White Papers
Table Of Contents
- Dell Trusted Device Guide d’installation et d’administration v3.6
- Table des matières
- Introduction
- Configuration requise
- Téléchargement du logiciel
- Vérification du module d’installation
- Installation
- Désinstaller Trusted Device
- BIOS Verification
- Image Capture
- BIOS Events & Indicators of Attack
- Security Risk Protection Score
- Intel ME Verification
- Intégration
- Exécuter l’Agent BIOS Verification
- Résultats, dépannage et mesure corrective
"RootCertificate"="ExampleCertificate"
● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection]
"Uri"="https://example.server.com:31235/siem/api/v1"
REMARQUE : Il doit s’agir d’une connexion HTTPS.
REMARQUE : Le serveur example.server.com doit être approuvé. Le nom d’hôte doit correspondre, la chaîne d’approbation doit
être approuvée et la date doit être valide.
"RootCertificate"="ExampleCertificate"
Configurer pour transmettre les données à une solution SIEM
Les solutions SIEM nécessitent souvent un utilitaire pour consommer des sources de données. Le transmetteur universel Splunk est une
solution de transmission légère qui peut être configurée pour être utilisée avec le référentiel d’événements pendant ou après l’installation.
L’exemple suivant fournit une référence à l’installation et à la configuration du transmetteur universel Splunk pour transmettre les données
du référentiel d’événements vers une instance SIEM Splunk.
Utilisez l’un des articles suivants pour installer un transmetteur universel en fonction de l’environnement dans lequel votre référentiel
d’événements est installé :
● Pour installer un transmetteur universel sous Windows, reportez-vous à cet article Splunk.
●
Pour installer un transmetteur universel sous Linux, Solaris, macOS, FreeBSD ou AIX, reportez-vous à cet article Splunk.
Après l’installation, reportez-vous à cet article Splunk pour configurer le transmetteur universel à utiliser avec le référentiel d’événements.
Une fois Docker installé et les conditions préalables configurées, accédez à Exécuter le référentiel d’événements.
Télécharger l’image du référentiel d’événements
Utilisez le workflow suivant pour télécharger l’image du référentiel d’événements :
1. Assurez-vous que Docker est installé et en cours d’exécution sur l’ordinateur cible.
2. Accédez à https://hub.docker.com/r/dellemc/dtd-event-repository et connectez-vous avec vos informations d’identification Docker.
3. Téléchargez l’image dtd-event-repository.
4. Accédez à l’emplacement de téléchargement de l’image dtd-event-repository et ouvrez l’application PowerShell ou Terminal.
5. Saisissez la commande suivante pour installer le référentiel d’événements :
docker pull dellemc/dtd-event-repository
Environnements déconnectés
Si votre solution SIEM est configurée en mode Déconnectée, reportez-vous aux articles suivants :
● Accédez à cet article Docker pour voir les étapes à suivre pour enregistrer une image Docker pour une utilisation ultérieure.
● Accédez à cet article Docker pour voir les étapes de chargement d’une image Docker précédemment enregistrée.
Exécuter le référentiel d’événements
Après le téléchargement de l’image Docker, le référentiel d’événements doit être initialisé pour commencer le classement des données à
partir des agents. Reportez-vous à cet article Docker pour plus d’informations sur les commandes d’exécution Docker. Le tableau suivant
détaille les variables Docker nécessaires pour configurer le conteneur de référentiel d’événements :
Variable
Signification
-d Exécute le conteneur Docker en mode détaché.
dellemc/dtd-event-repository
Définit l’image du conteneur à utiliser pour ce conteneur.
REMARQUE : Si une version spécifique de l’image du
référentiel d’événements est requise, ajoutez cette commande
30 Intégration