VMware Carbon Black Cloud-Connector (mittels Azure Functions) für Microsoft Sentinel

  • Artikel

Der VMware Carbon Black Cloud-Connector bietet die Möglichkeit, Carbon Black-Daten in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Überwachungs-, Benachrichtigungs- -und Ereignisprotokolle in Microsoft Sentinel, sodass Sie Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und Ihre Überwachungs- und Untersuchungsfunktionen verbessern können.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Anwendungseinstellungen apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (Optional)
SIEMapiKey (Optional)
logAnalyticsUri (optional)
Azure-Funktions-App-Code https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics-Tabellen CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft

Abfragebeispiele

Top 10: Endpunkte mit Ereignisgenerierung

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Top 10: Anmeldungen an der Benutzerkonsole

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

Top 10: Bedrohungen

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in „VMware Carbon Black Cloud (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • VMware Carbon Black-API-Schlüssel: Die Schlüssel für die Carbon Black-API und/oder die SIEM-API sind erforderlich. Weitere Informationen zur Carbon Black-API finden Sie in der Dokumentation.
  • Für Überwachungsprotokolle und Ereignisprotokolle sind eine Carbon Black-API-ID und ein Carbon Black-API-Schlüssel auf API-Zugriffsebene erforderlich.
  • Für Benachrichtigungen sind eine Carbon Black-API-ID und ein Carbon Black-API-Schlüssel auf SIEM-Zugriffsebene erforderlich.
  • Anmeldeinformationen/Berechtigungen für die Amazon S3-REST-API: AWS-Zugriffsschlüssel-ID, AWS-Zugriffsschlüssel für Geheimnis, Name des AWS S3-Buckets und Ordnername im AWS-S3-Bucken sind für die Amazon S3-REST-API erforderlich.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit VMware Carbon Black her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für VMware Carbon Black-API

Befolgen Sie diese Anweisungen, um einen API-Schlüssel zu erstellen.

SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des VMware Carbon Black-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie die Autorisierungsschlüssel für die VMware Carbon Black-API zur Hand haben.

Option 1: Azure Resource Manager-Vorlage (ARM)

Diese Methode stellt eine automatisierte Bereitstellung des VMware Carbon Black-Connectors mithilfe einer ARM-Vorlage bereit.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellenDeploy to Azure Gov

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

  3. Geben Sie Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, Protokolltypen, API-ID(s), API-Schlüssel, Carbon Black Org-Schlüssel, S3-Bucketname, AWS-Zugriffsschlüssel-ID, AWS-Zugriffsschlüssel für Geheimnis, EventPrefixFolderName und AlertPrefixFolderName ein, und validieren Sie den URI.

  • Geben Sie den URI für Ihre Region ein. Die vollständige Liste der API-URLs finden Sie hier.
  • Das standardmäßige Zeitintervall ist so festgelegt, dass immer die Daten der letzten fünf (5) Minuten gepullt werden. Wenn das Zeitintervall geändert werden muss, empfiehlt es sich, den Timertrigger der Funktions-App entsprechend zu ändern (in der Datei „function.json“, nach der Bereitstellung), um Überschneidungen bei der Datenerfassung zu verhindern.
  • Carbon Black erfordert einen separaten Satz API-IDs/Schlüssel, um Benachrichtigungen zu erfassen. Geben Sie die Werte für SIEM-API-ID und -Schlüssel ein, oder lassen Sie die Felder leer, wenn sie nicht benötigt werden.
  • Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den VMware Carbon Black-Connector manuell mit Azure Functions bereitzustellen.

1. Erstellen einer Funktions-App

  1. Navigieren Sie im Azure-Portal zu Funktions-App, und wählen Sie + Hinzufügen aus.
  2. Stellen Sie auf der Registerkarte Grundlagen sicher, dass der Runtimestapel auf PowerShell Core festgelegt ist.
  3. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp Verbrauch (serverlos) ausgewählt ist.
  4. Nehmen Sie bei Bedarf weitere Konfigurationsänderungen vor, und klicken Sie dann auf Erstellen.

2. Importieren von Funktions-App-Code

  1. Wählen Sie in der neu erstellten Funktions-App im linken Bereich Funktionen aus, und klicken Sie auf + Hinzufügen.
  2. Wählen Sie Zeitgebertrigger.
  3. Geben Sie einen eindeutigen Funktionsnamen ein, und ändern Sie den Cron-Zeitplan bei Bedarf. Der Standardwert ist so festgelegt, dass die Funktions-App alle 5 Minuten ausgeführt wird. (Hinweis: Der Timertrigger sollte mit dem folgenden timeInterval-Wert übereinstimmen, um Überschneidungen bei Daten zu verhindern). Klicken Sie auf Erstellen.
  4. Klicken Sie im linken Bereich auf Programmieren und testen.
  5. Kopieren Sie den Funktions-App-Code, und fügen Sie ihn in den Funktions-App-Editor run.ps1 ein.
  6. Klicken Sie auf Speichern.

3. Konfigurieren der Funktions-App

  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
  3. Fügen Sie jede der folgenden 13-16 Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Optional) SIEMapiKey (Optional) logAnalyticsUri (optional).
  • Geben Sie den URI für Ihre Region ein. Die vollständige Liste der API-URLs finden Sie hier. Der uri-Wert muss dem folgenden Schema entsprechen: https://<API URL>.conferdeploy.net. Es ist nicht erforderlich, dem URI ein Uhrzeitsuffix hinzuzufügen. Die Funktions-App fügt den Uhrzeitwert dynamisch im richtigen Format an den URI an.
  • Legen Sie timeInterval (in Minuten) auf den Standardwert 5 fest, entsprechend dem standardmäßigen Timertrigger „Alle 5 Minuten“. Wenn das Zeitintervall geändert werden muss, empfiehlt es sich, den Timertrigger der Funktions-App entsprechend zu ändern, um Überschneidungen bei der Datenerfassung zu verhindern.
  • Carbon Black erfordert einen separaten Satz API-IDs/Schlüssel, um Benachrichtigungen zu erfassen. Geben Sie die Werte SIEMapiId und SIEMapiKey ein, wenn sie erforderlich sind, oder lassen Sie die Felder leer, wenn die Werte nicht benötigt werden.
  • Hinweis: Bei Verwendung von Azure Key Vault verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.
  • Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Für die öffentliche Cloud beispielsweise lassen Sie den Wert leer. Für die Azure-Cloudumgebung „GovUS“ geben Sie den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us. 4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.