Dell Trusted Device Data integreren in CrowdStrike Next-Gen SIEM

Betreffende producten:

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device verzamelt telemetriedata van onder het besturingssysteem en biedt waardevolle inzichten voor verschillende uitvoerbare taken. Door deze telemetrie te uploaden naar CrowdStrike Next-Gen SIEM, kunnen IT-professionals geavanceerde bedreigingen beter detecteren en erop reageren. Deze integratie biedt een uitgebreid overzicht van de status en beveiliging van apparaten, waardoor effectievere bewaking en incidentrespons mogelijk zijn. De volgende gedeelten leiden u door het volledige installatieproces, dat in de weergegeven volgorde moet worden gevolgd.

Inhoudsopgave

• Vereisten
• Installatie van Dell Trusted Device bevestigen
• Meld u aan bij CrowdStrike Falcon
• Configureer en activeer de HEC/HTTP-gegevensconnector in CrowdStrike
• De gegevensverzender configureren
• De LogScale Collector installeren

Vereisten

• CrowdStrike Falcon Next-Gen SIEM

Terug naar boven

Installatie van Dell Trusted Device bevestigen

Dell Trusted Device moet worden geïnstalleerd en telemetrie genereren. Deze artikelen helpen u bij het downloaden en installeren van Dell Trusted Device indien nodig.

• Dell Trusted Device downloaden
• Dell Trusted Device installeren

Terug naar boven

Meld u aan bij CrowdStrike Falcon

1. Ga in een Google Chrome- of Microsoft Edge-browser naar uw Falcon-console-aanmelding URL.
   • Valk US-1: https://falcon.crowdstrike.com/login/
   • Valk US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Meld u aan bij de Falcon Console.
   

Terug naar boven

Configureer en activeer de HEC/HTTP-gegevensconnector in CrowdStrike

1. Klik in het linkermenuvenster op Next-Gen SIEM en selecteer vervolgens Data onboarding.
   
2. Klik in het gedeelte Verbindingen op + Verbinding toevoegen.
   
3. Klik op Filteren op connectornaam en voer HEC/HTTP Event Connector in en klik vervolgens op Toepassen.
   
   Opmerking: U kunt ook door alle connectoren bladeren en handmatig naar HEC/HTTP zoeken.
4. Klik op HEC/HTTP Event Connector.
   
5. Klik in het deelvenster Nieuwe verbinding op Configureren.
   
6. Voer op de pagina Nieuwe connector toevoegen de onderstaande informatie in, klik op het selectievakje om de algemene voorwaarden te accepteren en klik op Verbinding maken.
   • Databron: Door de klant gemaakt
   • Connector Name: Door de klant gemaakt
   • Beschrijving (optioneel): Door de klant gemaakt
   • Parsers: dell-trusteddevice (Dell Trusted Device)
   
7. Klik in het dialoogvenster Connector instellen op Sluiten.
   
8. Klik linksboven op Dataverbindingen .
   
   Opmerking: U kunt ook stap 3 herhalen om terug te keren naar hetzelfde gebied.
9. Zoek op de pagina Data Onboarding de dataverbinding die is gemaakt in Configure en activeer de HEC/HTTP-dataconnector in CrowdStrike (stap 6 van hierboven) en selecteer de naam van de verbinding.
   
10. Klik op API-sleutel genereren om een nieuwe API-sleutel te genereren.
    
    Opmerking: De API-sleutel wordt slechts één keer weergegeven. Kopieer het en bewaar het veilig voor gebruik in een volgende stap.
11. Zodra u uw API-sleutel hebt gedocumenteerd, klikt u op Sluiten.
    
    Opmerking: Als u de API-sleutel opnieuw moet genereren, kunt u stap 11 herhalen en de knop API-sleutel opnieuw genereren in de rechterbovenhoek gebruiken.
    

Terug naar boven

De gegevensverzender configureren

1. Klik in het linkermenuvenster op Next-Gen SIEM en selecteer vervolgens Data onboarding.
   
2. Klik op de pagina Data onboarding op Fleet management.
   
3. Klik op de pagina Wagenparkbeheer op Overzicht configuratie.
   
4. Klik op de overzichtspagina Configuratie op + Nieuwe configuratie
   
5. Voer in het dialoogvenster Nieuwe configuratie een Naam in, selecteer Configuratie leegmaken en klik vervolgens op Nieuwe maken.
   
6. Voer in de Concepteditor de onderstaande informatie in. Voor de token- en URL-waarden raadpleegt u de HEC/HTTP-dataconnector configureren en activeren in CrowdStrike (stap 13).

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. Zodra u beschikt over de gegevens die u in stap 6 hebt ingevoerd, klikt u op Opslaan en vervolgens op Publiceren.
   
8. Klik in Fleet management op Registratietokens.
   
9. Klik op + Nieuw token.
   
10. Geef in het nieuwe dialoogvenster Inschrijvingstoken een tokennaam op. Selecteer met behulp van de keuzelijst voor configuratie de configuratienaam uit stap 5 en klik vervolgens op Token maken.
    

Terug naar boven

De LogScale Collector installeren

1. Klik in het linkermenuvenster op Next-Gen SIEM en selecteer vervolgens Data onboarding.
   
2. Klik op de pagina Data onboarding op Fleet management.
   
3. Klik op Get LogScale Collector.
   
4. Klik in het dialoogvenster Falcon LogScale Collector ophalen op Windows, kies in de keuzelijst Een inschrijvingstokje selecteren het token dat is gemaakt tijdens De dataverzender configureren (stap 10) en klik vervolgens op de knop Kopiëren .
   
5. In Windows drukt u op de Start-knop en selecteert u Terminal (Admin).
   
   Opmerking: Klik op Ja als u hierom wordt gevraagd voor Windows-gebruikersaccountbeheer.
6. Plak in het venster Terminal de opdracht die is gekopieerd van Configure the data shipper (stap 6) en druk op Enter.
   
7. Zodra de opdracht is voltooid, ziet u het bericht "Bootstrap complete", zoals hieronder.
   

Terug naar boven