Accueil Centre d'aide administrateur

Suivre l’activité de l’équipe pour votre plan professionnel avec CrowdStrike

Pour les administrateurs Pour tous les plans

Suivre l’activité de l’équipe pour votre plan professionnel avec CrowdStrike

Printer icon
Mis à jour le

L'intégration CrowdStrike est disponible pour les organisations disposant de Gestion des mots de passe ou de la Protection des identifiants.

Avec une intégration CrowdStrike, vous pouvez suivre comment vos membres utilisent Dashlane, car nous envoyons automatiquement vos journaux d'activité Dashlane à CrowdStrike.

CrowdStrike est une plate-forme de gestion des informations et des événements de sécurité (SIEM) de nouvelle génération conçue pour la détection des menaces en temps réel et l’ingestion de données à grande échelle. CrowdStrike combine la gestion des journaux avec des analyses pilotées par l'IA, le renseignement sur les menaces et la réponse automatisée aux incidents.

Aperçu du processus

Ce guide explique comment transférer les journaux d’audit Dashlane vers CrowdStrike Next-Gen SIEM/Falcon LogScale depuis Windows ou macOS en utilisant :

  • La clé CLI Dashlane (journaux d'activité en lecture seule)
  • L’image Docker audit-logs Dashlane
  • Fluent Bit pour le transfert des journaux
  • Le HEC/HTTP Event Collector de CrowdStrike avec un analyseur personnalisé

Prérequis

Dashlane

CrowdStrike

  • Accès à Next-Gen SIEM/LogScale
  • Capacité à créer :
    • Une connexion de données
    • Un analyseur (un modèle vierge fonctionne)

Configurer l’intégration CrowdStrike

Sélectionnez l’environnement de votre appareil

Windows

Configuration recommandée

  • Windows 10 ou version ultérieure
  • Docker Desktop installé et en cours d’exécution
  • PowerShell disponible

1. Configurer le HEC/HTTP Event Collector de CrowdStrike

  1. Se connecter à Falcon LogScale.

  2. Accéder à : Next-Gen SIEM, Connexions de données puis Ajouter une connexion.

    Crowdstrike_1.png

  3. Recherchez et sélectionnez :

    • HEC/HTTP Event Collector

    Crowdstrike_2.png

  4. Sélectionnez Configurer
  5. Définir :
    • Fournisseur : Generic
    • Produit du fournisseur : Generic
  6. Créer un analyseur :
    • Faites défiler jusqu'à Parser
    • Sélectionnez Create new parser

    • Choisissez Blank Template

      Nommez-le : dashlane_parser

    • Sélectionnez Save.

  7. Copiez la clé API et l'URL API car vous les utiliserez dans Fluent Bit.

  8. Enregistrez le connecteur.

2. Générer la clé CLI Dashlane

Dans la console d'administration de Dashlane :

  1. Connectez-vous à l'extension du navigateur Dashlane et ouvrez la console d'administration
  2. Sélectionnez Paramètres puis Accès développeur
  3. Ensuite, sélectionnez Créer une clé CLI
  4. Nom : CrowdStrike SIEM Key
  5. Portée : Journaux d'activité en lecture seule
  6. Sélectionnez la date d'expiration

  7. Sélectionnez Générer une clé

  8. Copiez la clé, qui commence par DASH_EDWSA_

Stockez la clé CLI de manière sécurisée.

3. Installer Docker Desktop

Installer Docker Desktop

Vérifier l'installation : docker version

4. Créer un répertoire de travail dans PowerShell

mkdir C:\DashlaneCrowdStrike

5. Créer la configuration de fluent bit

Exécutez ceci dans PowerShell, en mettant à jour la ligne Host avant d'exécuter :

@'

[INPUT]

Namestdin

Tagdashlane

[OUTPUT]

Namecrowdstrike

Match*

Host CROWDSTRIKE_INGEST_HOST

Port443

URL/services/collector

tlsOn

tls.verifyOn

formatjson_lines

Header Authorization Splunk CROWDSTRIKE_HEC_TOKEN

HeaderContent-Type application/json

'@ | Set-Content -Path .\fluent-bit.conf

Mettre à jour avant d'exécuter :

CROWDSTRIKE_INGEST_HOST

CROWDSTRIKE_HEC_TOKEN

Changez l'URL si votre connecteur utilise /api/v1/ingest/hec

6. Pull Dashlane activity logs Docker image

Exécutez dans PowerShell :

docker pull dashlane/audit-logs:2

7. Exécuter le conteneur Dashlane → CrowdStrike

Remplacez les espaces réservés par vos valeurs réelles, puis exécutez ceci dans PowerShell :

docker run -d `
--restart unless-stopped `
--platform linux/amd64 `
--name dashlane-crowdstrike `
-e
DASHLANE_ENROLLED_TEAM_DEVICE_KEYS="DASH_EDWSA_XXXXXXXXXXXXXXXX..." `
-e DASHLANE_CLI_FLUENTBIT_CONF=/fluent-bit.conf `
-v "$(pwd)/fluent-bit.conf:/fluent-bit.conf:ro" `
dashlane/audit-logs:2

8. Vérifier l'intégration

Vérifiez le conteneur :
docker ps

Vérifiez les journaux d'exécution :
docker logs dashlane-crowdstrike --tail 50

Vérifiez dans CrowdStrike :

  • Ouvrez LogScale
  • Accédez au dépôt que vous avez attaché au connecteur

  • Recherchez :

    dashlane

Vous devriez voir des événements de journaux d'activité entrants.

macOS

Configuration recommandée

  • macOS 12 ou ultérieur
  • Docker Desktop installé et en cours d'exécution
  • Terminal accessible

1. Configurer CrowdStrike HEC/HTTP Event Collector

  1. Se connecter à Falcon LogScale.

  2. Accédez à : Next-Gen SIEM, Data connections puis Add connection.

    Crowdstrike_1.png

  3. Recherchez et sélectionnez :

    • HEC/HTTP Event Collector

    Crowdstrike_2.png

  4. Sélectionnez Configure
  5. Définir :
    • Vendor : Generic
    • Vendor Product: Generic
  6. Create a parser:
    • Scroll to Parser
    • Select Create new parser

    • Choose Blank Template

      Name it: dashlane_parser

    • Select Save.

      Crowdstrik_3.png

  7. Copy the API Key and API URL as you'll use them in Fluent Bit.

    Crowdstrike_values.png

  8. Save the connector.

2. Générer la clé CLI Dashlane

Dans la console d'administration Dashlane :

  1. Connectez-vous à l'extension du navigateur Dashlane et ouvrez la console d'administration
  2. Sélectionner Paramètres puis Accès développeur
  3. Ensuite, sélectionner Créer une clé CLI
  4. Nom : CrowdStrike SIEM Key
  5. Portée : Journaux d'activité en lecture seule
  6. Sélectionner la date d'expiration

  7. Sélectionner Générer la clé

    1_tac_cli_key_crowdstrike_integration.png

  8. Copier la clé, qui commence par DASH_EDWSA_

    2_tac_cli_key_crowdstrike_integration_generated.png

Conserver la clé CLI de manière sécurisée.

3. Installer Docker Desktop

Installer Docker Desktop

Vérifier l'installation : docker version

4. Créer un répertoire de travail dans le Terminal

mkdir -p ~/DashlaneCrowdStrike

cd ~/DashlaneCrowdStrike

5. Créer la configuration de fluent bit

Créer un fichier fluent-bit.conf :

cat fluent-bit.conf <><'eof'>

[INPUT]

Namestdin

Tagdashlane

[OUTPUT]

Namecrowdstrike

Match*

HostCROWDSTRIKE_INGEST_HOST

Port443

URL/services/collector

tlsOn

tls.verifyOn

formatjson_lines

HeaderAuthorization Splunk CROWDSTRIKE_HEC_TOKEN

HeaderContent-Type application/json

EOF

Mettre à jour avant d'exécuter :

CROWDSTRIKE_INGEST_HOST

CROWDSTRIKE_HEC_TOKEN

Changez l'URL si votre connecteur utilise /api/v1/ingest/hec

6. Récupérer l'image Docker des journaux d'activité Dashlane

Exécutez dans le Terminal :

docker pull dashlane/audit-logs:2

7. Exécuter le conteneur Dashlane → CrowdStrike

Remplacez les espaces réservés par vos valeurs réelles, puis exécutez ceci dans le Terminal :

docker run -d \
--restart unless-stopped \
--platform linux/amd64 \
--name dashlane-crowdstrike \
-e
DASHLANE_ENROLLED_TEAM_DEVICE_KEYS="DASH_EDWSA_XXXXXXXXXXXXXXXX..." \
-e DASHLANE_CLI_FLUENTBIT_CONF=/fluent-bit.conf \
-v "$(pwd)/fluent-bit.conf:/fluent-bit.conf:ro" \
dashlane/audit-logs:2

8. Vérifier l'intégration

Vérifiez le conteneur :
docker ps

Vérifiez les journaux d'exécution :
docker logs dashlane-crowdstrike --tail 50

Vérifiez dans CrowdStrike :

  • Ouvrez LogScale
  • Accédez au référentiel que vous avez attaché au connecteur

  • Recherchez :

    dashlane

Vous devriez voir des événements entrants de journaux d'activité.

Réalisé par Zendesk