Dell Trusted Device 데이터를 CrowdStrike 차세대 SIEM에 통합하는 방법

영향을 받는 제품:

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device는 운영 체제 아래에서 텔레메트리 데이터를 수집하여 실행 가능한 다양한 작업에 대한 귀중한 통찰력을 제공합니다. IT 전문가는 이 텔레메트리를 CrowdStrike Next-Gen SIEM에 업로드하여 지능형 공격을 탐지하고 대응하는 능력을 향상시킬 수 있습니다. 이 통합은 디바이스 상태 및 보안에 대한 포괄적인 보기를 제공하여 보다 효과적인 모니터링 및 인시던트 대응을 가능하게 합니다. 다음 섹션에서는 제시된 순서대로 수행해야 하는 전체 설정 프로세스를 안내합니다.

목차

• 필수 구성 요소
• Dell Trusted Device 설치 확인
• CrowdStrike Falcon에 로그인
• CrowdStrike에서 HEC/HTTP 데이터 커넥터 구성 및 활성화
• 데이터 수집기 구성
• LogScale Collector 설치

필수 구성 요소

• CrowdStrike Falcon 차세대 SIEM

맨 위로 이동

Dell Trusted Device 설치 확인

텔레메트리를 생성하는 Dell Trusted Device가 설치되어 있어야 합니다. 이러한 문서는 필요한 경우 Dell Trusted Device를 다운로드하고 설치하는 데 도움이 됩니다.

• Dell Trusted Device 다운로드 방법
• Dell Trusted Device 설치 방법

맨 위로 이동

CrowdStrike Falcon에 로그인

1. Google Chrome 또는 Microsoft Edge 브라우저에서 Falcon 콘솔 로그인 URL로 이동합니다.
   • 팔콘 US-1: https://falcon.crowdstrike.com/login/
   • 팔콘 US-2: https://falcon.us-2.crowdstrike.com/login/
   • 팔콘 EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • 팔콘 US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Falcon Console에 로그인합니다.
   

맨 위로 이동

CrowdStrike에서 HEC/HTTP 데이터 커넥터 구성 및 활성화

1. 왼쪽 메뉴 창에서 Next-Gen SIEM 을 클릭한 다음 Data onboarding을 선택합니다.
   
2. Connections(연결) 섹션에서 + Add connection(연결 추가)을 클릭합니다.
   
3. Filter by connector name(커넥터 이름 별 필터링) 을 클릭하고 HEC/HTTP Event Connector(HEC/HTTP 이벤트 커넥터)를 입력한 다음 Apply(적용)를 클릭합니다.
   
   참고: 또는 모든 커넥터를 찾아 HEC/HTTP를 수동으로 찾을 수 있습니다.
4. HEC/HTTP Event Connector를 클릭합니다.
   
5. 새 연결 창에서 구성을 클릭합니다.
   
6. Add new connector(새 커넥터 추가) 페이지에서 아래 정보를 입력하고, 확인란을 클릭하여 사용 약관에 동의하고, Create connection(연결 만들기)을 클릭합니다.
   • 데이터 출처: 고객 생성
   • 커넥터 이름: 고객 생성
   • Description (Optional): 고객 생성
   • 파서: dell-trusteddevice(Dell Trusted Device)
   
7. Connector setup in progress(커넥터 설정 진행 중) 대화 상자에서 Close(닫기)를 클릭합니다.
   
8. 왼쪽 상단에서 데이터 연결을 클릭합니다.
   
   참고: 또는 3단계를 반복하여 동일한 영역으로 돌아갈 수 있습니다.
9. 데이터 온보딩(Data Onboarding) 페이지에서 CrowdStrike의 HEC/HTTP 데이터 커넥터 구성 및 활성화 (위의 6단계)에서 생성된 데이터 연결을 찾아 연결 이름을 선택합니다.
   
10. API 키 생성을 클릭하여 새 API 키를 생성합니다.
    
    참고: API 키는 한 번만 표시됩니다. 향후 단계에서 사용할 수 있도록 복사하여 안전하게 저장하십시오.
11. API 키를 문서화한 후 닫기를 클릭합니다.
    
    참고: API 키를 다시 생성해야 하는 경우 11단계를 반복하고 오른쪽 상단의 API 키 재생성 버튼을 사용할 수 있습니다.
    

맨 위로 이동

데이터 수집기 구성

1. 왼쪽 메뉴 창에서 Next-Gen SIEM 을 클릭한 다음 Data onboarding을 선택합니다.
   
2. Data onboarding 페이지에서 Fleet management를 클릭합니다.
   
3. Fleet management 페이지에서 Config overview를 클릭합니다.
   
4. 구성 개요 페이지에서 + 새 구성을 클릭합니다.
   
5. New Config 대화 상자에서 Name을 입력하고 Empty config를 선택한 다음 Create new를 클릭합니다.
   
6. 초안 편집기에서 아래 정보를 입력합니다. 토큰 및 URL 값은 CrowdStrike에서 HEC/HTTP 데이터 커넥터 구성 및 활성화 (13단계)를 참조하십시오.

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. 6단계에서 정보를 입력했으면 Save를 클릭한 다음 Publish를 클릭합니다.
   
8. Fleet management(플릿 관리)에서 Enrollment tokens(등록 토큰)를 클릭합니다.
   
9. + 새 토큰을 클릭합니다.
   
10. 새 등록 토큰 대화 상자에서 토큰 이름을 제공하고 할당된 구성 선택 목록을 사용하여 5단계에서 구성 이름을 선택한 다음 토큰 생성을 클릭합니다.
    

맨 위로 이동

LogScale Collector 설치

1. 왼쪽 메뉴 창에서 Next-Gen SIEM 을 클릭한 다음 Data onboarding을 선택합니다.
   
2. Data onboarding 페이지에서 Fleet management를 클릭합니다.
   
3. Get LogScale Collector를 클릭합니다.
   
4. Get Falcon LogScale Collector 대화 상자에서 Windows를 클릭하고 Select an enrollment token 선택 목록에서 데이터 수집기 구성 (10단계) 중에 생성된 토큰을 선택한 다음 복사 버튼을 클릭합니다.
   
5. Windows에서 시작 버튼을 오른쪽 클릭하고 터미널(관리자)을 선택합니다.
   
   참고: Windows 사용자 계정 컨트롤을 입력하라는 메시지가 표시되면 예를 클릭합니다.
6. 터미널 창에서 데이터 수집기 구성 (6단계)에서 복사한 명령을 붙여넣고 Enter 키를 누릅니다.
   
7. 명령이 성공적으로 완료되면 아래와 같이 "Bootstrap complete" 메시지가 표시됩니다.
   

맨 위로 이동