ivanti verwaltet und die zugehörige Spalte, um Geräte zu identifizieren, die Sie mit Endpoint Manager verwalten möchten.
  • Verwenden Sie den Filter Aktion erforderlich und die zugehörige Spalte, um Geräte ohne CrowdStrike-Agent, Geräte mit offenbar fehlerhaftem Agenten oder falsch konfiguriertem Agenten zu identifizieren.
  • Verwenden Sie den Filter Zuletzt gesehen und die Spalte CrowdStrike-Agent zuletzt gesehen, um Geräte zu identifizieren, auf denen zwar ein CrowdStrike-Agent installiert ist, die sich jedoch nicht bei CrowdStrike gemeldet haben. Dadurch lassen sich CrowdStrike-Agenteninstallationen einfacher ausfindig machen, die nicht ordnungsgemäß funktionieren, etwa weil ein Problem mit der Firewall oder mit der Installation des Agenten vorliegt.

Reparieren von Geräten mit dem Status "Aktion erforderlich"

Falls ein Gerät repariert werden muss, klicken Sie mit der rechten Maustaste auf das Gerät. Daraufhin wird das gleiche Kontextmenü angezeigt wie beim Rechtsklicken auf ein Gerät in der Netzwerkansicht. Über dieses Menü lassen sich zahlreiche Verwaltungsaufgaben ausführen, z. B. das Starten einer Remotesteuerungssitzung oder das Bereitstellen von Software. Bedenken Sie, dass das Kontextmenü für Geräte ohne Endpoint Manager-Agent begrenzt ist, da kein Agent mit dem Gerät kommuniziert.

Durch erneutes Bereitstellen der CrowdStrike-Agentensoftware lassen sich zahlreiche Probleme beheben. Dazu müssen Sie zuerst ein Installationspaket für den CrowdStrike-Agenten erstellen. Unter dem folgenden Link der Ivanti Community finden Sie weitere Informationen: https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager.

Nachdem Sie ein Installationspaket für den CrowdStrike-Agenten erstellt haben, klicken Sie mit der rechten Maustaste auf das gewünschte Gerät und stellen Sie das Verteilungspaket unter Verwendung der Option Geplanten Task erstellen bereit.