Как интегрировать Dell Trusted Device Data в SIEM нового поколения для CrowdStrike

Затронутые продукты:

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device собирает телеметрические данные из нерезидентных баз операционной системы, предоставляя ценную аналитическую информацию для различных практических задач. Загрузив эти данные телеметрии в CrowdStrike Next-Gen SIEM, ИТ-специалисты могут расширить свои возможности по обнаружению и устранению сложных угроз. Такая интеграция обеспечивает комплексное представление о работоспособности и безопасности устройств, обеспечивая более эффективный мониторинг и реагирование на инциденты. В следующих разделах описывается полный процесс настройки, который должен выполняться в указанном порядке.

Содержание

• Предварительные условия
• Подтвердите установку Dell Trusted Device
• Вход в CrowdStrike Falcon
• Настройка и активация соединителя данных HEC/HTTP в CrowdStrike
• Настройка отправителя данных
• Установка LogScale Collector

Предварительные условия

• CrowdStrike Falcon SIEM нового поколения

В начало

Подтвердите установку Dell Trusted Device

Dell Trusted Device должно быть установлено и генерировать данные телеметрии. Эти статьи помогут вам скачать и установить Dell Trusted Device при необходимости.

• Как скачать Dell Trusted Device
• Как установить Dell Trusted Device

В начало

Вход в CrowdStrike Falcon

1. В браузере Google Chrome или Microsoft Edge перейдите к учетной записи Falcon Console URL.
   • Falcon US-1: https://falcon.crowdstrike.com/login/
   • Falcon US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Войдите в Falcon Console.
   

В начало

Настройка и активация соединителя данных HEC/HTTP в CrowdStrike

1. В левой панели меню нажмите Next-Gen SIEM , а затем выберите Data Onboarding.
   
2. В разделе Connections нажмите + Add connection.
   
3. Нажмите Фильтр по имени соединителя и введите HEC/HTTP Event Connector, затем щелкните Apply.
   
   Примечание. Кроме того, можно просмотреть все коннекторы и найти HEC/HTTP вручную.
4. Нажмите HEC/HTTP Event Connector.
   
5. На панели Новое подключение нажмите Настроить.
   
6. На странице Добавить новый соединитель введите сведения ниже, установите флажок, чтобы принять условия использования, и нажмите Создать подключение.
   • Источник данных: Создано заказчиком
   • Имя разъема: Создано заказчиком
   • Описание (опционально): Создано заказчиком
   • Средства синтаксического анализа: dell-trusteddevice (Доверенное устройство Dell)
   
7. В диалоговом окне Connector setup in progress нажмите Close.
   
8. Нажмите Подключения для передачи данных в левом верхнем углу.
   
   Примечание. Кроме того, можно повторить шаг 3, чтобы вернуться в ту же область.
9. На странице Регистрация данных найдите подключение для передачи данных, созданное в разделе Настройка и активация соединителя передачи данных HEC/HTTP в CrowdStrike (шаг 6 выше), и выберите Имя подключения.
   
10. Нажмите Создать ключ API, чтобы создать новый ключ API.
    
    Примечание. Ключ API отображается только один раз. Скопируйте его и сохраните в надежном месте для использования на следующем этапе.
11. После того как ключ API будет задокументирован, нажмите кнопку «Закрыть».
    
    Примечание. Если необходимо повторно создать ключ API, можно повторить шаг 11 и использовать кнопку Создать повторный ключ API в правом верхнем углу.
    

В начало

Настройка отправителя данных

1. В левой панели меню нажмите Next-Gen SIEM , а затем выберите Data Onboarding.
   
2. На странице Подключение данных нажмите Управление парком.
   
3. На странице «Fleet management» нажмите Config overview.
   
4. На странице «Config Overview» нажмите + New config
   
5. В диалоговом окне «Новая конфигурация» введите Имя, выберите Пустая конфигурация, затем нажмите Создать новую.
   
6. В редакторе черновика введите следующую информацию. Значения токена и URL-адреса см. в разделе Настройка и активация соединителя данных HEC/HTTP в CrowdStrike (шаг 13).

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. После ввода информации, введенной на шаге 6, нажмите Сохранить, а затем выберите Опубликовать.
   
8. В разделе Управление парком устройств нажмите Токены регистрации.
   
9. Нажмите + Новый токен.
   
10. В новом диалоговом окне Enrollment token введите имя токена, используя раскрывающийся список назначенной конфигурации, выберите имя конфигурации из шага 5, а затем нажмите Create token.
    

В начало

Установка LogScale Collector

1. В левой панели меню нажмите Next-Gen SIEM , а затем выберите Data Onboarding.
   
2. На странице Подключение данных нажмите Управление парком.
   
3. Нажмите Получить LogScale Collector.
   
4. В диалоговом окне Получение сборщика Falcon LogScale нажмите Windows, в раскрывающемся списке Выберите маркер регистрации выберите маркер, созданный во время настройки отправителя данных (шаг 10), затем нажмите кнопку Копировать .
   
5. В Windows нажмите правой кнопкой мыши кнопку «Пуск» и выберите Терминал (администратор).
   
   Примечание. Нажмите Да при появлении запроса на управление учетными записями пользователей Windows.
6. В окне терминала вставьте команду, скопированную из раздела Настройка отправителя данных (шаг 6), и нажмите Enter.
   
7. После успешного завершения команды вы увидите сообщение «Bootstrap complete», как показано ниже.
   

В начало