Dell Güvenilir Aygıt Verilerini CrowdStrike Yeni Nesil SIEM'e Entegre Etme

Etkilenen Ürünler:

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device, işletim sisteminin altından telemetri verilerini toplayarak eyleme dönüştürülebilir çeşitli görevler için değerli bilgiler sağlar. BT uzmanları bu telemetriyi CrowdStrike Yeni Nesil SIEM'e yükleyerek gelişmiş tehditleri algılama ve bunlara yanıt verme becerilerini geliştirebilir. Bu entegrasyon, cihaz sağlığı ve güvenliğinin kapsamlı bir görünümünü sunarak daha etkili izleme ve olay müdahalesi sağlar. Aşağıdaki bölümler, sunulan sırayla izlenmesi gereken eksiksiz kurulum sürecinde size rehberlik eder.

İçindekiler

• Önkoşullar
• Dell Güvenilir Aygıt Yüklemesini Onaylayın
• CrowdStrike Falcon da oturum açın
• CrowdStrike'ta HEC/HTTP veri konnektörünü yapılandırma ve etkinleştirme
• Veri göndericiyi yapılandırma
• LogScale Toplayıcısını Yükleme

Önkoşullar

• CrowdStrike Falcon Yeni Nesil SIEM

Başa Dön

Dell Güvenilir Aygıt Yüklemesini Onaylayın

Dell Trusted Device yüklü olmalı ve telemetri oluşturulmalıdır. Bu makaleler, gerekirse Dell Trusted Device ı indirip yüklemenize yardımcı olur.

• Dell Trusted Device ı İndirme
• Dell Trusted Device ı Yükleme

Başa Dön

CrowdStrike Falcon da oturum açın

1. Bir Google Chrome veya Microsoft Edge tarayıcısında Falcon konsolu oturum açma bilgilerinize gidin URL.
   • Falcon US-1: https://falcon.crowdstrike.com/login/
   • Falcon US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Falcon Console'da Log In (Oturum Aç) öğesine tıklayarak oturum açın.
   

Başa Dön

CrowdStrike'ta HEC/HTTP veri konnektörünü yapılandırma ve etkinleştirme

1. Sol menü bölmesinde Yeni Nesil SIEM'e tıklayın ve ardından Veri ekleme'yi seçin.
   
2. Bağlantılar bölümünde + Bağlantı ekle'ye tıklayın.
   
3. Bağlayıcı adına göre filtrele'ye tıklayın ve HEC/HTTP Olay Bağlayıcısı girin, ardından Uygula'ya tıklayın.
   
   Not: Alternatif olarak, tüm bağlayıcılara göz atabilir ve HEC/HTTP'yi manuel olarak bulabilirsiniz.
4. HEC/HTTP Olay Bağlayıcısı'na tıklayın.
   
5. New connection bölmesinde Configure öğesine tıklayın.
   
6. Yeni bağlayıcı ekle sayfasında aşağıdaki bilgileri girin, Hüküm ve Koşulları kabul etmek için onay kutusuna tıklayın ve Bağlantı oluştur'a tıklayın.
   • Veri Kaynağı: Müşteri Tarafından Oluşturuldu
   • Bağlayıcı Adı: Müşteri Tarafından Oluşturuldu
   • Açıklama (İsteğe bağlı): Müşteri Tarafından Oluşturuldu
   • Ayrıştırıcılar: dell-trusteddevice (Dell Güvenilir Aygıt)
   
7. Bağlayıcı kurulumu devam ediyor iletişim kutusunda Kapat'a tıklayın.
   
8. Sol üstteki Veri bağlantıları'na tıklayın.
   
   Not: Alternatif olarak, aynı alana geri dönmek için 3. adımı tekrarlayabilirsiniz.
9. Data Onboarding sayfasında, CrowdStrike'ta HEC/HTTP veri bağlayıcısını yapılandırma ve etkinleştirme (Yukarıdaki 6. Adım) bölümünde oluşturulan veri bağlantısını bulun ve Bağlantı adını seçin.
   
10. Yeni bir API anahtarı oluşturmak için API anahtarı oluştur'a tıklayın.
    
    Not: API anahtarı yalnızca bir kez görüntülenir. Kopyalayın ve sonraki bir adımda kullanmak üzere güvenli bir şekilde saklayın.
11. API anahtarınızı belgeledikten sonra Kapat'a tıklayın.
    
    Not: API anahtarını yeniden oluşturmanız gerekiyorsa, Adım 11'i tekrarlayabilir ve sağ üstteki API Anahtarını Yeniden Oluştur düğmesini kullanabilirsiniz.
    

Başa Dön

Veri göndericiyi yapılandırma

1. Sol menü bölmesinde Yeni Nesil SIEM'e tıklayın ve ardından Veri ekleme'yi seçin.
   
2. Veri ekleme sayfasından Filo yönetimi'ne tıklayın.
   
3. Fleet management sayfasından Config overview'a tıklayın.
   
4. Yapılandırmaya genel bakış sayfasında + Yeni yapılandırma'ya tıklayın
   
5. Yeni Yapılandırma iletişim kutusunda bir Ad girin, Boş yapılandırma'yı seçin ve Yeni oluştur'a tıklayın.
   
6. Taslak düzenleyicide aşağıdaki bilgileri girin. Belirteç ve URL değerleri için CrowdStrike'ta HEC/HTTP veri konnektörünü yapılandırma ve etkinleştirme (13. Adım) bölümüne bakın.

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. 6. adımdaki bilgileri girdikten sonra Save (Kaydet) seçeneğine ve ardından Publish (Yayınla) seçeneğine tıklayın.
   
8. Filo yönetimi'nden Kayıt belirteçleri'ne tıklayın.
   
9. + Yeni belirteç'e tıklayın.
   
10. Yeni Kayıt belirteci iletişim kutusunda bir belirteç adı girin, atanan yapılandırma seçim listesini kullanarak Adım 5'te yapılandırma adını seçin ve ardından Belirteç oluştur'a tıklayın.
    

Başa Dön

LogScale Toplayıcısını Yükleme

1. Sol menü bölmesinde Yeni Nesil SIEM'e tıklayın ve ardından Veri ekleme'yi seçin.
   
2. Veri ekleme sayfasından Filo yönetimi'ne tıklayın.
   
3. Get LogScale Collector öğesine tıklayın.
   
4. Get Falcon LogScale Collector iletişim kutusunda Windows'a tıklayın, Kayıt belirteci seçin seçim listesinde Veri göndericiyi yapılandırma (Adım 10) sırasında oluşturulan belirteci seçin, ardından Kopyala düğmesine tıklayın.
   
5. Windows'da, Başlat Düğmesine sağ tıklayın ve Terminal (Yönetici) öğesini seçin.
   
   Not: Windows Kullanıcı Hesabı Denetimi için istem görüntülenirse Evet öğesine tıklayın.
6. Terminal penceresinde, Veri göndericisini yapılandır (6. adım) bölümünden kopyalanan komutu yapıştırın ve Enter tuşuna basın.
   
7. Komut başarıyla tamamlandığında aşağıdaki gibi bir "Bootstrap complete" mesajı görürsünüz.
   

Başa Dön