Die Splunk-Integration ist für Organisationen mit Passwortverwaltung oder Schutz von Anmeldedaten verfügbar.
Mit unserer Splunk-Integration können Sie verfolgen, wie Ihre Teammitglieder Dashlane nutzen. Wenn Sie die Splunk-Integration für Ihr Team aktivieren, senden wir Ihre Aktivitätsprotokolle automatisch an Splunk.
Splunk ist ein SIEM-Tool (Security Information and Event Management), mit dem Sie Teamaktivitäten in Echtzeit überwachen können. Sie können Ereignisse wie hinzugefügte Geräte, Login-Teilen und Einladungen zu Ihrem Dashlane-Tarif suchen und filtern. Sie können auch Warnungen für bestimmte Ereignisse einrichten, z. B. wenn jemand einen Login teamübergreifend oder mit jemandem außerhalb der Organisation teilt.
Die Splunk-Integration einrichten
- Melden Sie sich bei Ihrem Splunk Enterprise-Konto an.
- Einen HTTP Event Collector in Splunk erstellen
- Öffnen Sie die Administrator-Konsole in Dashlane. Wählen Sie Integrationen und dann Ereignisberichterstattung.
-
Geben Sie Ihre Splunk-Instanz-URL ein. In der Regel lautet Ihre Instanz-URL entweder:
https://{your_domain}:8088/services/collector/event/1.0oder für Splunk Cloud:
https://{your_domain}.splunkcloud.com:8088/services/collector/event/1.0 - Geben Sie den HTTP Event Collector-token in das Feld Splunk-Instanz-token ein.
-
Vor dem Speichern empfehlen wir, die Beta-Option OCSF-Zuordnung für Splunk aktivieren auszuwählen, um Protokolle in Splunk sofort zu standardisieren, ohne Felder manuell zuordnen zu müssen.
-
- Wählen Sie Token speichern. Wenn Sie bereits einen token gespeichert haben, können Sie den token oder die URL ändern und Token aktualisieren auswählen.
-
Aktivieren Sie Splunk-Integrationen aktivieren. Ereignisse in Ihrem Aktivitätsprotokoll werden nach fünf Minuten in Splunk angezeigt.
Tipp: Wenn Sie bei der Verwendung von Splunk eine Fehlermeldung sehen, die „Server ausgelastet" lautet, deaktivieren Sie das Kontrollkästchen Deployment-Server verwenden in Ihren Splunk Enterprise-Einstellungen.
Mehr über HTTP Event Collector-Einstellungen
Nach der Einrichtung Ihrer Integration können Sie Splunk verwenden, um die in den Aktivitätsprotokollen Ihrer Dashlane Administrator-Konsole aufgeführten Ereignisse zu verfolgen.
Hinweis: Ihre Splunk-Integration protokolliert keine früheren Ereignisse. Nur neue Ereignisse werden nach der Einrichtung verfolgt.
Aktivitätsprotokolle verwenden, um die Teamaktivität zu verfolgen
Wichtig: Wenn Sie die Integration abgeschlossen haben und die Ereignisse aus Ihrem Aktivitätsprotokoll in Splunk immer noch nicht sehen können, fügen Sie die folgenden IP-Adressen zu Ihrer Zulassungsliste in Splunk Web hinzu: 34.240.215.133/32, 34.253.34.91/32, 52.210.105.173/32.
IP-Zulassungslisten mit Splunk Web konfigurieren
Beta: OCSF (Open Cybersecurity Schema Framework) Exportformat
OCSF (Open Cybersecurity Schema Framework) ist ein Open-Source-Standard, der eine gemeinsame Sprache für Sicherheitsereignisse bereitstellen soll. Er schafft eine einheitliche Struktur, die es verschiedenen Sicherheitstools ermöglicht, Daten auszutauschen, ohne dass benutzerdefinierte, proprietäre Zuordnungen erforderlich sind.
Die Zuordnung von Dashlane-Protokollen zu diesem Standard vor der Übermittlung an Splunk bietet Sicherheitsteams mehrere wichtige Vorteile:
- Ohne OCSF sendet Dashlane derzeit unformatierte Ereignisdaten im Rohformat, wodurch Administratoren oft stundenlang benutzerdefinierte Parser entwickeln müssen, um diese zu verarbeiten.
- Standardisierte OCSF-Daten ermöglichen es Sicherheitstools, Dashlane-Protokolle sofort aufzunehmen und zu analysieren. Dies beschleunigt die Fähigkeit einer Organisation, benutzerdefinierte Regeln, Berichte und Dashboards in ihrer Sicherheitsumgebung zu erstellen.
- OCSF ermöglicht eine deutlich schnellere Einrichtung für nachfolgende Integrationen von Sicherheitstools.
- Die Standardisierung von Protokollformaten bereitet Sicherheitsdaten auf aufkommende KI-gesteuerte „agentische" Workflows vor. Durch den Einsatz von OCSF können Dashlane-Protokolle von KI-Sicherheitsassistenten einfach abgerufen werden.
Weitere Informationen zur Verfolgung von Ereignissen in Splunk finden Sie auf der Dokumentations-Website von Splunk.
Wenn Sie Probleme mit diesem Vorgang haben, wenden Sie sich bitte über die Administrator-Konsole an unseren Kundendienst.