Jak integrovat data z důvěryhodných zařízení Dell do řešení CrowdStrike SIEM nové generace

Dotčené produkty:

• Dell Trusted Device
• CrowdStrike

Nástroj Dell Trusted Device shromažďuje telemetrická data zespodu operačního systému a poskytuje cenné poznatky pro různé akční úlohy. Odesláním této telemetrie do řešení CrowdStrike SIEM nové generace mohou odborníci v oblasti IT zlepšit svou schopnost detekovat pokročilé hrozby a reagovat na ně. Tato integrace nabízí komplexní přehled o stavu a zabezpečení zařízení, což umožňuje efektivnější monitorování a reakci na incidenty. Následující části vás provedou celým procesem nastavení, který je třeba dodržet v uvedeném pořadí.

Obsah

• Požadavky
• Potvrzení instalace nástroje Dell Trusted Device
• Přihlaste se do aplikace CrowdStrike Falcon.
• Konfigurace a aktivace datového konektoru HEC/HTTP v softwaru CrowdStrike
• Konfigurace odesílatele dat
• Instalace kolektoru LogScale

Požadavky

• Řešení CrowdStrike Falcon SIEM nové generace

Zpět na začátek

Potvrzení instalace nástroje Dell Trusted Device

Musí být nainstalováno Dell Trusted Device, které generuje telemetrii. Tyto články vám v případě potřeby pomohou stáhnout a nainstalovat nástroj Dell Trusted Device.

• Jak stáhnout nástroj Dell Trusted Device
• Jak nainstalovat nástroj Dell Trusted Device

Zpět na začátek

Přihlaste se do aplikace CrowdStrike Falcon.

1. V prohlížeči Google Chrome nebo Microsoft Edge přejděte do své přihlašovací domény Falcon Console UŘL.
   • Falcon US-1: https://falcon.crowdstrike.com/login/
   • Falcon US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Přihlaste se do aplikace Falcon Console.
   

Zpět na začátek

Konfigurace a aktivace datového konektoru HEC/HTTP v softwaru CrowdStrike

1. V levém podokně nabídky klikněte na Next-Gen SIEM a pak vyberte Data onboarding.
   
2. V části Připojení klikněte na + Přidat připojení.
   
3. Klikněte na možnost Filtrovat podle názvu konektoru, zadejte možnost Konektor událostí HEC/HTTP a klikněte na tlačítko Použít.
   
   Poznámka: Případně můžete procházet všechny konektory a vyhledat HEC/HTTP ručně.
4. Klikněte na položku Konektor událostí HEC/HTTP.
   
5. V podokně Nové připojení klikněte na Konfigurovat.
   
6. Na stránce Přidat nový konektor zadejte níže uvedené informace, kliknutím na zaškrtávací políčko přijměte smluvní podmínky a klikněte na Vytvořit připojení.
   • Zdroj dat: Vytvořeno zákazníkem
   • Název konektoru: Vytvořeno zákazníkem
   • Popis (volitelné): Vytvořeno zákazníkem
   • Analyzátory: dell-trusteddevice (Dell Trusted Device)
   
7. V dialogovém okně Probíhá nastavení konektoru klikněte na tlačítko Zavřít.
   
8. Vlevo nahoře klikněte na Datová připojení .
   
   Poznámka: Případně můžete zopakovat krok 3 a vrátit se do stejné oblasti.
9. Na stránce Data Onboarding vyhledejte datové připojení vytvořené v části Konfigurace a aktivace datového konektoru HEC/HTTP v aplikaci CrowdStrike (krok 6 shora) a vyberte název připojení.
   
10. Kliknutím na tlačítko Generate API Key vygenerujte nový klíč API.
    
    Poznámka: Klíč API se zobrazí pouze jednou. Zkopírujte jej a bezpečně uložte, abyste jej mohli použít v dalším kroku.
11. Jakmile budete mít klíč API zdokumentovaný, klikněte na Zavřít.
    
    Poznámka: Pokud potřebujete znovu vygenerovat klíč rozhraní API, můžete zopakovat krok 11 a použít tlačítko Znovu vygenerovat klíč rozhraní API v pravém horním rohu.
    

Zpět na začátek

Konfigurace odesílatele dat

1. V levém podokně nabídky klikněte na Next-Gen SIEM a pak vyberte Data onboarding.
   
2. Na stránce Data onboarding klikněte na možnost Správa vozového parku.
   
3. Na stránce Správa flotily klikněte na možnost Přehled konfigurace.
   
4. Na stránce Přehled konfigurace klikněte na + Nová konfigurace
   
5. V dialogovém okně Nová konfigurace zadejte Název, vyberte možnost Prázdná konfigurace a klikněte na možnost Vytvořit novou.
   
6. V editoru pracovních verzí zadejte níže uvedené informace. Hodnoty Token a URL najdete v článku Konfigurace a aktivace datového konektoru HEC/HTTP v aplikaci CrowdStrike (krok 13).

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. Po zadání informací z kroku 6 klikněte na tlačítko Save a potom na tlačítko Publish.
   
8. V části Správa flotily klikněte na možnost Registrační tokeny.
   
9. Klikněte na + Nový token.
   
10. V novém dialogovém okně Registrační token zadejte název tokenu, pomocí přiřazeného rozevíracího seznamu konfigurace vyberte název konfigurace z kroku 5 a pak klikněte na Vytvořit token.
    

Zpět na začátek

Instalace kolektoru LogScale

1. V levém podokně nabídky klikněte na Next-Gen SIEM a pak vyberte Data onboarding.
   
2. Na stránce Data onboarding klikněte na možnost Správa vozového parku.
   
3. Klikněte na možnost Get LogScale Collector.
   
4. V dialogovém okně Get Falcon LogScale Collector klikněte na možnost Windows, v rozevíracím seznamu Select an enrollment token vyberte token vytvořený během konfigurace odesílatele dat (krok 10) a klikněte na tlačítko Copy .
   
5. V systému Windows klikněte pravým tlačítkem Start a vyberte možnost Terminál (správce).
   
   Poznámka: Pokud budete vyzváni k zadání možnosti Řízení uživatelských účtů systému Windows, klikněte na tlačítko Ano.
6. Do okna terminálu vložte příkaz zkopírovaný z části Konfigurace odesílatele dat (krok 6) a stiskněte Enter.
   
7. Po úspěšném dokončení příkazu se zobrazí zpráva "Bootstrap complete", jak je uvedeno níže.
   

Zpět na začátek