Управление агентами CrowdStrike (версия 2019 SU3)

Многие компании используют CrowdStrike для защиты конечных систем. CrowdStrike имеет собственную консоль управления, которую вы можете использовать для управления вашей средой CrowdStrike.

ПО Endpoint Manager содержит и другие функции агента CrowdStrike в дополнение к виду действий безопасности CrowdStrike. Этот вид может помочь вам убедиться в том, что агент CrowdStrike развернут на всех обнаруженных Endpoint Manager устройствах, и в правильности работы агента CrowdStrike.

Для использования вида действий безопасности CrowdStrike не требуется наличие лицензии ПО Endpoint Security.

Здесь представлен короткий видеоролик с обзором новых возможностей.

Вид действий безопасности CrowdStrike(3:52)

Для открытия вида действий безопасности CrowdStrike:
  • Нажмите Tools > Security and Compliance > Security Activity (Сервис > Безопасность и соответствие > Действие безопасности), а затем CrowdStrike > Managed Devices (CrowdStrike > Управляемые устройства).

Ввод учетных данных CrowdStrike

Перед использованием вида действий безопасности CrowdStrike необходимо добавить ваши учетные данные Центра действий CrowdStrike. Если вы не укажете учетные данные, в виде CrowdStrike > Управляемые устройства (CrowdStrike > Managed Devices) будет отображен красный баннер с предложением сделать это.

Эти учетные данные необходимы консоли Endpoint Manager для получения информации управляемых хостов непосредственно из CrowdStrike. Эти данные из CrowdStrike собираются сканером инвентаризации Endpoint Manager для формирования полной картины о состоянии агентов CrowdStrike в вашей среде.

В Центре действий вам будет предложено ввести ИД клиента и секрет CrowdStrike, которые можно получить на вашей консоли CrowdStrike. После их ввода нажмите Тест подключения (Test connection) для проверки возможности подключения консоли Endpoint Manager к CrowdStrike.

В ПО Диспетчера конечных систем, Endpoint Manager 2021.1, добавлена новая функция выбора Tenant для подключения на случай, если потребуется подключиться к конкретному Tenant CrowdStrike.

Для открытия Центра действий CrowdStrike:
  1. Нажмите Сервис > Безопасность и соответствие > Действия безопасности (Tools > Security and Compliance > Security Activity).
  2. На панели инструментов окна Действие безопасности (Security Activity) нажмите кнопку настроек и выберите Центр действий CrowdStrike (CrowdStrike Action Center).

Просмотр статуса и активности агентов CrowdStrike

Во время каждого открытия вида действий безопасности CrowdStrike Endpoint Manager использует облачный API-интерфейс CrowdStrike для получения данных инвентаризации и конфигурации. Вид содержит данные об устройствах, о которых CrowdStrike известно как об управляемых, и об устройствах, обнаруженных Endpoint Manager.

Используйте фильтры панели инструментов Показать (Show), Статус устройств (Device Status) и Последнее отображение (Last seen) для сужения списка отображаемых данных. Фильтры работают как операторы AND (И), поэтому надо избегать создания комбинаций фильтров, которые могут исключать искомые вами устройства.

  • Фильтр Показать (Show) может содержать Все устройства (All devices), Управляемые Ivanti (Ivanti managed) и Не управляемые Ivanti (Ivanti unmanaged) устройства.
  • Фильтр Статус устройств (Device status) может иметь значения Все (All), OK или Требуется действие (Action needed).
  • Фильтр Последнее отображение (Last seen) может использоваться для ввода даты. В виде отображаются любые устройства, о которых в CrowdStrike не было информации после выбранной даты.

Столбцы вида имеют значения Статус устройств (Device status) Причина (Reason). Например, статус может быть "Требуется действие" (Action Needed), а причина - "На устройстве не установлен агент CrowdStrike" (The device does not have a CrowdStrike agent installed).

Устройство считается имеющим нормальное состояние, если в CrowdStrike и сканере инвентаризации присутствует информация о том, что агент CrowdStrike установлен, и его версия соответствует требуемой.

В столбце Установлена версия (Version reported) демонстрируется версия агента, которая известна CrowdStrike. В столбце Версия, известная Ivanti представлена версия, обнаруженная сканером инвентаризации.

Статус Требуется действие (Action needed) может отображаться, когда сканер инвентаризации не обнаружил агент CrowdStrike или возникла другая проблема.

Далее представлено несколько способов, которые нужно использовать в виде действий безопасности CrowdStrike:

  • Используйте фильтр Не управляемые Ivanti (Ivanti unmanaged) и столбец для идентификации устройств, которыми нужно управлять с помощью Endpoint Manager.
  • Используйте фильтр Требуется действие (Action needed) и столбец для идентификации устройств без агентов CrowdStrike или с агентами, которые работают или сконфигурированы некорректно.
  • Используйте фильтр Последнее отображение (Last seen) и столбец Последнее отображение агента CrowdStrike (CrowdStrike agent last seen) для идентификации устройств с установленными агентами CrowdStrike, которые не отображаются в CrowdStrike. Это может помочь вам найти установки агента CrowdStrike, которые работают неверно, возможно, из-за брандмауэра или ошибок установки агента.

Исправление устройств со статусом 'Требуется действие'

Если для устройства требуется исправление, вы можете нажать его правой кнопкой мыши и отобразить контекстное меню, которое имеет содержимое подобное, отображаемому после нажатия правой кнопкой мыши устройства в главном виде Сеть (Network). В этом меню вы можете выполнить множество задач управления, таких как запуск сеанса удаленного управления или развертывание программного обеспечения. Имейте в виду, что контекстное меню для устройств без агента Endpoint Manager ограничено, так как нет агент для взаимодействия.

Восстановление установки ПО агента CrowdStrike может исправить множество проблем. Если вы хотите сделать это, сначала нужно создать пакет установки агента CrowdStrike. Для получения дополнительной информации посетите следующую страницу: https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager.

После создания пакета установки агента CrowdStrike нажмите нужное устройство правой кнопкой мыши и используйте параметр Создать запланированную задачу (Create scheduled task) для развертывания этого пакета распространения.