如何将戴尔可信设备数据集成到 CrowdStrike 下一代 SIEM

Summary: 了解戴尔可信设备的遥测技术如何增强 CrowdStrike 下一代 SIEM,使 IT 专业人员能够通过全面了解设备运行状况和安全性来检测和响应高级威胁。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

受影响的产品:

  • 戴尔可信设备
  • CrowdStrike

戴尔可信设备从作系统下方收集遥测数据,为各种可作任务提供有价值的见解。通过将此遥测数据上传到 CrowdStrike Next-Gen SIEM,IT 专业人员可以增强其检测和响应高级威胁的能力。这种集成提供了设备运行状况和安全性的全面视图,从而实现更有效的监视和事件响应。以下各节将指导您完成完整的设置过程,应按显示的顺序进行作。

目录

前提条件

  • CrowdStrike Falcon 下一代 SIEM

返回页首

确认戴尔可信设备安装

必须安装戴尔可信设备并生成遥测。如果需要,这些文章可帮助您下载并安装戴尔可信设备。

返回页首

登录 CrowdStrike Falcon

  1. 在 Google Chrome 或 Microsoft Edge 浏览器中,转至 Falcon 控制台登录 URL。
  2. 登录到Falcon控制台。
    登录到 Falcon 控制台

返回页首

在 CrowdStrike 中配置并激活 HEC/HTTP 数据连接器

  1. 在左侧菜单窗格中,单击 Next-Gen SIEM ,然后选择 Data onboarding
    单击 Next-Gen SIEM,然后选择 Data onboarding
  2. 在“连接”部分中,单击“ + 添加连接”。
    单击 + Add connection
  3. 单击 Filter by connector name,输入 HEC/HTTP Event Connector,然后单击 Apply
    单击 Filter by connector name,然后输入 HEC/HTTP Event Connector
    提醒:或者,您可以浏览所有连接器并手动找到 HEC/HTTP。
  4. 单击 HEC/HTTP 事件连接器
    单击 HEC/HTTP 事件连接器
  5. 在新建连接窗格中,单击 配置
    单击“Configure”
  6. 在添加新连接器页面上,输入以下信息,单击复选框以接受条款和条件,然后单击 创建连接
    • 数据来源:由客户创建
    • 连接器名称:由客户创建
    • 说明(可选):由客户创建
    • 解析器:dell-trusteddevice(戴尔可信设备)
    单击“Create connection”
  7. 在“正在设置连接器”对话框中,单击 “关闭”。
    单击“关闭”
  8. 单击左上角 的 Data connections
    单击“Data connections”
    提醒:或者,您可以重复步骤 3 以返回到同一区域。
  9. 在Data Onboarding页面上,找到在 CrowdStrike中配置和激活HEC/HTTP数据连接器 (上面的步骤6)中创建的数据连接,然后选择 Connection name
    选择连接名称
  10. 单击 生成 API 密钥 以生成新的 API 密钥。
    单击 Generate API key
    提醒:API 密钥仅显示一次。复制它并妥善存储,以备将来使用。
  11. 记录 API 密钥后,单击 Close
    单击“关闭”
    提醒:如果您必须重新生成 API 密钥,则可以重复步骤 11 并使用右上角的 Regenerate API Key 按钮
    “重新生成 API 密钥”按钮

返回页首

配置数据传送器

  1. 在左侧菜单窗格中,单击 Next-Gen SIEM ,然后选择 Data onboarding
    选择数据载入
  2. 从 Data onboarding 页面中,单击 Fleet management
    单击 Fleet management
  3. 从 Fleet management 页面中,单击 Config overview
    单击 Config overview
  4. 在“Config overview”页面上,单击“+ New config
    单击 + New config
  5. 在“New Config”对话框中,输入“Name”,选择“Empty config”,然后单击“ Create new”。
    单击“新建”
  6. 在草稿编辑器中,输入以下信息。有关令牌和URL值,请参阅 在CrowdStrike中配置并激活HEC/HTTP数据连接器 (步骤13)。 
    //unformattedcode
Example config using default listening port 514
 
sources:
  windowsEvents:
    type: wineventlog
    sink: logscaleSink
    channels:
      - name: "Dell Trusted Device"
      - name: Dell
sinks:
  ngsiem:
    type: hec
    proxy: none
    token: <API_key_generated_during_data_connector_setup>
    url: <API_URL_generated_during_data_connector_setup>
//unformattedcode
  7. 在步骤 6 中输入信息后,单击 Save,然后单击 Publish
    单击“发布”
  8. 在队列管理中,单击 注册令牌
    单击“Enrollment tokens”
  9. 单击 + New token
    单击“+ New token”
  10. 在“New Enrollment token”对话框中,提供令牌名称,使用分配的配置选择列表选择步骤 5 中的配置名称,然后单击 Create token
    单击Create token

返回页首

安装 LogScale 收集器

  1. 在左侧菜单窗格中,单击 Next-Gen SIEM ,然后选择 Data onboarding
    选择数据载入
  2. 从 Data onboarding 页面中,单击 Fleet management
    单击 Fleet management
  3. 单击 Get LogScale Collector
    单击 Get LogScale Collector
  4. 在获取 Falcon LogScale 收集器对话框中,单击 Windows,在选择注册令牌选择列表中,选择在 配置数据传送器 (步骤 10)期间创建的令牌,然后单击 复制 按钮。
    单击“复制”按钮
  5. 在 Windows 中,右侧开始按钮,然后选择终端(管理员)。
    选择终端(管理员)
    提醒:如果系统提示您进行 Windows 用户帐户控制,请单击 Yes
  6. 在“终端”窗口中,粘贴从 配置数据传送器 (步骤 6)复制的命令,然后按 Enter 键
    粘贴从配置数据传送器(步骤 6)复制的命令,然后按 Enter 键
  7. 命令成功完成后,您会看到如下所示 的“引导完成” 消息。
    命令成功完成后,您会看到“引导完成”消息

返回页首

Affected Products

CrowdStrike, Dell Trusted Device
Article Properties
Article Number: 000368563
Article Type: How To
Last Modified: 12 Sep 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.