Gestion de l'agent CrowdStrike (2019 SU3)
De nombreuses entreprises utilisent CrowdStrike pour la protection des postes client. CrowdStrike possède sa propre console de gestion, qui sert à gérer votre environnement CrowdStrike.
Endpoint Manager vous fournit des détails supplémentaires sur l'agent CrowdStrike, dans la vue Activités de sécurité CrowdStrike. Cette vue vous aide à garantir que l'agent CrowdStrike est déployé sur tous les périphériques découverts par Endpoint Manager et que cet agent fonctionne correctement.
La vue Activités de sécurité CrowdStrike ne nécessite aucune licence Endpoint Security.
Voici une brève présentation vidéo de cette nouvelle vue.
Vue Activités de sécurité CrowdStrike (3:52)
Pour accéder à la vue Activités de sécurité CrowdStrike
- Cliquez sur Outils > Sécurité et conformité > Activités de sécurité, puis cliquez sur CrowdStrike > Périphériques gérés.
Saisie des références d'authentification CrowdStrike
Avant d'utiliser la vue Activités de sécurité CrowdStrike, vous devez ajouter vos références d'authentification de centre d'action CrowdStrike. Si vous n'avez pas entré de références d'authentification, une bannière rouge apparaît dans la vue CrowdStrike > Périphériques gérés pour vous demander de le faire.
Ces références d'authentification permettent à la console Endpoint Manager d'obtenir des informations sur les hôtes gérés directement depuis CrowdStrike. Ces données CrowdStrike sont comparées aux données collectées par l'analyseur d'inventaire Endpoint Manager, pour former une image complète de l'état de l'agent CrowdStrike dans votre environnement.
Le centre d'action vous invite à entrer votre ID client et votre secret CrowdStrike, qui sont fournis par votre console CrowdStrike. Après avoir saisi ces données, cliquez sur Tester la connexion pour vous assurer que la console Endpoint Manager parvient à se connecter à CrowdStrike.
L'une des nouveautés d'Endpoint Manager 2021.1 est l'option Sélectionner le locataire auquel vous connecter, qui vous permet de vous connecter à un locataire CrowdStrike spécifique si nécessaire.
Pour ouvrir le centre d'action CrowdStrike
- Cliquez sur Outils > Sécurité et conformité > Activités de sécurité.
- Dans la barre d'outils de la fenêtre Activités de sécurité, cliquez sur le bouton Paramètres
et cliquez sur Centre d'action CrowdStrike.
Affichage de l'état de l'agent CrowdStrike et de ses activités
Chaque fois que vous ouvrez la vue Activités de sécurité CrowdStrike, Endpoint Manager utilise l'API de Cloud CrowdStrike pour récupérer les informations d'inventaire et de configuration. Cette vue inclut les périphériques dont CrowdStrike signale qu'il les gère, ainsi que les périphériques découverts par Endpoint Manager.
Utilisez les filtres Afficher, État du périphérique et Dernier affichage de la barre d'outils pour limiter la vue. Ces filtres fonctionnent comme des opérateurs AND (ET). Par conséquent, veillez à ne pas créer de combinaison de filtres excluant des périphériques que vous voulez afficher.
- Le filtre Afficher peut inclure tous les périphériques, les périphériques gérés par Ivanti et les périphériques non gérés par Ivanti.
- Le filtre État du périphérique peut avoir la valeur Tout, OK ou Action requise.
- Le filtre Dernier affichage vous permet de choisir une date. Les périphériques qui n'ont envoyé aucune donnée à CrowdStrike après la date sélectionnée apparaissent dans la vue.
Les colonnes de la vue sont État du périphérique et la raison de cet état. Par exemple, vous pouvez voir l'état « Action requise » et la raison « Aucun agent CrowdStrike n'est installé sur ce périphérique ».
Un périphérique est considéré comme OK si à la fois CrowdStrike et l'analyseur d'inventaire signalent que l'agent CrowdStrike est présent, et si la version de l'agent détectée par ces deux sources est identique.
La colonne Version signalée indique la version installée reconnue par CrowdStrike. La colonne Version signalée par Ivanti contient la version détectée par l'analyseur d'inventaire.
L'état Action requise est affiché lorsque l'analyseur d'inventaire ne détecte pas l'agent CrowdStrike ou si un autre problème survient.
Voici comment nous vous suggérons d'utiliser la vue Activités de sécurité CrowdStrike :
- Utilisez le filtre Non géré par Ivanti et la colonne correspondante pour identifier les périphériques que vous voulez gérer avec Endpoint Manager.
- Utilisez le filtre Action requise et la colonne correspondance pour identifier les périphériques sans agent CrowdStrike, ou dont l'agent fonctionne mal ou est mal configuré.
- Utilisez le filtre Dernier affichage et la colonne Dernier affichage par l'agent CrowdStrike pour identifier les périphériques où l'agent CrowdStrike est installé mais qui n'ont pas encore pris contact avec CrowdStrike. Cela vous aide à repérer les installations de l'agent CrowdStrike qui ne fonctionnent pas correctement, notamment en raison d'un problème de pare-feu ou d'un problème d'installation de l'agent.
Dépannage des périphériques avec l'état « Action requise »
S'il faut dépanner un périphérique, vous pouvez cliquer dessus avec le bouton droit et consulter le même menu contextuel que celui qui s'affiche si vous cliquez avec le bouton droit dans la vue Réseau principale. Ce menu permet d'effectuer de nombreuses tâches de gestion, comme le démarrage d'une session de contrôle à distance ou le déploiement de logiciels. N'oubliez pas que le menu contextuel des périphériques sans agent Endpoint Manager est limité, puisqu'il n'y a aucun agent avec lequel communiquer.
Le redéploiement du logiciel d'agent CrowdStrike peut résoudre de nombreux problèmes. Pour procéder ainsi, vous devez d'abord créer un paquet d'installation de l'agent CrowdStrike. Visitez la page suivante sur le site de la communauté Ivanti pour en savoir plus : https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager.
Après avoir créé un paquet d'installation de l'agent CrowdStrike, cliquez avec le bouton droit sur le périphérique voulu, puis utilisez l'option Créer une tâche planifiée pour déployer ce paquet de distribution.