Як інтегрувати дані довірених пристроїв Dell у SIEM наступного покоління CrowdStrike

Продукти, на які вплинули:

• Надійний пристрій Dell
• Краудстрайк

Dell Trusted Device збирає дані телеметрії з-під операційної системи, надаючи цінну інформацію для різних діяльних завдань. Завантаживши цю телеметрію в CrowdStrike Next-Gen SIEM, IT-фахівці можуть покращити свою здатність виявляти та реагувати на складні загрози. Ця інтеграція пропонує всебічне уявлення про справність і безпеку пристрою, забезпечуючи більш ефективний моніторинг і реагування на інциденти. Наступні розділи проведуть вас через повний процес налаштування, якого слід дотримуватися в представленому порядку.

Зміст

• Передумови
• Підтвердьте встановлення довіреного пристрою Dell
• Увійдіть у CrowdStrike Falcon
• Налаштуйте та активуйте з'єднувач даних HEC/HTTP у CrowdStrike
• Налаштування відправника даних
• Встановлення колектора LogScale

Передумови

• CrowdStrike Falcon нового покоління SIEM

На початок

Підтвердьте встановлення довіреного пристрою Dell

Довірений пристрій Dell має бути встановлено та генерувати телеметрію. Ці статті допоможуть вам завантажити та встановити Dell Trusted Device, якщо це необхідно.

• Як завантажити надійний пристрій Dell
• Як встановити довірений пристрій Dell

На початок

Увійдіть у CrowdStrike Falcon

1. У браузері Google Chrome або Microsoft Edge перейдіть до логіна консолі Falcon URL.
   • Falcon US-1: https://falcon.crowdstrike.com/login/
   • Falcon US-2: https://falcon.us-2.crowdstrike.com/login/
   • Falcon EU-1: https://falcon.eu-1.crowdstrike.com/login/
   • Falcon US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/login/
2. Увійдіть у консоль Falcon.
   

На початок

Налаштуйте та активуйте з'єднувач даних HEC/HTTP у CrowdStrike

1. В області меню ліворуч натисніть Next-Gen SIEM і виберіть пункт Підключення даних.
   
2. У блоці Підключення натисніть + Додати підключення.
   
3. Натисніть «Фільтрувати за іменем з'єднувача» та введіть «З'єднувач подій HEC/HTTP», а потім натисніть «Застосувати».
   
   Примітка: Крім того, ви можете переглянути всі конектори та знайти HEC/HTTP вручну.
4. Натисніть З'єднувач подій HEC/HTTP.
   
5. В області Нове підключення натисніть кнопку Настроїти.
   
6. На сторінці Додати новий з'єднувач введіть інформацію нижче, натисніть прапорець, щоб прийняти Умови та положення, і натисніть Створити з'єднання.
   • Джерело даних: Створено замовником
   • Назва роз'єму: Створено замовником
   • Опис (необов'язково): Створено замовником
   • Парсери: dell-trusteddevice (Довірений пристрій Dell)
   
7. У діалоговому вікні «Поточне налаштування з'єднувача» натисніть «Закрити».
   
8. Натисніть З'єднання даних у верхньому лівому куті.
   
   Примітка: Крім того, ви можете повторити крок 3, щоб повернутися до тієї ж області.
9. На сторінці "Підключення даних" знайдіть з'єднання для передачі даних, створене в розділі "Налаштування", та активуйте з'єднувач даних HEC/HTTP у CrowdStrike (крок 6 зверху), а також виберіть ім'я підключення.
   
10. Натисніть Згенерувати ключ API , щоб згенерувати новий ключ API.
    
    Примітка: Ключ API відображається лише один раз. Скопіюйте його та надійно збережіть для використання на наступному кроці.
11. Після того, як ви задокументуєте свій API-ключ, натисніть «Закрити».
    
    Примітка: Якщо вам потрібно повторно згенерувати ключ API, ви можете повторити крок 11 і скористатися кнопкою «Відновити ключ API » у верхньому правому куті.
    

На початок

Налаштування відправника даних

1. В області меню ліворуч натисніть Next-Gen SIEM і виберіть пункт Підключення даних.
   
2. На сторінці реєстрації даних натисніть Керування автопарком.
   
3. На сторінці «Управління автопарком» натисніть «Огляд конфігурації».
   
4. На сторінці огляду конфігурації натисніть + Нова конфігурація
   
5. У діалоговому вікні «Нова конфігурація» введіть «Ім'я», виберіть «Порожня конфігурація», а потім натисніть «Створити нову».
   
6. У редакторі чернеток введіть інформацію нижче. Для значень токена та URL зверніться до розділу Налаштування та активація з'єднувача даних HEC/HTTP у CrowdStrike (крок 13).

   //unformattedcode
   Example config using default listening port 514
    
   sources:
     windowsEvents:
       type: wineventlog
       sink: logscaleSink
       channels:
         - name: "Dell Trusted Device"
         - name: Dell
   sinks:
     ngsiem:
       type: hec
       proxy: none
       token: <API_key_generated_during_data_connector_setup>
       url: <API_URL_generated_during_data_connector_setup>
   //unformattedcode
   

7. Отримавши інформацію, введену з кроку 6, натисніть кнопку Зберегти, а потім натисніть кнопку Опублікувати.
   
8. У розділі «Керування автопарком» натисніть «Токени реєстрації».
   
9. Натисніть + Новий токен.
   
10. У новому діалоговому вікні Маркер реєстрації введіть ім'я маркера, використовуючи призначений список вибору конфігурації, виберіть назву конфігурації з кроку 5, а потім натисніть Створити токен.
    

На початок

Встановлення колектора LogScale

1. В області меню ліворуч натисніть Next-Gen SIEM і виберіть пункт Підключення даних.
   
2. На сторінці реєстрації даних натисніть Керування автопарком.
   
3. Натисніть Get LogScale Collector.
   
4. У діалоговому вікні Get Falcon LogScale Collector натисніть Windows, у списку вибору Виберіть токен реєстрації виберіть токен, створений під час Налаштування відправника даних (крок 10), а потім натисніть кнопку Копіювати .
   
5. У Windows правою кнопкою кнопки Пуск і виберіть Термінал (Адміністратор).
   
   Примітка: Натисніть кнопку Так , якщо з'явиться відповідний запит для служби захисту користувачів Windows.
6. У вікні Терміналу вставте команду, скопійовану з Налаштування відправника даних (крок 6), і натисніть Enter.
   
7. Після успішного завершення команди ви побачите повідомлення «Bootstrap complete», як показано нижче.
   

На початок