Så här integrerar du data från Dell Trusted Device i CrowdStrike Next-Gen SIEM

Berörda produkter:

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device samlar in telemetridata underifrån operativsystemet vilket ger värdefulla insikter för olika åtgärdbara uppgifter. Genom att ladda upp denna telemetri till CrowdStrike Next-Gen SIEM kan IT-proffs förbättra sin förmåga att upptäcka och reagera på avancerade hot. Den här integreringen ger en omfattande vy över enhetens hälsa och säkerhet, vilket möjliggör effektivare övervakning och incidenthantering. I följande avsnitt får du hjälp med hela installationsprocessen, som bör följas i den ordning som visas.

Innehållsförteckning

• Förutsättningar
• Bekräfta Dell Trusted Device Installation
• Logga in på CrowdStrike Falcon
• Konfigurera och aktivera HEC/HTTP-dataanslutningen i CrowdStrike
• Konfigurera dataavsändaren
• Installera LogScale Collector

Förutsättningar

• CrowdStrike Falcon nästa generations SIEM

Överst på sidan

Bekräfta Dell Trusted Device Installation

Dell Trusted Device måste installeras och generera telemetri. De här artiklarna hjälper dig att ladda ner och installera Dell Trusted Device om det behövs.

• Så här hämtar du Dell Trusted Device
• Installera Dell Trusted Device

Överst på sidan

Logga in på CrowdStrike Falcon

1. I en Google Chrome- eller Microsoft Edge-webbläsare går du till din Falcon-konsolinloggning URL.
   • Falcon US-1: https://falcon.crowdstrike.com/login/
   • Falcon US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Logga in på Falcon Console.
   

Överst på sidan

Konfigurera och aktivera HEC/HTTP-dataanslutningen i CrowdStrike

1. I det vänstra menyfönstret klickar du på Nästa generations SIEM och väljer sedan Dataregistrering.
   
2. I avsnittet Anslutningar klickar du på + Lägg till anslutning.
   
3. Klicka på Filtrera efter anslutningsnamn och ange HEC/HTTP Event Connector och klicka sedan på Använd.
   
   Obs! Du kan också bläddra bland alla anslutningsappar och hitta HEC/HTTP manuellt.
4. Klicka på HEC/HTTP Event Connector.
   
5. I fönstret Ny anslutning klickar du på Konfigurera.
   
6. På sidan Lägg till ny anslutningsapp anger du informationen nedan, klickar på kryssrutan för att godkänna villkoren och klickar på Skapa anslutning.
   • Datakälla: Skapad av kund
   • Anslutningsappens namn: Skapad av kund
   • Beskrivning (valfritt): Skapad av kund
   • Parsrar: dell-trusteddevice (Dell Trusted Device)
   
7. I dialogrutan Konfiguration av anslutningsprogram pågår klickar du på Stäng.
   
8. Klicka på Dataanslutningar uppe till vänster.
   
   Obs! Alternativt kan du upprepa steg 3 för att återgå till samma område.
9. På sidan Data Onboarding letar du upp dataanslutningen som skapades i Configure and activate the HEC/HTTP-data connector i CrowdStrike (steg 6 ovan) och väljer Connection name.
   
10. Klicka på Generera API-nyckel för att generera en ny API-nyckel.
    
    Obs! API-nyckeln visas bara en gång. Kopiera den och förvara den på ett säkert sätt för användning i ett framtida steg.
11. När du har dokumenterat din API-nyckel klickar du på Stäng.
    
    Obs! Om du måste återskapa API-nyckeln kan du upprepa steg 11 och använda knappen Återskapa API-nyckel längst upp till höger.
    

Överst på sidan

Konfigurera dataavsändaren

1. I det vänstra menyfönstret klickar du på Nästa generations SIEM och väljer sedan Dataregistrering.
   
2. På sidan Data onboarding klickar du på Fleet management.
   
3. På sidan Vagnparkshantering klickar du på Config overview.
   
4. På sidan Konfigurationsöversikt klickar du på + Ny konfiguration
   
5. I dialogrutan Ny konfiguration anger du ett namn, väljer Tom konfiguration och klickar sedan på Skapa ny.
   
6. Ange informationen nedan i utkastredigeraren. Information om token- och URL-värden finns i Konfigurera och aktivera HEC/HTTP-dataanslutningsappen i CrowdStrike (steg 13).

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. När du har angett informationen från steg 6 klickar du på Spara och sedan på Publicera.
   
8. Från Vagnparkshantering klickar du på Registreringstoken.
   
9. Klicka på + Ny token.
   
10. I den nya dialogrutan Registreringstoken anger du ett tokennamn, använder den tilldelade konfigurationslistan, väljer konfigurationsnamnet från steg 5 och klickar sedan på Skapa token.
    

Överst på sidan

Installera LogScale Collector

1. I det vänstra menyfönstret klickar du på Nästa generations SIEM och väljer sedan Dataregistrering.
   
2. På sidan Data onboarding klickar du på Fleet management.
   
3. Klicka på Hämta LogScale Collector.
   
4. I dialogrutan Hämta Falcon LogScale Collector klickar du på Windows, i listrutan Välj en registreringstoken väljer du den token som skapades under Konfigurera dataavsändaren (steg 10) och klickar sedan på knappen Kopiera .
   
5. I Windows högerklickar du på Start-knappen och väljer Terminal (Admin).
   
   Obs! Klicka på Ja om du uppmanas att ange Windows User Account Control.
6. I terminalfönstret klistrar du in kommandot som kopierats från Konfigurera dataavsändaren (steg 6) och trycker på Retur.
   
7. När kommandot har slutförts visas meddelandet "Bootstrap complete" som nedan.
   

Överst på sidan