Die CrowdStrike-Integration ist für Organisationen mit Passwortverwaltung oder Schutz von Anmeldedaten verfügbar.
Mit unserer CrowdStrike-Integration können Sie Ihre Dashlane-Aktivitätsprotokolle automatisch an CrowdStrike senden.
CrowdStrike ist eine Security Information and Event Management (SIEM)-Plattform der nächsten Generation, die für die Erkennung von Bedrohungen in Echtzeit und die Aufnahme von Daten in großem Maßstab konzipiert ist. CrowdStrike kombiniert Protokollverwaltung mit KI-gestützter Analyse, Bedrohungsintelligenz und automatisierter Reaktion auf Vorfälle.
Mit der Passwortverwaltung können Sie verfolgen, wie Ihre Teammitglieder Dashlane verwenden. Ereignisse umfassen neu hinzugefügte Geräte, das Teilen von Logins, Einladungen zu Ihrem Tarif und Änderungen an Administrator-Richtlinien. Sie können Warnungen für bestimmte Ereignisse einrichten, z. B. wenn jemand ein Login mit jemandem außerhalb der Organisation teilt.
Mit dem Schutz von Anmeldedaten erhalten Sie alles oben Genannte sowie Ereignisse zu Anmeldedatenrisiken: schwache und gefährdete Anmeldedaten und im Browser erkannte Phishing-Vorfälle. So kann Ihr Sicherheitsteam Bedrohungen durch Anmeldedaten erkennen, sobald sie auftreten, und sie mit Signalen aus Ihren anderen Tools in CrowdStrike korrelieren.
CrowdStrike-Integration einrichten
Voraussetzungen
Für Dashlane:
- Administrator in einer Organisation mit Passwortverwaltung oder Schutz von Anmeldedaten
- Zugang zur Administrator-Konsole
Für CrowdStrike:
- Zugang zu Next-Gen SIEM/LogScale
- Möglichkeit, Folgendes zu erstellen:
- Eine Datenverbindung
- Einen Parser (leere Vorlage funktioniert)
Prozessübersicht
Schritt 1: CrowdStrike HEC/HTTP Event Collector konfigurieren
- Melden Sie sich bei Falcon LogScale an.
-
Gehen Sie zu: Next-Gen SIEM, Datenverbindungen und dann Verbindung hinzufügen.
-
Suchen Sie nach HEC/HTTP Event Collector und wählen Sie diesen aus.
- Wählen Sie Konfigurieren.
- Legen Sie Folgendes fest:
- Anbieter: Generisch
- Anbieterprodukt: Generisch
- Erstellen Sie einen Parser:
- Scrollen Sie zu Parser
- Wählen Sie Neuen Parser erstellen
-
Wählen Sie Leere Vorlage
Benennen Sie sie:
dashlane_parser -
Kopieren Sie eines dieser Skripte und fügen Sie es ein. Stellen Sie dabei sicher, dass Sie Ihren Connector-Namen hinzufügen. Wir empfehlen, das OCSF-Skript auszuwählen, um Logs in CrowdStrike sofort zu standardisieren:
Dashlane OCSF-Ereignisskript
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.2.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "put your connecter name here" // ===================================================================== // TIMESTAMP // ===================================================================== // Pulls directly from the root 'time' field automatically unpacked by the cloud | findTimestamp(field=time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "Application Activity" to event.category) | TempCategory := coalesce([category_name, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "Update" to event.type) | TempType := coalesce([activity_name, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== | user.email := actor.user.email_addr | user.name := coalesce([actor.user.email_addr, "unknown_user"]) // ===================================================================== // NORMALIZATION: STATUS, SEVERITY & MESSAGE // ===================================================================== | event.outcome := status | event.severity_name := severity | event.message := message // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP | source.ip := src_endpoint.ip // 2. Geographic Location Data | source.geo.city_name := src_endpoint.location.city | source.geo.country_iso_code := src_endpoint.location.country // 3. Client Operating System | source.os.name := src_endpoint.os.name | source.os.version := src_endpoint.os.version // 4. Raw User-Agent String (Pulled from the first item in the observables list) | user_agent.original := observables[0].valueDashlane-Ereignisskript
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.0.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "name of your connector" // ===================================================================== // TIMESTAMP (Native Dashlane Format) // ===================================================================== // Pulls from the 'date_time' epoch millisecond field | findTimestamp(field=date_time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "team_settings_siem" to event.category) | TempCategory := coalesce([category, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "nitro_siem_edited" to event.type) | TempType := coalesce([log_type, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== // In the native schema, the user is found inside the 'properties' object | user.email := properties.author_login | user.name := coalesce([properties.author_login, "unknown_user"]) // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP (Native 'device' object) | source.ip := device.ip // 2. Geographic Location Data | source.geo.city_name := device.location.city | source.geo.country_iso_code := device.location.country // 3. Client Operating System | source.os.name := device.os.name | source.os.version := device.os.version // 4. Raw User-Agent String (Pulled from the observables array) | user_agent.original := observables[0].value
-
Wählen Sie Speichern.
-
Kopieren Sie den API-Schlüssel.
- Sie müssen diese API-URL verwenden, aber Ihre eigene Region und Connector-ID hinzufügen:
https://ingest.{region}.crowdstrike.com/api/ingest/humio/{connector_id}/v1/humio-structured- region= eu-1, us-1, us-2
- connector_id = Ihre eindeutige CrowdStrike Logscale-ID
-
Beispiel:
https://ingest.eu-1.crowdstrike.com/api/ingest/humio/fd2066a935954344b04121f84e5867ad/v1/humio-structured
- Speichern Sie den Connector.
Schritt 2: Ereignisberichterstattung in Dashlane einrichten
- Melden Sie sich bei Ihrer Dashlane Administrator-Konsole an.
- Gehen Sie zum Abschnitt Integrationen oder Ereignisberichterstattung.
- Wählen Sie CrowdStrike als Ihr Ereignisziel aus.
- Geben Sie die CrowdStrike-API-URL (im oben genannten Format) und das Bearer-token in die entsprechenden Felder ein.
-
Wenn Sie zuvor das OCSF-Ereignisskript hochgeladen haben, aktivieren Sie vor dem Speichern die Beta-Option OCSF-Zuordnung für CrowdStrike aktivieren, um Protokolle in CrowdStrike sofort zu standardisieren, ohne Felder manuell zuordnen zu müssen.
-
-
Wählen Sie Speichern, um die Verbindung zu aktivieren.
Schritt 3: Die Verbindung testen
In CrowdStrike verifizieren:
- Generieren Sie ein Testereignis in Dashlane, z. B. ein neues Gerät-Login oder eine Administrator-Aktion.
- Öffnen Sie LogScale
- Gehen Sie zum Repository, das Sie mit dem Connector verknüpft haben
-
Suchen Sie nach:
dashlane
Sie sollten eingehende Aktivitätsprotokollereignisse sehen.
Nach der Einrichtung Ihrer Integration können Sie CrowdStrike verwenden, um die im Aktivitätsprotokoll Ihrer Dashlane Administrator-Konsole aufgeführten Ereignisse zu verfolgen.
Hinweis: Ihre CrowdStrike-Integration protokolliert keine früheren Ereignisse. Nur neue Ereignisse werden nach der Einrichtung verfolgt.
Aktivitätsprotokolle verwenden, um Teamaktivitäten zu verfolgen
Wenn Sie Probleme mit diesem Vorgang haben, wenden Sie sich bitte an unseren Kundendienst.