L'intégration CrowdStrike est disponible pour les organisations disposant de la Gestion des mots de passe ou de la Protection des identifiants.
Grâce à notre intégration CrowdStrike, vous pouvez envoyer automatiquement vos journaux d'activité Dashlane à CrowdStrike.
CrowdStrike est une plate-forme de gestion des informations et des événements de sécurité (SIEM) de nouvelle génération, conçue pour la détection des menaces en temps réel et l'ingestion de données à grande échelle. CrowdStrike associe la gestion des journaux à des analyses basées sur l'IA, des renseignements sur les menaces et une réponse automatisée aux incidents.
Avec la Gestion des mots de passe, vous pouvez suivre la façon dont vos membres utilisent Dashlane. Les événements incluent les nouveaux appareils ajoutés, le partage d'identifiants, les invitations à votre plan et les modifications de politiques administrateur. Vous pouvez configurer des alertes pour des événements spécifiques, par exemple lorsqu'une personne partage un identifiant avec quelqu'un en dehors de l'organisation.
Avec la Protection des identifiants, vous obtenez tout ce qui est mentionné ci-dessus, ainsi que les événements liés aux risques liés aux identifiants : utilisation d'identifiants faibles et compromis et incidents de phishing détectés dans le navigateur. Cela permet à votre équipe de sécurité de détecter les menaces liées aux identifiants au moment où elles se produisent et de les corréler avec les signaux provenant de vos autres outils dans CrowdStrike.
Configurer l'intégration CrowdStrike
Prérequis
Pour Dashlane :
- Administrateur dans une organisation disposant de la Gestion des mots de passe ou de la Protection des identifiants
- Accès à la console d'administration
Pour CrowdStrike :
- Accès à Next-Gen SIEM/LogScale
- Capacité à créer :
- Une connexion de données
- Un analyseur (le modèle vierge convient)
Aperçu du processus
Étape 1 : Configurer le collecteur d'événements HEC/HTTP CrowdStrike
- Connectez-vous à Falcon LogScale.
-
Accédez à : Next-Gen SIEM, Connexions de données, puis Ajouter une connexion.
-
Recherchez et sélectionnez Collecteur d'événements HEC/HTTP.
- Sélectionnez Configurer.
- Définissez :
- Fournisseur : Générique
- Produit du fournisseur : Générique
- Créez un analyseur :
- Faites défiler jusqu'à Analyseur
- Sélectionnez Create new parser
-
Choisissez Blank Template
Nommez-le :
dashlane_parser -
Copiez et collez l'un de ces scripts en vous assurant d'ajouter le nom de votre connecteur. Nous recommandons de sélectionner le script OCSF pour standardiser immédiatement les journaux dans CrowdStrike :
Script d'événement OCSF Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.2.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "put your connecter name here" // ===================================================================== // TIMESTAMP // ===================================================================== // Pulls directly from the root 'time' field automatically unpacked by the cloud | findTimestamp(field=time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "Application Activity" to event.category) | TempCategory := coalesce([category_name, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "Update" to event.type) | TempType := coalesce([activity_name, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== | user.email := actor.user.email_addr | user.name := coalesce([actor.user.email_addr, "unknown_user"]) // ===================================================================== // NORMALIZATION: STATUS, SEVERITY & MESSAGE // ===================================================================== | event.outcome := status | event.severity_name := severity | event.message := message // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP | source.ip := src_endpoint.ip // 2. Geographic Location Data | source.geo.city_name := src_endpoint.location.city | source.geo.country_iso_code := src_endpoint.location.country // 3. Client Operating System | source.os.name := src_endpoint.os.name | source.os.version := src_endpoint.os.version // 4. Raw User-Agent String (Pulled from the first item in the observables list) | user_agent.original := observables[0].valueScript d'événement Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.0.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "name of your connector" // ===================================================================== // TIMESTAMP (Native Dashlane Format) // ===================================================================== // Pulls from the 'date_time' epoch millisecond field | findTimestamp(field=date_time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "team_settings_siem" to event.category) | TempCategory := coalesce([category, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "nitro_siem_edited" to event.type) | TempType := coalesce([log_type, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== // In the native schema, the user is found inside the 'properties' object | user.email := properties.author_login | user.name := coalesce([properties.author_login, "unknown_user"]) // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP (Native 'device' object) | source.ip := device.ip // 2. Geographic Location Data | source.geo.city_name := device.location.city | source.geo.country_iso_code := device.location.country // 3. Client Operating System | source.os.name := device.os.name | source.os.version := device.os.version // 4. Raw User-Agent String (Pulled from the observables array) | user_agent.original := observables[0].value
-
Sélectionnez Enregistrer.
-
Copiez la clé API.
- Vous devez utiliser cette URL API, mais en ajoutant votre propre région et votre identifiant de connecteur :
https://ingest.{region}.crowdstrike.com/api/ingest/humio/{connector_id}/v1/humio-structured- region= eu-1, us-1, us-2
- connector_id = votre identifiant CrowdStrike Logscale unique
-
Exemple :
https://ingest.eu-1.crowdstrike.com/api/ingest/humio/fd2066a935954344b04121f84e5867ad/v1/humio-structured
- Enregistrez le connecteur.
Étape 2 : Configurer le rapport d'événements dans Dashlane
- Connectez-vous à votre console d'administration Dashlane.
- Accédez à la section des intégrations ou du rapport d'événements.
- Sélectionnez CrowdStrike comme destination des événements.
- Saisissez l'URL API CrowdStrike (au format indiqué ci-dessus) et le jeton Bearer dans les champs correspondants.
-
Avant d'enregistrer, si vous avez précédemment chargé le script d'événements OCSF, veuillez activer l'option bêta Activer le mappage OCSF pour CrowdStrike afin de normaliser immédiatement les journaux dans CrowdStrike, sans avoir à mapper manuellement les champs.
-
-
Sélectionnez Enregistrer pour activer la connexion.
Étape 3 : Tester la connexion
Vérifiez dans CrowdStrike :
- Générez un événement test dans Dashlane, par exemple une nouvelle connexion depuis un appareil ou une action d'administrateur.
- Ouvrez LogScale
- Accédez au référentiel que vous avez associé au connecteur
-
Recherchez :
dashlane
Vous devriez voir les événements des journaux d'activité entrants.
Après avoir configuré votre intégration, vous pouvez utiliser CrowdStrike pour suivre les événements répertoriés dans le journal d'activité de votre console d'administration Dashlane.
Note : Votre intégration CrowdStrike n'enregistrera aucun événement précédent. Seuls les nouveaux événements seront suivis après la configuration.
Utiliser les journaux d'activité pour suivre l'activité de l'équipe
Si vous rencontrez des problèmes au cours de ce processus, veuillez contacter notre équipe d'assistance.