VMware Carbon Black Cloud (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A VMware Carbon Black Cloud-összekötő lehetővé teszi a Carbon Black-adatok Microsoft Sentinelbe való betöltését. Az összekötő betekintést nyújt a Microsoft Sentinel naplózási, értesítési és eseménynaplóiba az irányítópultok megtekintéséhez, egyéni riasztások létrehozásához, valamint a figyelési és vizsgálati képességek javításához.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Alkalmazásbeállítások apiId
apiKey
workspaceID
workspaceKey
Uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (nem kötelező)
SIEMapiKey (nem kötelező)
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics-tábla(ok) CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft

Példák lekérdezésekre

A 10 legfontosabb eseménygeneráló végpont

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

A 10 legjobb felhasználói konzol bejelentkezése

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

A 10 leggyakoribb fenyegetés

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Előfeltételek

A VMware Carbon Black Cloud (az Azure Functions használatával) integrálásához győződjön meg arról, hogy a következőkkel rendelkezik:

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a VMware Carbon Blackhez, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A VMware Carbon Black API konfigurációs lépései

Kövesse az alábbi utasításokat egy API-kulcs létrehozásához.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A VMware Carbon Black-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a VMware Carbon Black API engedélyezési kulcs(ok) könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ez a módszer a VMware Carbon Black-összekötő automatikus üzembe helyezését biztosítja ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-banÜzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a naplótípusokat, az API-azonosító(ka)t, az API-kulcs(ok)t, a carbon black szervezeti kulcsot, az S3 gyűjtőnevet, az AWS hozzáférési kulcs azonosítóját, az AWS titkos hozzáférési kulcsát, az EventPrefixFolderName nevet, az AlertPrefixFolderName nevet, és ellenőrizze az URI-t.

  • Az alapértelmezett időintervallum az utolsó öt (5) perc adat lekérésére van beállítva. Ha módosítani kell az időintervallumot, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.
  • A Carbon Black külön API-azonosítót/kulcsokat igényel az értesítési riasztások betöltéséhez. Adja meg a SIEM API azonosítóját/kulcsértékeit, vagy ha nem szükséges, hagyja üresen.
  • Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját . 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A VMware Carbon Black-összekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben.

1. Függvényalkalmazás létrehozása

  1. Az Azure Portalon lépjen a Függvényalkalmazásra, és válassza a + Hozzáadás lehetőséget.
  2. Az Alapok lapon győződjön meg arról, hogy a Futtatókörnyezet verem PowerShell Core-ra van állítva.
  3. Az Üzemeltetés lapon győződjön meg arról, hogy a Használat (Kiszolgáló nélküli) csomagtípus van kiválasztva.
  4. Szükség esetén végezze el az egyéb előnyben részesíthető konfigurációs módosításokat, majd kattintson a Létrehozás gombra.

2. Függvényalkalmazás kódjának importálása

  1. Az újonnan létrehozott függvényalkalmazásban válassza a Függvények lehetőséget a bal oldali panelen, és kattintson a + Hozzáadás gombra.
  2. Válassza az Időzítő eseményindítót.
  3. Adjon meg egy egyedi függvénynevet, és szükség esetén módosítsa a cron ütemezését. Az alapértelmezett érték úgy van beállítva, hogy 5 percenként futtassa a függvényalkalmazást. (Megjegyzés: az időzítő eseményindítójának meg kell egyeznie az alábbi értékkel az átfedésben lévő adatok elkerülése érdekében), kattintson a timeIntervalLétrehozás.
  4. Kattintson a kód + teszt elemre a bal oldali panelen.
  5. Másolja ki a függvényalkalmazás kódját , és illessze be a függvényalkalmazás-szerkesztőbe run.ps1 .
  6. Kattintson a Mentés gombra.

3. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként a következő tizenhárom (13-16) alkalmazásbeállítást, a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcionális) SIEMapiKey (nem kötelező) logAnalyticsUri (nem kötelező)
  • Adja meg a régiónak megfelelő URI-t. Az API URL-címek teljes listája itt található. Az uri értéknek a következő sémát kell követnie: https://<API URL>.conferdeploy.net - Nincs szükség idő utótag hozzáadására az URI-hoz, a függvényalkalmazás dinamikusan hozzáfűzi az időértéket az URI-hoz a megfelelő formátumban.
  • Állítsa a timeInterval (percekben megadott) értéket az alapértelmezett értékre 5 , amely megfelel a percek 5 alapértelmezett időzítő eseményindítójának. Ha az időintervallumot módosítani kell, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját az átfedésben lévő adatbetöltés megakadályozása érdekében.
  • A Carbon Black külön API-azonosítót/kulcsokat igényel az értesítési riasztások betöltéséhez. Szükség esetén adja meg az SIEMapiIdSIEMapiKey és az értékeket, vagy kihagyja, ha nem szükséges.
  • Megjegyzés: Az Azure Key Vault használata esetén a sztringértékek@Microsoft.KeyVault(SecretUri={Security Identifier})helyett használja a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us 4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.