Crowdstrike

Version 2.1 by Dimitri Rupp on 2026/06/11 11:10
Warning
For security reasons, the document is displayed in restricted mode as it is not the current version. There may be differences and errors due to this.

Bei SPL Tele wird der Crowdstrike Endpoint Scanner eingesetzt. 
Der Client wird via Intune auf allen Geräten ausgerollt welche sich in der AAD Gruppe "EPM_Crowdstrike" befinden. 

Sobald der Client installiert ist, rennt dieser nur im "Abhören" Modus und ist noch nicht aktiv. Dies muss erst im Portal von Crowdstrike eingestellt werden. 
Erst wenn dort im Portal der jeweilige Client der Prevention Gruppe Zugeordnet ist, wird der Endpoint aktiv und die bis dato aktive Endpoint Lösung wird deaktiviert (nicht deinstalliert).

Zuordnung im Portal:

Über "Host setup and management" --> Host management

kann man sich eine Übersicht aller Clients anzeigen lassen.

crowdstrike1.jpg

In der Gesamtübersicht, hat man mehrere Möglichkeiten zur Filterung. 

crowdstrike2jpg.jpg

Nun N/A markieren, so das alle Geräte angezeigt werden welche aktuell keinem TAG zugewiesen sind.
Man kann jetzt alle Geräte markieren die dort angezeigt werden, dann auf "Add grouping tags" und dort "Prevention" eingeben, den vorschlag bestätigen und dann mit Apply übernehmen.

crowdstrike4.jpg

crowdstrike5.jpg

Hinweis: Nachdem der Tag zugewiesen wurde, kann es ein paar Minuten dauern bis dann auch die neuen Policies vom Client übernommen wurden

 


Info zur Zuweisung (TAGs + Hosting Groups)

Es gibt folgende TAGs welche zugeordnet werden können. Dabei bekommt ein neuer Client der sich bei dem Portal meldet immer N/A (Somit ist kein Tag vergeben). 
Die Tags welche man vergeben kann, bestimmen auch automatisch die Host Groups in denen ein Client landet.

Ein neuer Client ohne Tag bekommt immer Automatisch die "Windows Client Detection" sofern er eine Workstation ist.
EIn neuer Client vom Typ Server bekommt automatisch die Gruppe "Server Detection".

Vergibt man nun den Tag "Prevention" wird der jeweilige Client von der "Detection" Gruppe in die "Prevention" Gruppe verschoben. Damit ist dann auch die Endpoint Lösung aktiv.
Es gibt noch den Tag Troubleshooting, damit sollten Clients versehen werden bei denen vermutlich der Crowdstrike etwas blockt. Die Troubleshooting Gruppe die dahinter steht sorgt dann dafür das die Endpoint Lösung nur noch mit hört und nicht mehr aktiv blockt. 
crowdstrike3.jpg


Verwandte Themen

Kuratiert — kann direkt im Editor ergänzt werden://

Failed to execute the [velocity] macro. Cause: [The execution of the [velocity] script macro is not allowed in [xwiki:IT-Wiki.Makros.Verwandte-Themen.WebHome]. Check the rights of its last author or the parameters if it's rendered from another script.]. Click on this message for details.


Status: Migriert — Team-Review ausstehend · Owner: (festlegen) · Letzter Review: 2026-06-11