L'intégration CrowdStrike est disponible pour les organisations disposant de Gestion des mots de passe ou de la Protection des identifiants.
Grâce à notre intégration CrowdStrike, vous pouvez envoyer automatiquement vos journaux d'activité Dashlane à CrowdStrike.
CrowdStrike est une plate-forme de gestion des informations et des événements de sécurité (SIEM) de nouvelle génération conçue pour la détection des menaces en temps réel et l’ingestion de données à grande échelle. CrowdStrike combine la gestion des journaux avec des analyses pilotées par l'IA, le renseignement sur les menaces et la réponse automatisée aux incidents.
Avec la Gestion des mots de passe, vous pouvez suivre la façon dont les membres de votre équipe utilisent Dashlane. Les événements incluent les nouveaux appareils ajoutés, le partage d'identifiants, les invitations à votre plan et les modifications de politique administrateur. Vous pouvez configurer des alertes pour des événements spécifiques, par exemple lorsqu'un utilisateur partage un identifiant avec quelqu'un en dehors de l'organisation.
Avec la Protection des identifiants, vous bénéficiez de tout ce qui est indiqué ci-dessus, ainsi que des événements liés aux risques liés aux identifiants : utilisation d'identifiants faibles et compromis et incidents de phishing détectés dans le navigateur. Cela permet à votre équipe de sécurité de détecter les menaces liées aux identifiants au moment où elles surviennent et de les corréler avec les signaux provenant de vos autres outils dans CrowdStrike.
Configurer l'intégration CrowdStrike
Prérequis
Pour Dashlane :
- Administrateur dans une organisation avec Gestion des mots de passe ou Protection des identifiants
- Accès à la console d'administration
Pour CrowdStrike :
- Accès à Next-Gen SIEM/LogScale
- Capacité à créer :
- Une connexion de données
- Un analyseur syntaxique (un modèle vierge convient)
Aperçu du processus
Étape 1 : Configurer CrowdStrike HEC/HTTP Event Collector
- Se connecter à Falcon LogScale.
-
Accédez à : Next-Gen SIEM, Connexions de données, puis Ajouter une connexion.
-
Recherchez et sélectionnez HEC/HTTP Event Collector.
- Sélectionnez Configurer.
- Définir :
- Fournisseur : Generic
- Produit du fournisseur : Generic
- Créez un analyseur :
- Faites défiler jusqu'à Parser
- Sélectionnez Create new parser
-
Choisissez Blank Template
Nommez-le :
dashlane_parser -
Copiez et collez l'un de ces scripts, en veillant à ajouter le nom de votre connecteur. Nous vous recommandons de sélectionner le script OCSF pour standardiser immédiatement les journaux dans CrowdStrike :
Script d'événements OCSF Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.2.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "put your connecter name here" // ===================================================================== // TIMESTAMP // ===================================================================== // Pulls directly from the root 'time' field automatically unpacked by the cloud | findTimestamp(field=time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "Application Activity" to event.category) | TempCategory := coalesce([category_name, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "Update" to event.type) | TempType := coalesce([activity_name, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== | user.email := actor.user.email_addr | user.name := coalesce([actor.user.email_addr, "unknown_user"]) // ===================================================================== // NORMALIZATION: STATUS, SEVERITY & MESSAGE // ===================================================================== | event.outcome := status | event.severity_name := severity | event.message := message // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP | source.ip := src_endpoint.ip // 2. Geographic Location Data | source.geo.city_name := src_endpoint.location.city | source.geo.country_iso_code := src_endpoint.location.country // 3. Client Operating System | source.os.name := src_endpoint.os.name | source.os.version := src_endpoint.os.version // 4. Raw User-Agent String (Pulled from the first item in the observables list) | user_agent.original := observables[0].valueScript d'événements Dashlane
// ===================================================================== // STATIC METADATA DEFINITIONS // ===================================================================== | Vendor := "Dashlane" | Parser.version := "1.0.0" | ecs.version := "8.17.0" | Cps.version := "2.0.0" | observer.type := "other" | #connector := "name of your connector" // ===================================================================== // TIMESTAMP (Native Dashlane Format) // ===================================================================== // Pulls from the 'date_time' epoch millisecond field | findTimestamp(field=date_time, as=@timestamp, timezone="UTC") // ===================================================================== // NORMALIZATION: EVENT CATEGORY & TYPE // ===================================================================== | event.kind := "event" // Category Mapping (e.g., maps "team_settings_siem" to event.category) | TempCategory := coalesce([category, "other"]) | array:append(array="event.category[]", values=[TempCategory]) // Activity Mapping (e.g., maps "nitro_siem_edited" to event.type) | TempType := coalesce([log_type, "other"]) | array:append(array="event.type[]", values=[TempType]) | drop([TempCategory, TempType]) // ===================================================================== // NORMALIZATION: USER IDENTITY // ===================================================================== // In the native schema, the user is found inside the 'properties' object | user.email := properties.author_login | user.name := coalesce([properties.author_login, "unknown_user"]) // ===================================================================== // NORMALIZATION: NETWORK, GEO & DEVICE ENRICHMENT // ===================================================================== // 1. Source Network IP (Native 'device' object) | source.ip := device.ip // 2. Geographic Location Data | source.geo.city_name := device.location.city | source.geo.country_iso_code := device.location.country // 3. Client Operating System | source.os.name := device.os.name | source.os.version := device.os.version // 4. Raw User-Agent String (Pulled from the observables array) | user_agent.original := observables[0].value
-
Sélectionnez Save.
-
Copiez la clé API.
- Vous devez utiliser cette URL d'API, mais ajouter votre propre région et identifiant de connecteur :
https://ingest.{region}.crowdstrike.com/api/ingest/humio/{connector_id}/v1/humio-structured- region= eu-1, us-1, us-2
- connector_id = votre identifiant CrowdStrike Logscale unique
-
Exemple :
https://ingest.eu-1.crowdstrike.com/api/ingest/humio/fd2066a935954344b04121f84e5867ad/v1/humio-structured
- Enregistrez le connecteur.
Étape 2 : Configurer les rapports d'événements dans Dashlane
- Connectez-vous à votre console d'administration Dashlane.
- Accédez à la section des intégrations ou du rapport d'événements.
- Sélectionnez CrowdStrike comme destination d'événements.
- Saisissez l'URL de l'API CrowdStrike (au format indiqué ci-dessus) et le jeton porteur dans les champs correspondants.
-
Avant d'enregistrer, si vous avez précédemment chargé le script d'événements OCSF, veuillez activer l'option bêta Activer le mappage OCSF pour CrowdStrike afin de standardiser immédiatement les journaux dans CrowdStrike, sans avoir à mapper manuellement les champs.
-
-
Sélectionnez Enregistrer pour activer la connexion.
Étape 3 : Tester la connexion
Vérifiez dans CrowdStrike :
- Générez un événement test dans Dashlane, tel qu'une nouvelle connexion depuis un appareil ou une action d'administrateur.
- Ouvrez LogScale
- Accédez au dépôt que vous avez attaché au connecteur
-
Recherchez :
dashlane
Vous devriez voir des événements de journaux d'activité entrants.
Après avoir effectué la configuration de votre intégration, vous pouvez utiliser CrowdStrike pour suivre les événements répertoriés dans le journal d'activité de votre console d'administration Dashlane.
Remarque : Votre intégration CrowdStrike n'enregistrera aucun événement précédent. Seuls les nouveaux événements seront suivis après la configuration.
Utiliser les journaux d'activité pour suivre l'activité de l'équipe
Si vous rencontrez des problèmes avec ce processus, veuillez contacter notre équipe d'assistance.