Dell Trusted DeviceのデータをCrowdStrike Next-Gen SIEMに統合する方法

対象製品：

• Dell Trusted Device
• CrowdStrike

Dell Trusted Deviceは、オペレーティング システムの下からテレメトリー データを収集し、さまざまな実行可能なタスクに役立つインサイトを提供します。このテレメトリーをCrowdStrike Next-Gen SIEMにアップロードすることで、ITプロフェッショナルは高度な脅威を検出して対応する能力を強化できます。この統合により、デバイスの正常性とセキュリティを包括的に把握できるため、より効果的なモニタリングとインシデント対応が可能になります。以降のセクションでは、セットアップ プロセス全体について説明します。セットアップ プロセスは、順番に従って行ってください。

目次

• 必要条件
• Dell Trusted Deviceのインストールの確認
• CrowdStrike Falconへのログイン
• CrowdStrikeでのHEC/HTTPデータ コネクターの設定とアクティブ化
• データシッパーの設定
• LogScaleコレクターのインストール

必要条件

• CrowdStrike Falcon次世代SIEM

トップに戻る

Dell Trusted Deviceのインストールの確認

Dell Trusted Deviceがインストールされ、テレメトリーが生成されている必要があります。以下の記事は、必要に応じてDell Trusted Deviceをダウンロードしてインストールするのに役立ちます。

• Dell Trusted Deviceをダウンロードする方法
• Dell Trusted Deviceをインストールする方法

トップに戻る

CrowdStrike Falconへのログイン

1. Google ChromeまたはMicrosoft Edgeブラウザーで、Falconコンソールの ログインURLに移動します。
   • ファルコンUS-1: https://falcon.crowdstrike.com/login/
   • ファルコンUS-2: https://falcon.us-2.crowdstrike.com/login/
   • ファルコンEU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Falcon Consoleにログインします。
   

トップに戻る

CrowdStrikeでのHEC/HTTPデータ コネクターの設定とアクティブ化

1. 左側のメニュー ペインで、 Next-Gen SIEM をクリックし、 Data onboardingを選択します。
   
2. [接続] セクションで、[ + 接続の追加] をクリックします。
   
3. [ Filter by connector name] をクリックし、「 HEC/HTTP Event Connector」と入力して、[ Apply] をクリックします。
   
   注：または、すべてのコネクタを参照し、手動で HEC/HTTP を見つけることもできます。
4. HEC/HTTP Event Connectorをクリックします。
   
5. [新しい接続] ウィンドウで、[ 構成] をクリックします。
   
6. [新しいコネクターの追加]ページで、以下の情報を入力し、チェックボックスをクリックして契約条件に同意し、[ 接続の作成]をクリックします。
   • データソース: お客様が作成
   • コネクター名: お客様が作成
   • 説明(オプション): お客様が作成
   • パーサー:dell-trusteddevice(Dell Trusted Device)
   
7. [Connector setup in progress]ダイアログで、[ Close]をクリックします。
   
8. 左上の [データ接続 ]をクリックします。
   
   注：または、手順3を繰り返して同じエリアに戻ることもできます。
9. [Data Onboarding]ページで、「 CrowdStrikeでのHEC/HTTPデータ コネクターの設定と有効化 (上からの手順6)」で作成したデータ接続を見つけ、[ Connection name]を選択します。
   
10. [Generate API key] をクリックして、新しい API キーを生成します。
    
    注：APIキーは一度だけ表示されます。このファイルをコピーして安全に保管し、後の手順で使用することができます。
11. APIキーを文書化したら、[ Close]をクリックします。
    
    注：APIキーを再生成する必要がある場合は、ステップ11を繰り返して、右上の[ APIキーの再生成]ボタン を使用できます。
    

トップに戻る

データシッパーの設定

1. 左側のメニュー ペインで、 Next-Gen SIEM をクリックし、 Data onboardingを選択します。
   
2. [データ オンボーディング] ページで、[ フリート管理] をクリックします。
   
3. フリート管理ページで、 構成の概要をクリックします。
   
4. [構成の概要] ページで、 [+ 新しい構成] をクリックします
   
5. 「新規構成」ダイアログで、「名前」を入力し、「空の構成」を選択して、「 新規作成」をクリックします。
   
6. 下書きエディターで、以下の情報を入力します。トークンとURLの値については、 CrowdStrikeでのHEC/HTTPデータ コネクターの設定と有効化 (手順13)を参照してください。

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. ステップ6で入力した情報を入手したら、[Save]をクリックし、[ Publish]をクリックします。
   
8. フリート管理から、 登録トークンをクリックします。
   
9. [+ 新しいトークン] をクリックします。
   
10. [New Enrollment token]ダイアログで、トークン名を入力し、割り当てられた設定ピックリストを使用してステップ5の構成名を選択し、[ Create token]をクリックします。
    

トップに戻る

LogScaleコレクターのインストール

1. 左側のメニュー ペインで、 Next-Gen SIEM をクリックし、 Data onboardingを選択します。
   
2. [データ オンボーディング] ページで、[ フリート管理] をクリックします。
   
3. Get LogScale Collectorをクリックします。
   
4. [Get Falcon LogScale Collector]ダイアログで、[Windows]をクリックし、[Select an enrollment token]ピックリストで 、データシッパーの設定 (手順10)で作成したトークンを選択し、[ Copy ]ボタンをクリックします。
   
5. Windowsで[スタート]ボタンを右にクリックし、[ ターミナル(管理者)]を選択します。
   
   注：Windowsユーザー アカウント制御を求めるプロンプトが表示されたら、[Yes]をクリックします。
6. ターミナル ウィンドウで、「 データ シッパーの構成 (手順6)」からコピーしたコマンドを貼り付けて、 Enterキーを押します。
   
7. コマンドが正常に完了すると、次のような 「Bootstrap complete」 メッセージが表示されます。
   

トップに戻る