La integración de CrowdStrike está disponible para organizaciones con Gestión de contraseñas o Protección de credenciales.
Con nuestra integración de CrowdStrike, puede enviar sus registros de actividad de Dashlane a CrowdStrike de forma automática.
CrowdStrike es una plataforma de gestión de información y eventos de seguridad (SIEM) de nueva generación diseñada para la detección de amenazas en tiempo real y la ingesta de datos a gran escala. CrowdStrike combina la gestión de registros con análisis impulsado por IA, inteligencia sobre amenazas y respuesta automatizada a incidentes.
Con Gestión de contraseñas, puede monitorear cómo los miembros del equipo usan Dashlane. Los eventos incluyen nuevos dispositivos agregados, uso compartido de ingresos, invitaciones a su plan y cambios en las políticas del administrador. Puede configurar alertas para eventos específicos, como cuando alguien comparte un ingreso con alguien fuera de la organización.
Con Protección de credenciales, obtiene todo lo mencionado anteriormente, además de eventos de riesgo de credenciales de acceso: uso de credenciales de acceso débiles y comprometidas e incidentes de phishing detectados en el navegador. Esto permite que su equipo de seguridad detecte amenazas de credenciales de acceso en el momento en que ocurren y las correlacione con señales de sus otras herramientas en CrowdStrike.
Configurar la integración de CrowdStrike
Requisitos previos
Para Dashlane:
- Administrador en una organización con Gestión de contraseñas o Protección de credenciales
- Acceso a la consola de administración
Para CrowdStrike:
- Acceso a Next-Gen SIEM/LogScale
- Capacidad para crear:
- Una conexión de datos
- Un analizador (la plantilla en blanco funciona)
Descripción general del proceso
Paso 1: Configurar el recopilador de eventos HEC/HTTP de CrowdStrike
- Ingrese a Falcon LogScale.
-
Vaya a: Next-Gen SIEM, Conexiones de datos y luego Agregar conexión.
-
Busque y seleccione HEC/HTTP Event Collector.
- Seleccione Configurar.
- Configure:
- Proveedor: Genérico
- Producto del proveedor: Genérico
- Cree un analizador:
- Desplácese hasta Analizador
- Seleccione Create new parser
-
Elija Blank Template
Nómbrelo:
dashlane_parser -
Copie y pegue uno de estos scripts, asegurándose de agregar el nombre de su conector. Recomendamos seleccionar el script OCSF para estandarizar inmediatamente los registros en CrowdStrike:
Script de eventos OCSF de Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.2.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "put your connecter name here" // ===================================================================== // TIMESTAMP // ===================================================================== // Pulls directly from the root 'time' field automatically unpacked by the cloud | findTimestamp(field=time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "Application Activity" to event.category) | TempCategory := coalesce([category_name, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "Update" to event.type) | TempType := coalesce([activity_name, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== | user.email := actor.user.email_addr | user.name := coalesce([actor.user.email_addr, "unknown_user"]) // ===================================================================== // NORMALIZATION: STATUS, SEVERITY & MESSAGE // ===================================================================== | event.outcome := status | event.severity_name := severity | event.message := message // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP | source.ip := src_endpoint.ip // 2. Geographic Location Data | source.geo.city_name := src_endpoint.location.city | source.geo.country_iso_code := src_endpoint.location.country // 3. Client Operating System | source.os.name := src_endpoint.os.name | source.os.version := src_endpoint.os.version // 4. Raw User-Agent String (Pulled from the first item in the observables list) | user_agent.original := observables[0].valueScript de eventos de Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.0.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "name of your connector" // ===================================================================== // TIMESTAMP (Native Dashlane Format) // ===================================================================== // Pulls from the 'date_time' epoch millisecond field | findTimestamp(field=date_time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "team_settings_siem" to event.category) | TempCategory := coalesce([category, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "nitro_siem_edited" to event.type) | TempType := coalesce([log_type, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== // In the native schema, the user is found inside the 'properties' object | user.email := properties.author_login | user.name := coalesce([properties.author_login, "unknown_user"]) // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP (Native 'device' object) | source.ip := device.ip // 2. Geographic Location Data | source.geo.city_name := device.location.city | source.geo.country_iso_code := device.location.country // 3. Client Operating System | source.os.name := device.os.name | source.os.version := device.os.version // 4. Raw User-Agent String (Pulled from the observables array) | user_agent.original := observables[0].value
-
Seleccione Guardar.
-
Copie la Clave de API.
- Debe usar esta URL de API, pero agregue su propia Región e ID de Conector:
https://ingest.{region}.crowdstrike.com/api/ingest/humio/{connector_id}/v1/humio-structured- region= eu-1, us-1, us-2
- connector_id = su ID único de CrowdStrike Logscale
-
Ejemplo:
https://ingest.eu-1.crowdstrike.com/api/ingest/humio/fd2066a935954344b04121f84e5867ad/v1/humio-structured
- Guarde el conector.
Paso 2: Configurar el reporte de eventos en Dashlane
- Ingrese a su consola de administración de Dashlane.
- Vaya a la sección de integraciones o reporte de eventos.
- Seleccione CrowdStrike como destino de eventos.
- Ingrese la URL de API de CrowdStrike (en el formato indicado anteriormente) y el token de portador en los campos correspondientes.
-
Antes de guardar, si previamente cargó el script de eventos OCSF, active la opción Beta Habilitar mapeo OCSF para CrowdStrike para estandarizar inmediatamente los registros en CrowdStrike, sin necesidad de mapear campos manualmente.
-
-
Seleccione Guardar para habilitar la conexión.
Paso 3: Probar la conexión
Verifique en CrowdStrike:
- Genere un evento de prueba en Dashlane, como el ingreso de un nuevo dispositivo o una acción de administrador.
- Abra LogScale
- Vaya al repositorio que vinculó al conector
-
Busque:
dashlane
Debería ver los eventos de registros de actividad entrantes.
Después de configurar su integración, puede usar CrowdStrike para monitorear los eventos que aparecen en el Registro de actividad de su consola de administración de Dashlane.
Nota: Su integración con CrowdStrike no registrará eventos anteriores. Solo se monitorearán los nuevos eventos después de la configuración.
Use los registros de actividad para monitorear la actividad del equipo
Si tiene algún problema con este proceso, comuníquese con nuestro equipo de asistencia técnica.