Łącznik VMware Carbon Black Cloud (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik VMware Carbon Black Cloud zapewnia możliwość pozyskiwania danych z czarnego węgla do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki inspekcji, powiadomień i zdarzeń w usłudze Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych oraz zwiększania możliwości monitorowania i badania.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or	opis
Ustawienia aplikacji	apiId apiKey identyfikator obszaru roboczego workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcjonalnie) SIEMapiKey (opcjonalnie) logAnalyticsUri (opcjonalnie)
Kod aplikacji funkcji platformy Azure	https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabele usługi Log Analytics	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
Obsługa reguł zbierania danych	Obecnie nieobsługiwane
Obsługiwane przez	Microsoft

Przykłady zapytań

10 najważniejszych punktów końcowych generowania zdarzeń

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

10 pierwszych logowań konsoli użytkownika

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 najważniejszych zagrożeń

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Wymagania wstępne

Aby zintegrować się z rozwiązaniem VMware Carbon Black Cloud (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

• Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
• Wymagane są klucze interfejsu API czarnego węgla i/lub kluczy interfejsu API na poziomie rozwiązania SIEM. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API czarnego węgla.
• Identyfikator interfejsu API i klucz interfejsu API poziomu dostępu do czarnego węgla są wymagane dla dzienników inspekcji i zdarzeń.
• W przypadku alertów dotyczących alertów dotyczących alertów wymagane jest użycie identyfikatora interfejsu API i klucza dostępu do czarnego śladu SIEM.
• Poświadczenia/uprawnienia interfejsu API REST usługi Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3, nazwa folderu w zasobniku usługi AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z czarnym węglem VMware w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API czarnego węgla VMware

Postępuj zgodnie z tymi instrukcjami , aby utworzyć klucz interfejsu API.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika VMware Carbon Black należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API czarnego węgla VMware.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda zapewnia automatyczne wdrożenie łącznika VMware Carbon Black przy użyciu szablonu ARM.

1. Kliknij przycisk Wdróż na platformie Azure poniżej.

   

2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, typy dzienników, identyfikatory interfejsu API, klucze interfejsu API, klucz organizacji czarny węgiel, nazwę zasobnika S3, identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, eventPrefixFolderName,alertPrefixFolderName i zweryfikuj identyfikator URI.

• Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL interfejsu API można znaleźć tutaj

• Domyślny interwał czasu jest ustawiony na ściągnięcie ostatnich pięciu (5) minut danych. Jeśli należy zmodyfikować interwał czasu, zaleca się odpowiednio zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.
• Węgiel czarny wymaga oddzielnego zestawu identyfikatorów interfejsu API/kluczy do pozyskiwania alertów powiadomień. Wprowadź wartości identyfikatora/klucza interfejsu API SIEM lub pozostaw wartość pustą, jeśli nie jest to wymagane.

• Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik VMware Carbon Black za pomocą usługi Azure Functions.

1. Tworzenie aplikacji funkcji

1. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji i wybierz pozycję + Dodaj.
2. Na karcie Podstawowe upewnij się, że stos środowiska uruchomieniowego jest ustawiony na PowerShell Core.
3. Na karcie Hosting upewnij się, że wybrano typ planu Zużycie (bezserwerowe ).
4. W razie potrzeby wprowadź inne preferowane zmiany konfiguracji, a następnie kliknij przycisk Utwórz.

2. Importowanie kodu aplikacji funkcji

1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje w okienku po lewej stronie i kliknij pozycję + Dodaj.
2. Wybierz pozycję Wyzwalacz czasomierza.
3. Wprowadź unikatową nazwę funkcji i w razie potrzeby zmodyfikuj harmonogram cron. Wartość domyślna jest ustawiona na uruchamianie aplikacji funkcji co 5 minut. (Uwaga: wyzwalacz czasomierza powinien być zgodny z poniższą wartością timeInterval , aby zapobiec nakładaniu się danych), kliknij przycisk Utwórz.
4. Kliknij pozycję Kod i testowanie w okienku po lewej stronie.
5. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.
6. Kliknij przycisk Zapisz.

3. Konfigurowanie aplikacji funkcji

1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj każdą z następujących trzynaście do szesnastu (13-16) ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągów (rozróżniana wielkość liter): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcjonalnie) SIEMapiKey (opcjonalnie) logAnalyticsUri (opcjonalnie)

• Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL interfejsu API można znaleźć tutaj. Wartość musi być zgodna uri z następującym schematem: https://<API URL>.conferdeploy.net — nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza wartość godziny do identyfikatora URI w odpowiednim formacie.
• timeInterval Ustaw wartość 5 domyślną (w minutach), aby odpowiadać domyślnemu wyzwalaczowi czasomierza co 5 minuty. Jeśli należy zmodyfikować interwał czasu, zaleca się zmianę wyzwalacza czasomierza aplikacji funkcji, aby zapobiec nakładające się pozyskiwaniu danych.
• Węgiel czarny wymaga oddzielnego zestawu identyfikatorów interfejsu API/kluczy do pozyskiwania alertów powiadomień. SIEMapiId W razie potrzeby wprowadź wartości i SIEMapiKey lub pomiń je, jeśli nie jest to wymagane.
• Uwaga: w przypadku korzystania z usługi Azure Key Vault użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
• Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; W przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us 4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.