如何將 Dell 受信任裝置資料整合至 CrowdStrike Next Gen SIEM

受影響的產品：

• Dell Trusted Device
• CrowdStrike

Dell Trusted Device 會從作業系統底層收集遙測資料，為各種可執行的工作提供寶貴的深入見解。將此遙測資料上傳至 CrowdStrike Next Gen SIEM，IT 專業人員便可增強偵測和回應進階威脅的能力。此整合提供裝置健全狀況和安全性的全面檢視，可實現更有效的監控和事件回應。以下各節將指導您完成完整的設置過程，應按照顯示的順序進行操作。

目錄

• 先決條件
• 確認 Dell 受信任裝置安裝
• 登入 CrowdStrike Falcon
• 在 CrowdStrike 中設定並啟動 HEC/HTTP 資料連接器
• 設定資料傳送者
• 安裝 LogScale 收集器

先決條件

• CrowdStrike Falcon Next-Gen SIEM

回到頁首

確認 Dell 受信任裝置安裝

必須安裝 Dell 受信任裝置並產生遙測。如有需要，這些文章可協助您下載和安裝 Dell 受信任裝置。

• 如何下載 Dell 受信任裝置
• 如何安裝 Dell 受信任裝置

回到頁首

登入 CrowdStrike Falcon

1. 在 Google Chrome 或 Microsoft Edge 瀏覽器中，前往您的 Falcon 主控台登入 URL。
   • 獵鷹US-1： https://falcon.crowdstrike.com/login/
   • 獵鷹US-2： https://falcon.us-2.crowdstrike.com/login/
   • 獵鷹EU-1： https://falcon.eu-1.crowdstrike.com/login/
   • 獵鷹US-GOV-1： https://falcon.laggar.gcw.crowdstrike.com/login/
2. 登入 Falcon 主控台。
   

回到頁首

在 CrowdStrike 中設定並啟動 HEC/HTTP 資料連接器

1. 在左側功能表窗格中，按一下下一代 SIEM ，然後選取資料 上線。
   
2. 在「連接」部分中，按兩下 + 添加連接。
   
3. 按 一下依 連接器名稱篩選，輸入 HEC/HTTP 事件連接器，再按一下 套用。
   
   注意：或者，您可以瀏覽所有連接器並手動找到 HEC/HTTP。
4. 按一下 HEC/HTTP 事件連接器。
   
5. 在「新建連接」窗格中，按兩下 配置。
   
6. 在「添加新連接器」頁上輸入以下資訊，按兩下複選框以接受條款和條件，然後按兩下 「創建連接」。
   • 資料來源：客戶建立
   • 連接器名稱：客戶建立
   • 說明 （選填）：客戶建立
   • 解析器：dell-trusteddevice （Dell Trusted Device）
   
7. 在「正在進行連接器設置」對話框中，按兩下 關閉。
   
8. 按一下左上角 的資料連線 。
   
   注意：或者，您可以重複步驟 3 以返回到同一區域。
9. 在資料上線頁面，找到在 CrowdStrike 中設定並啟動 HEC/HTTP 資料連接器 （上方步驟 6） 中建立的資料連線，然後選取 連線名稱。
   
10. 按 一下產生 API 金鑰 以產生新的 API 金鑰。
    
    注意：API 金鑰僅顯示一次。複製並妥善保管，以供日後使用。
11. 備妥您的 API 金鑰後，按 一下關閉。
    
    注意：如果您必須重新產生 API 金鑰，您可以重複步驟 11，並使用右上角的 重新產生 API 金鑰按鈕 。
    

回到頁首

設定資料傳送者

1. 在左側功能表窗格中，按一下下一代 SIEM ，然後選取資料 上線。
   
2. 在資料加入頁面中，按 一下機群管理。
   
3. 在機群管理頁面中，按一下 設定概觀。
   
4. 在“配置概述”頁上，按兩下“+ 新建配置”
   
5. 在“新建配置”對話框中，輸入“名稱”，選擇“空配置”，然後按兩下 “新建”。
   
6. 在草稿編輯器中，輸入以下資訊。關於權杖和 URL 值，請參閱 在 CrowdStrike 中設定並啟動 HEC/HTTP 資料連接器 （步驟 13）。

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. 輸入步驟 6 的資訊後，按一下儲存， 然後按一下發佈。
   
8. 在機群管理中，按一下 註冊權杖。
   
9. 按一下 + 新增權杖。
   
10. 在“新建註冊令牌”對話框中，提供令牌名稱，使用分配的配置選項清單選擇步驟 5 中的配置名稱，然後按兩下 “創建令牌”。
    

回到頁首

安裝 LogScale 收集器

1. 在左側功能表窗格中，按一下下一代 SIEM ，然後選取資料 上線。
   
2. 在資料加入頁面中，按 一下機群管理。
   
3. 按一下 取得 LogScale 收集器。
   
4. 在“獲取 Falcon LogScale 收集器”對話框中，按兩下“Windows”，在“選擇註冊令牌”選項清單中選擇在 配置數據傳送器 （步驟 10）期間創建的令牌，然後按下“ 複製 ”按鈕。
   
5. 在 Windows 中，按一下右側開始按鈕，然後選取終端機 （系統管理員）。
   
   注意：如果出現Windows 使用者帳戶控制的提示，請按一下是。
6. 在「終端機」視窗中，貼上從 設定資料寄件者 （步驟 6） 複製的命令，然後按下 Enter 鍵。
   
7. 命令成功完成後，您會看到如下所示 的「Bootstrap complete」 訊息。
   

回到頁首