你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 VMware Carbon Black Cloud(使用 Azure Functions)连接器
VMware Carbon Black Cloud 连接器提供将 Carbon Black 数据引入 Microsoft Sentinel 的功能。 该连接器为 Microsoft Sentinel 中审核、通知和事件日志提供可见性,以查看仪表板、创建自定义警报以及改进监视和调查功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| 应用程序设置 | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId(可选) SIEMapiKey(可选) logAnalyticsUri(可选) |
| Azure 函数应用代码 | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| Log Analytics 表 | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft |
查询示例
前 10 个事件生成终结点
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
前 10 个用户控制台登录
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
前 10 个威胁
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
先决条件
若要与 VMware Carbon Black Cloud(使用 Azure Functions)集成,请确保你具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- VMware Carbon Black API 密钥:需要 Carbon Black API 和/或 SIEM 级别 API 密钥。 请参阅文档以详细了解 Carbon Black API。
- 需有 Carbon Black API 访问级别 API ID 和密钥才能查看审核和事件日志。
- 需有 Carbon Black SIEM 访问级别 API ID 和密钥才能查看通知警报。
- Amazon S3 REST API 凭据/权限:Amazon S3 REST API 需要 AWS 访问密钥 ID、AWS 机密访问密钥、AWS S3 存储桶名称、AWS S3 存储桶中的文件夹名称。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 VMware Carbon Black,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - VMware Carbon Black API 的配置步骤
按照这些说明创建 API 密钥。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:在部署 VMware Carbon Black 连接器之前,请从以下位置复制工作区 ID 和工作区主密钥,以及随时可用的 VMware Carbon Black API 授权密钥。
选项 1 - Azure 资源管理器 (ARM) 模板
此方法使用 ARM 模板自动部署 VMware Carbon Black 连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“工作区 ID”、“工作区密钥”、“日志类型”、“API ID”、“API 密钥”、“Carbon Black 组织密钥”、“S3 存储桶名称”、“AWS 访问密钥 ID”、“AWS 机密访问密钥”、“EventPrefixFolderName”、“AlertPrefixFolderName”,并验证“URI”。
- 输入与你所在区域对应的 URI。 可在此处找到 API URL 的完整列表
- 默认“时间间隔”设置为拉取过去 5 分钟的数据。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器(部署后在 function.json 文件中),以防数据引入重叠。
- Carbon Black 需要通过单独的一组 API ID/密钥来引入通知警报。 输入 SIEM API ID/密钥值,或将这些字段留空(如果不需要这些值)。
- 注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
按照以下分步说明,使用 Azure Functions 手动部署 VMware Carbon Black 连接器。
1.创建函数应用
- 在 Azure 门户中导航到函数应用,然后选择“+ 添加”。
- 在“基本信息”选项卡中,确保“运行时堆栈”设置为“Powershell Core”。
- 在“托管”选项卡中,确保选中“消耗(无服务器)”计划类型。
- 根据需要进行其他首选配置更改,然后单击“创建”。
2. 导入函数应用代码
- 在新建的函数应用中,选择左侧窗格中的“函数”,然后单击“+ 添加”。
- 选择“计时器触发器”。
- 输入唯一的函数名称,并根据需要修改 cron 计划。 默认值设置为每 5 分钟运行一次函数应用。 (注意:计时器触发器应匹配以下
timeInterval值,以防止数据重叠),单击“创建”。 - 单击左侧窗格中的“代码 + 测试”。
- 复制函数应用代码并将其粘贴到函数应用
run.ps1编辑器中。 - 单击“ 保存”。
3. 配置函数应用
- 在函数应用中选择“函数应用名称”,然后选择“配置”。
- 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
- 分别添加以下 13 到 16 个应用程序设置,及其各自的字符串值(区分大小写):apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId(可选)SIEMapiKey(可选)logAnalyticsUri(可选)
- 输入与你所在区域对应的 URI。 可在此处找到 API URL 的完整列表。
uri值必须遵循以下架构:https://<API URL>.conferdeploy.net- 无需向 URI 添加时间后缀,该函数应用将以正确的格式动态将时间值追加到 URI。- 将
timeInterval(以分钟为单位)设置为默认值5,表示每隔5分钟运行的默认计时器触发器。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器,以防数据引入重叠。- Carbon Black 需要通过单独的一组 API ID/密钥来引入通知警报。 根据需要输入
SIEMapiId和SIEMapiKey值或将其省略。- 注意:如果使用 Azure 密钥保管库,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。- 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将值留空;对于 Azure GovUS 云环境,请指定以下格式的值:
https://<CustomerId>.ods.opinsights.azure.us。4. 输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。