White Papers
Table Of Contents
- Dell Trusted Device Guía de instalación y administrador v3.6
- Tabla de contenido
- Introducción
- Requisitos
- Descarga del software
- Verificar el paquete de instalación
- Ha finalizado la instalación
- Desinstalar Trusted Device
- Verificación del BIOS
- Captura de imagen
- Eventos e indicadores de ataque al BIOS
- Puntaje de protección de riesgos de seguridad
- Verificación de Intel ME
- Integración
- Ejecutar el Agent de verificación del BIOS
- Resultados, solución de problemas y corrección
● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection]
"Uri"="https://example.server.com:31235/siem/api/v1"
NOTA: Debe ser una conexión HTTPS.
NOTA: El servidor example.server.com debe ser de confianza. El nombre de host debe coincidir, la cadena de confianza debe ser
de confianza y la fecha debe ser válida.
"RootCertificate"="ExampleCertificate"
Configurar para reenviar datos a una solución SIEM
Las soluciones SIEM a menudo requieren una utilidad para consumir orígenes de datos. El reenviador universal de Splunk es una solución
ligera de reenvío que se puede configurar para su uso con Event Repository durante o después de la instalación. En el siguiente ejemplo, se
proporciona la referencia de instalación y configuración para el reenviador universal de Splunk a fin de migrar datos de Event Repository a
una instancia de SIEM de Splunk.
Utilice uno de los siguientes artículos para instalar un reenviador universal en función del entorno en el que está instalado Event Repository:
● Para instalar un reenviador universal en Windows, consulte este artículo de Splunk.
● Para instalar un reenviador universal en Linux, Solaris, macOS, FreeBSD o AIX, consulte este artículo de Splunk.
Después de la instalación, consulte este artículo de Splunk a fin de configurar el reenviador universal para su uso con Event Repository.
Después de instalar Docker y configurar los requisitos previos, vaya a Ejecutar Event Repository.
Descargar la imagen de Event Repository
Utilice el siguiente flujo de trabajo para descargar la imagen de Event Repository:
1. Asegúrese de que Docker esté instalado y en ejecución en la computadora de destino.
2. Vaya a https://hub.docker.com/r/dellemc/dtd-event-repository e inicie sesión con sus credenciales de Docker.
3. Descargue la imagen de dtd-event-repository
4. Vaya a la ubicación de descarga de imágenes de dtd-event-repository y abra la aplicación PowerShell o Terminal.
5. Ingrese el siguiente comando para instalar Event Repository:
docker pull dellemc/dtd-event-repository
Entornos desconectados
Si la solución SIEM está configurada en modo Desconectado, consulte los siguientes artículos:
● Vaya a este artículo de Docker a fin de ver los pasos para guardar una imagen de Docker para su uso posterior.
● Vaya a este artículo de Docker para ver los pasos a fin de cargar una imagen de Docker guardada anteriormente.
Ejecutar Event Repository
Después de descargar la imagen de Docker, se debe inicializar Event Repository para comenzar a recopilar datos de los agentes. Consulte
este artículo de Docker para obtener más información sobre los comandos de ejecución de Docker. En la siguiente tabla, se detallan las
variables basadas en Docker necesarias para configurar el contenedor de Event Repository:
Variable
Significado
-d Ejecute el contenedor de Docker en modo desconectado.
dellemc/dtd-event-repository
Define la imagen del contenedor que se usará para este
contenedor.
NOTA: Si se requiere una versión específica de la
imagen de Event Repository, agregue este comando
con :<version number>. Por ejemplo: dellemc/dtd-
event-repository:1.0.2.0
30 Integración