Gestión del agente de CrowdStrike (2019 SU3)

Muchas empresas usan CrowdStrike para la protección de puntos terminales. CrowdStrike tiene su propia consola que puede usar para gestionar el entorno de CrowdStrike.

Endpoint Manager le da perspectivas adicionales del agente de CrowdStrike con su vista de actividad de seguridad de CrowdStrike. Esta vista le ayuda a asegurarse de que el agente de CrowdStrike se ha desplegado en todos los dispositivos que ha detectado Endpoint Manager y que el agente de CrowdStrike funciona correctamente.

La vista de actividad de seguridad de CrowdStrike no requiere una licencia de Endpoint Security.

Aquí tiene un breve vídeo que introduce esta nueva vista.

Vista de actividad de seguridad de CrowdStrike (3:52)

Para acceder a la vista de actividad de seguridad de CrowdStrike
  • Haga clic en Herramientas > Seguridad y cumplimiento > Actividad de seguridad, luego haga clic en CrowdStrike > Dispositivos gestionados.

Introducción de credenciales de CrowdStrike

Antes de usar la vista de actividad de seguridad de CrowdStrike, deberá agregar sus credenciales de Centro de acción de CrowdStrike. Si no ha proporcionado credenciales, se mostrará un banner rojo en la vista CrowdStrike > Dispositivos gestionados que le indicará que haga esto.

Estas credenciales permiten a la consola de Endpoint Manager obtener información del host gestionado directamente desde CrowdStrike. Estos datos de CrowdStrike se comparan con los datos recopilados por el escáner de inventario de Endpoint Manager para obtener una imagen completa del estado del agente de CrowdStrike de su entorno.

El Centro de acciones le solicita la ID de cliente y el secreto de CrowdStrike, que puede obtener en la consola de CrowdStrike. Después de introducirlos, haga clic en Probar conexión para asegurarse de que la consola del Gestor de puntos terminales se puede conectar a CrowdStrike.

Endpoint Manager 2021.1 agrega una nueva opción Seleccionar un teniente al que desee conectarse si necesita conectarse a un teniente de CrowdStrike concreto.

Para abrir el Centro de acciones de CrowdStrike
  1. Haga clic en Herramientas > Seguridad y cumplimiento > Actividad de seguridad.
  2. En la barra de herramientas de la ventana Actividad de seguridad, haga clic en el botón de ajustes y haga clic en CrowdStrike Action Center.

Ver el estado y la actividad del agente de CrowdStrike

Cada vez que abre la vista de actividad de seguridad de CrowdStrike, Endpoint Manager usa el API en la nube de CrowdStrike para recuperar el inventario y la información de configuración. La vista incluye dispositivos que CrowdStrike notifica que está gestionando y los dispositivos que ha detectado Endpoint Manager.

Use los filtros de la barra de herramientas Mostrar, Estado del dispositivo y Última conexión para limitar la vista. Los filtros funcionan como operadores AND, así que asegúrese de que no crea una combinación de filtros que excluya involuntariamente dispositivos que desee ver.

  • El filtro Mostrar puede incluir Todos los dispositivos, dispositivos gestionados por Ivanti y dispositivos no gestionados por Ivanti.
  • El filtro de Estado del dispositivo puede ser Todo, Aceptar o Requiere acción.
  • El filtro Visto por última vez le permite seleccionar una fecha. Los dispositivos que no se hayan conectado con CrowdStrike después de la fecha seleccionada, se mostrarán en la vista.

Las columnas de la vista indican el Estado del dispositivo y el Motivo de ese estado. Por ejemplo, el estado puede ser "Acción requerida" y el motivo es "El dispositivo no tiene instalado un agente de CrowdStrike".

Un dispositivo se considera OK si CrowdStrike y el análisis del inventario informa de que el agente de CrowdStrike está presente y que coincide la versión del agente de la que informan ambas fuentes.

La columna Versión notificada muestra la versión que CrowdStrike piensa que está instalada. La columna Versión notificada por Ivanti muestra la versión detectada por el escáner de inventario.

Se produce un estado Acción necesaria cuando el análisis de inventario no detecta el agente de CrowdStrike o si se detecta otro problema.

Aquí se muestran algunos modos de usar la vista de actividad de seguridad de CrowdStrike:

  • Use el filtro y la columna Ivanti sin gestionar para identificar los dispositivos que quiere gestionar con Endpoint Manager.
  • Use el filtro y la columna Acción necesaria para identificar los dispositivos sin un agente de CrowdStrike o con un agente que no parece funcionar correctamente o que no se ha configurado bien.
  • Use el filtro Última conexión y la columna Última conexión del agente de CrowdStrike para identificar los dispositivos con un agente de CrowdStrike instalado pero que no se ha conectado a CrowdStrike. Esto puede ayudarle a encontrar las instalaciones del agente de CrowdStrike que no funcionan correctamente, puede que debido a un problema con el cortafuegos o con la instalación del agente.

Arreglar dispositivos con un estado de "Acción requerida"

Si un dispositivo requiere un arreglo, puede hacer clic con el botón derecho sobre éste y ver el mismo menú contextual que se ve cuando se hace clic con el botón derecho sobre un dispositivo de la vista de Red principal. Desde este menú puede completar muchas tareas de gestión, como empezar una sesión de control remoto o desplegar software. Tenga en cuenta que el menú contextual de dispositivos sin un agente de Gestión de puntos terminales es limitado, puesto que no hay un agente con el que comunicarse.

Volver a desplegar el software del agente de CrowdStrike puede solucionar muchos problemas. Si quiere hacer esto, deberá crear un paquete de instalación del agente CrowdStrike. Para obtener más información, visiste este enlace de la Comunidad Ivanti: https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager.

Después de crear un paquete de instalación del agente de CrowdStrike, haga clic con el botón derecho sobre el dispositivo que desee y use la opción Crear tarea programada para desplegar ese paquete de distribución.