Startseite Admin-Hilfe-Center

Verfolgen Sie die Teamaktivitäten für Ihren Geschäftstarif mit CrowdStrike

Nur für Administratoren Für alle Tarife

Verfolgen Sie die Teamaktivitäten für Ihren Geschäftstarif mit CrowdStrike

Printer icon
Aktualisiert am

Die CrowdStrike-Integration ist für Organisationen mit Passwortverwaltung oder Schutz von Anmeldedaten verfügbar.

Mit einer CrowdStrike-Integration können Sie nachverfolgen, wie Ihre Teammitglieder Dashlane verwenden, da wir Ihre Dashlane-Aktivitätsprotokolle automatisch an CrowdStrike senden.

CrowdStrike ist eine Next-Gen-Plattform für Security Information and Event Management (SIEM), die für die Erkennung von Bedrohungen in Echtzeit und die Aufnahme von Daten in großem Maßstab entwickelt wurde. CrowdStrike kombiniert Protokollverwaltung mit KI-gestützten Analysen, Bedrohungsinformationen und automatisierter Vorfallsreaktion.

Prozessübersicht

Diese Anleitung erklärt, wie Sie Dashlane-Audit-Logs an CrowdStrike Next-Gen SIEM/Falcon LogScale von Windows oder macOS aus weiterleiten, und zwar mithilfe von:

  • Dashlane-CLI-Schlüssel (schreibgeschützte Aktivitätsprotokolle)
  • Dashlane-Audit-Logs-Docker-Image
  • Fluent Bit für die Protokollweiterleitung
  • CrowdStrikes HEC/HTTP Event Collector mit einem benutzerdefinierten Parser

Voraussetzungen

Dashlane

  • Administrator in einer Organisation mit Passwortverwaltung oder Schutz von Anmeldedaten
  • Zugriff auf die Administrator-Konsole
  • Möglichkeit, CLI-Schlüssel zu erstellen
  • Erforderlicher Umfang: Schreibgeschützte Aktivitätsprotokolle

CrowdStrike

  • Zugriff auf Next-Gen SIEM/LogScale
  • Möglichkeit, Folgendes zu erstellen:
    • Eine Datenverbindung
    • Einen Parser (leere Vorlage funktioniert)

CrowdStrike-Integration einrichten

Wählen Sie die Umgebung Ihres Geräts

Windows

Empfohlene Einrichtung

  • Windows 10 oder höher
  • Docker Desktop installiert und wird ausgeführt
  • PowerShell verfügbar

1. CrowdStrike HEC/HTTP Event Collector konfigurieren

  1. Melden Sie sich bei Falcon LogScale an.

  2. Gehen Sie zu: Next-Gen SIEM, Datenverbindungen und dann Verbindung hinzufügen.

    Crowdstrike_1.png

  3. Suchen und auswählen:

    • HEC/HTTP Event Collector

    Crowdstrike_2.png

  4. Wählen Sie Konfigurieren
  5. Festlegen:
    • Anbieter: Generisch
    • Anbieterprodukt: Generisch
  6. Erstellen Sie einen Parser:
    • Scrollen Sie zu Parser
    • Wählen Sie Neuen Parser erstellen

    • Wählen Sie Leere Vorlage

      Nennen Sie ihn: dashlane_parser

    • Wählen Sie Speichern.

  7. Kopieren Sie den API-Schlüssel und die API-URL, da Sie diese in Fluent Bit verwenden werden.

  8. Speichern Sie den Connector.

2. Dashlane-CLI-Schlüssel generieren

In der Dashlane Administrator-Konsole:

  1. Melden Sie sich bei der Dashlane Browser-Erweiterung an und öffnen Sie die Administrator-Konsole
  2. Wählen Sie Einstellungen und dann Entwicklerzugriff
  3. Wählen Sie anschließend CLI-Schlüssel erstellen
  4. Name: CrowdStrike SIEM Key
  5. Umfang: Schreibgeschützte Aktivitätsprotokolle
  6. Wählen Sie das gültig bis-Datum

  7. Wählen Sie Schlüssel generieren

  8. Kopieren Sie den Schlüssel, der mit DASH_EDWSA_ beginnt

Speichern Sie den CLI-Schlüssel sicher.

3. Docker Desktop installieren

Docker Desktop installieren

Installation verifizieren: docker version

4. Arbeitsverzeichnis in PowerShell erstellen

mkdir C:\DashlaneCrowdStrike

5. Fluent Bit-Konfiguration erstellen

Führen Sie dies in PowerShell aus und aktualisieren Sie vor dem Ausführen die Zeile Host:

@'

[INPUT]

Name stdin

Tag dashlane

[OUTPUT]

Name crowdstrike

Match *

Host CROWDSTRIKE_INGEST_HOST 

Port 443

URL /services/collector

tls On

tls.verify On

format json_lines

Header Authorization Splunk CROWDSTRIKE_HEC_TOKEN 

Header Content-Type application/json

'@ | Set-Content -Path .\fluent-bit.conf

Vor dem Ausführen aktualisieren:

CROWDSTRIKE_INGEST_HOST

CROWDSTRIKE_HEC_TOKEN

Ändern Sie die URL, wenn Ihr Connector /api/v1/ingest/hec verwendet

6. Dashlane-Aktivitätsprotokolle Docker-Image ziehen

In PowerShell ausführen:

docker pull dashlane/audit-logs:2

7. Den Dashlane → CrowdStrike-Container ausführen

Ersetzen Sie die Platzhalter durch Ihre tatsächlichen Werte und führen Sie dies dann in PowerShell aus:

docker run -d `
  --restart unless-stopped `
  --platform linux/amd64 `
  --name dashlane-crowdstrike `
  -e
DASHLANE_ENROLLED_TEAM_DEVICE_KEYS="DASH_EDWSA_XXXXXXXXXXXXXXXX..." `
  -e DASHLANE_CLI_FLUENTBIT_CONF=/fluent-bit.conf `
  -v "$(pwd)/fluent-bit.conf:/fluent-bit.conf:ro" `
  dashlane/audit-logs:2

8. Die Integration verifizieren

Container prüfen:
docker ps

Laufzeitprotokolle prüfen:
docker logs dashlane-crowdstrike --tail 50

In CrowdStrike verifizieren:

  • LogScale öffnen
  • Zum Repository gehen, das Sie mit dem Connector verknüpft haben

  • Suchen nach:

    dashlane

Sie sollten eingehende Aktivitätsprotokoll-Ereignisse sehen.

macOS

Empfohlene Einrichtung

  • macOS 12 oder neuer
  • Docker Desktop installiert und wird ausgeführt
  • Terminal-Zugriff

1. CrowdStrike HEC/HTTP Event Collector konfigurieren

  1. Melden Sie sich bei Falcon LogScale an.

  2. Gehen Sie zu: Next-Gen SIEM, Datenverbindungen und dann Verbindung hinzufügen.

    Crowdstrike_1.png

  3. Suchen und auswählen:

    • HEC/HTTP Event Collector

    Crowdstrike_2.png

  4. Wählen Sie Konfigurieren
  5. Festlegen:
    • Anbieter: Allgemein
    • Anbieterprodukt: Allgemein
  6. Parser erstellen:
    • Scrollen Sie zu Parser
    • Wählen Sie Neuen Parser erstellen

    • Wählen Sie Leere Vorlage

      Benennen Sie es: dashlane_parser

    • Wählen Sie Speichern.

      Crowdstrik_3.png

  7. Kopieren Sie den API-Schlüssel und die API-URL, da Sie sie in Fluent Bit verwenden werden.

    Crowdstrike_values.png

  8. Speichern Sie den Konnektor.

2. Dashlane CLI-Schlüssel generieren

In der Dashlane Administrator-Konsole:

  1. Melden Sie sich bei der Dashlane Browser-Erweiterung an und öffnen Sie die Administrator-Konsole
  2. Wählen Sie Einstellungen und dann Entwicklerzugriff
  3. Wählen Sie anschließend CLI-Schlüssel erstellen
  4. Name: CrowdStrike SIEM Key
  5. Bereich: Schreibgeschützte Aktivitätsprotokolle
  6. Wählen Sie das Gültig-bis-Datum

  7. Wählen Sie Schlüssel generieren

    1_tac_cli_key_crowdstrike_integration.png

  8. Kopieren Sie den Schlüssel, der mit DASH_EDWSA_ beginnt

    2_tac_cli_key_crowdstrike_integration_generated.png

Speichern Sie den CLI-Schlüssel sicher.

3. Docker Desktop installieren

Docker Desktop installieren

Installation verifizieren: docker version

4. Arbeitsverzeichnis im Terminal erstellen

mkdir -p ~/DashlaneCrowdStrike

cd ~/DashlaneCrowdStrike

5. Fluent-Bit-Konfiguration erstellen

Erstellen Sie eine fluent-bit.conf-Datei:

cat fluent-bit.conf <><'eof'>

[INPUT]

Name stdin

Tag dashlane

[OUTPUT]

Name crowdstrike

Match *

Host CROWDSTRIKE_INGEST_HOST

Port 443

URL /services/collector

tls On

tls.verify On

format json_lines

Header Authorization Splunk CROWDSTRIKE_HEC_TOKEN

Header Content-Type application/json

EOF

Vor dem Ausführen aktualisieren:

CROWDSTRIKE_INGEST_HOST

CROWDSTRIKE_HEC_TOKEN

Ändern Sie die URL, wenn Ihr Connector /api/v1/ingest/hec verwendet

6. Dashlane-Aktivitätsprotokolle-Docker-Image abrufen

Im Terminal ausführen:

docker pull dashlane/audit-logs:2

7. Den Dashlane → CrowdStrike-Container ausführen

Ersetzen Sie die Platzhalter durch Ihre tatsächlichen Werte und führen Sie dies dann im Terminal aus:

docker run -d \
  --restart unless-stopped \
  --platform linux/amd64 \
  --name dashlane-crowdstrike \
  -e
DASHLANE_ENROLLED_TEAM_DEVICE_KEYS="DASH_EDWSA_XXXXXXXXXXXXXXXX..." \
  -e DASHLANE_CLI_FLUENTBIT_CONF=/fluent-bit.conf \
  -v "$(pwd)/fluent-bit.conf:/fluent-bit.conf:ro" \
  dashlane/audit-logs:2

8. Die Integration verifizieren

Container prüfen:
docker ps

Laufzeitprotokolle prüfen:
docker logs dashlane-crowdstrike --tail 50

In CrowdStrike verifizieren:

  • LogScale öffnen
  • Zum Repository gehen, das Sie mit dem Connector verknüpft haben

  • Suchen nach:

    dashlane

Sie sollten eingehende Aktivitätsprotokoll-Ereignisse sehen.

Powered by Zendesk