White Papers
Table Of Contents
- Dell Trusted-Device Installations- und Administratorhandbuch v3.6
- Inhaltsverzeichnis
- Einleitung
- Anforderungen
- Herunterladen der Software
- Überprüfen des Installationspakets
- Damit ist die Installation
- Trusted Device deinstallieren
- BIOS Verification
- Image-Erfassung
- BIOS-Ereignisse und Angriffsindikatoren
- Security Risk Protection Score
- Intel ME Verification
- Integration
- Ausführen des BIOS Verification Agent
- Ergebnisse, Troubleshooting und Korrektur
"Uri"="https://example.server.com:31235/siem/api/v1"
ANMERKUNG: Dies muss eine HTTPS-Verbindung sein.
ANMERKUNG: Der Server example.server.com muss vertrauenswürdig sein. Der Hostname muss übereinstimmen, die
Vertrauenskette muss vertrauenswürdig sein und das Datum muss gültig sein.
"RootCertificate"="ExampleCertificate"
● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection]
"Uri"="https://example.server.com:31235/siem/api/v1"
ANMERKUNG: Dies muss eine HTTPS-Verbindung sein.
ANMERKUNG: Der Server example.server.com muss vertrauenswürdig sein. Der Hostname muss übereinstimmen, die
Vertrauenskette muss vertrauenswürdig sein und das Datum muss gültig sein.
"RootCertificate"="ExampleCertificate"
Konfigurieren der Weiterleitung von Daten an eine SIEM-Lösung
SIEM-Lösungen erfordern oft ein Dienstprogramm, um Datenquellen zu nutzen. Die universelle Splunk-Weiterleitung ist eine einfache
Weiterleitungslösung, die für die Verwendung mit dem Ereignis-Repository während oder nach der Installation konfiguriert werden kann.
Das folgende Beispiel zeigt eine Installations- und Konfigurationsreferenz für die universelle Splunk-Weiterleitung, um Daten vom Ereignis-
Repository auf eine Splunk SIEM-Instanz zu übertragen.
Lesen Sie einen der folgenden Artikel, um eine universelle Weiterleitung basierend auf der Umgebung zu installieren, in der Ihr Ereignis-
Repository installiert ist:
● Informationen zum Installieren einer universellen Weiterleitung unter Windows finden Sie in diesem Splunk-Artikel.
● Informationen zum Installieren einer universellen Weiterleitung unter Linux, Solaris, macOS, FreeBSD oder AIX finden Sie in diesem
Splunk-Artikel.
Lesen Sie nach der Installation diesen Splunk-Artikel, um die universelle Weiterleitung für die Verwendung mit dem Ereignis-Repository zu
konfigurieren.
Nachdem Docker installiert und die erforderliche Konfiguration vorgenommen wurde, navigieren Sie zu Ausführen des Ereignis-
Repositorys.
Herunterladen des Ereignis-Repository-Images
Gehen Sie wie folgt vor, um das Ereignis-Repository-Image herunterzuladen:
1. Stellen Sie sicher, dass Docker auf dem Zielcomputer installiert ist und ausgeführt wird.
2. Navigieren Sie zu https://hub.docker.com/r/dellemc/dtd-event-repository und melden Sie sich mit Ihren Docker-
Anmeldeinformationen an.
3. Laden Sie das Image dtd-event-repository herunter.
4. Navigieren Sie zum Download-Speicherort für das Image dtd-event-repository und öffnen Sie die PowerShell oder die
Terminalanwendung.
5. Geben Sie den folgenden Befehl ein, um das Ereignis-Repository zu installieren:
docker pull dellemc/dtd-event-repository
Getrennte Umgebungen
Wenn Ihre SIEM-Lösung im getrennten Modus konfiguriert ist, lesen Sie die folgenden Artikel:
● Rufen Sie diesen Docker-Artikel auf, um die Schritte zum Speichern eines Docker-Images für die spätere Verwendung zu sehen.
● In diesem Docker-Artikel finden Sie die Schritte zum Laden eines zuvor gespeicherten Docker-Images.
Ausführen des Ereignis-Repositorys
Nach dem Herunterladen des Docker-Images muss das Ereignis-Repository initialisiert werden, um mit dem Zusammenstellen von Daten
von den Agents zu beginnen. In diesem Docker-Artikel finden Sie weitere Informationen zu den Docker-Ausführungsbefehlen. In der
30
Integration