Microsoft Sentinel için VMware Carbon Black Cloud (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

VMware Carbon Black Cloud bağlayıcısı, Karbon Siyahı verilerini Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de Denetim, Bildirim ve Olay günlüklerine görünürlük sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Uygulama ayarları apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (İsteğe bağlı)
SIEMapiKey (İsteğe bağlı)
logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu İndirin: https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics tabloları CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft

Sorgu örnekleri

İlk 10 Olay Oluşturan Uç Nokta

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

İlk 10 Kullanıcı Konsolu Oturumu

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

İlk 10 Tehdit

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Önkoşullar

VMware Carbon Black Cloud ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • VMware Karbon Siyahı API Anahtarları: Karbon Siyahı API'leri ve/veya SIEM Düzeyi API Anahtarları gereklidir. Karbon Siyahı API'si hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Denetim ve Olay günlükleri için Karbon Siyah API erişim düzeyi API Kimliği ve Anahtarı gereklidir.
  • Bildirim uyarıları için Karbon Siyah SIEM erişim düzeyi API Kimliği ve Anahtarı gereklidir.
  • Amazon S3 REST API Kimlik Bilgileri/izinleri: Amazon S3 REST API için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, AWS S3 Bucket Adı, AWS S3 Demetindeki Klasör Adı gereklidir.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere VMware Carbon Black'e bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - VMware Karbon Siyahı API'sine yönelik yapılandırma adımları

API Anahtarı oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: VMware Karbon Siyah bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve VMware Karbon Siyahı API Yetkilendirme Anahtarları'na(lar) sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Şablonu kullanarak VMware Carbon Black bağlayıcısının otomatik dağıtımını sağlar.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Günlük Türleri, API Kimlikleri, API Anahtarları, Karbon Siyah Kuruluş Anahtarı, S3 Demet Adı, AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, EventPrefixFolderName,AlertPrefixFolderName girin ve URI'yi doğrulayın.

  • Bölgenize karşılık gelen URI'yi girin. API URL'lerinin tam listesine buradan ulaşabilirsiniz
  • Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'ni uygun şekilde değiştirmeniz önerilir (function.json dosyasında dağıtım sonrası).
  • Carbon Black, Bildirim uyarılarını almak için ayrı bir API Kimliği/Anahtarları kümesi gerektirir. SIEM API Kimliği/Anahtar değerlerini girin veya gerekli değilse boş bırakın.
  • Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

VMware Carbon Black bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Oluşturma

  1. Azure portalından İşlev Uygulaması'na gidin ve + Ekle'yi seçin.
  2. Temel Bilgiler sekmesinde Çalışma zamanı yığınının Powershell Core olarak ayarlandığından emin olun.
  3. Barındırma sekmesinde Tüketim (Sunucusuz) plan türünün seçili olduğundan emin olun.
  4. Gerekirse diğer tercih edilebilir yapılandırma değişikliklerini yapın ve Oluştur'a tıklayın.

2. İşlev Uygulama Kodunu İçeri Aktarma

  1. Yeni oluşturulan İşlev Uygulamasında sol bölmedeki İşlevler'i seçin ve + Ekle'ye tıklayın.
  2. Zamanlayıcı Tetikleyicisi'ne tıklayın.
  3. Benzersiz bir İşlev Adı girin ve gerekirse cron zamanlamasını değiştirin. Varsayılan değer, İşlev Uygulamasını 5 dakikada bir çalıştıracak şekilde ayarlanır. (Not: Zamanlayıcı tetikleyicisi, çakışan verileri önlemek için aşağıdaki değerle eşleşmelidir timeInterval ), Oluştur'u seçin.
  4. Sol bölmede Kod + Test'e tıklayın.
  5. İndirilen https://aka.ms/sentinelcarbonblackazurefunctioncode uygulamadan İşlev Uygulama Kodu'nu kopyalayın ve İşlev Uygulaması run.ps1 düzenleyicisine yapıştırın.
  6. Kaydet'e tıklayın.

3. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki on üç uygulama ayarlarının her birini tek tek on altı (13-16) uygulama ayarına ekleyin, ilgili dize değerleriyle (büyük/küçük harfe duyarlı): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (İsteğe bağlı) SIEMapiKey (İsteğe bağlı) logAnalyticsUri (isteğe bağlı)
  • Bölgenize karşılık gelen URI'yi girin. API URL'lerinin tam listesine buradan ulaşabilirsiniz. Değerin uri aşağıdaki şemayı izlemesi gerekir: https://<API URL>.conferdeploy.net - URI'ye zaman soneki eklemeye gerek yoktur, İşlev Uygulaması saat değerini URI'ye dinamik olarak uygun biçimde ekler.
  • timeInterval (dakika cinsinden) değerini varsayılan değerine 5 ayarlayarak her 5 dakikanın varsayılan Zamanlayıcı Tetikleyicisine karşılık gelir. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'ni uygun şekilde değiştirmeniz önerilir.
  • Carbon Black, Bildirim uyarılarını almak için ayrı bir API Kimliği/Anahtarları kümesi gerektirir. SIEMapiId Gerekirse ve SIEMapiKey değerlerini girin veya gerekli değilse atlayın.
  • Not: Azure Key Vault kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us 4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.