Konektor VMware Carbon Black Cloud (pomocí Azure Functions) pro Microsoft Sentinel

Konektor VMware Carbon Black Cloud poskytuje možnost ingestovat data Carbon Black do Microsoft Sentinelu. Konektor poskytuje přehled o protokolech auditu, oznámení a událostí v Microsoft Sentinelu za účelem zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení možností monitorování a vyšetřování.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru	Popis
Nastavení aplikace	apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (volitelné) SIEMapiKey (volitelné) LogAnalyticsUri (volitelné)
Kód aplikace funkcí Azure	https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabulky Log Analytics	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Microsoft

Ukázky dotazů

Prvních 10 událostí generující koncové body

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Prvních 10 přihlášení uživatelské konzoly

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

Prvních 10 hrozeb

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Požadavky

Pokud chcete provést integraci s VMware Carbon Black Cloudem (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Klíče rozhraní API VMware Carbon Black: Jsou vyžadovány klíče rozhraní API úrovně CARBON BLACK NEBO SIEM. Další informace o rozhraní API carbon black najdete v dokumentaci.
• Pro protokoly auditu a událostí se vyžaduje ID a klíč rozhraní API na úrovni přístupu k rozhraní API uhlíku Black.
• Pro upozornění oznámení se vyžaduje ID rozhraní API a klíč úrovně přístupu Carbon Black SIEM.
• Přihlašovací údaje a oprávnění rozhraní REST API Amazon S3: ID přístupového klíče AWS, tajný přístupový klíč AWS S3, název kontejneru AWS S3, název složky v kontejneru AWS S3 se vyžaduje pro rozhraní AMAZON S3 REST API.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k VMware Carbon Black k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Kroky konfigurace pro rozhraní API VMware Carbon Black

Podle těchto pokynů vytvořte klíč rozhraní API.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením konektoru VMware Carbon Black mějte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče rozhraní VMware Carbon Black API, které jsou snadno dostupné.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tato metoda poskytuje automatizované nasazení konektoru VMware Carbon Black pomocí šablony ARM.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, typy protokolů, ID rozhraní API, klíče rozhraní API, klíč uhlíku černé organizace, název kbelíku S3, ID přístupového klíče AWS, tajný přístupový klíč AWS, eventPrefixFolderName, AlertPrefixFolderName a ověřte identifikátor URI.

• Zadejte identifikátor URI, který odpovídá vaší oblasti. Úplný seznam adres URL rozhraní API najdete tady.

• Výchozí časový interval je nastavený tak, aby načítá posledních pět (5) minut dat. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí (v souboru function.json, po nasazení), aby se zabránilo překrývání dat.
• Carbon Black vyžaduje samostatnou sadu ID nebo klíčů rozhraní API pro upozornění na příjem oznámení. Zadejte HODNOTY ID/klíče rozhraní SIEM API nebo ponechte prázdné, pokud není požadováno.

• Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte konektor VMware Carbon Black ručně se službou Azure Functions.

1. Vytvoření aplikace funkcí

1. Na webu Azure Portal přejděte do aplikace funkcí a vyberte + Přidat.
2. Na kartě Základy se ujistěte, že je zásobník modulu runtime nastavený na PowerShell Core.
3. Na kartě Hostování se ujistěte, že je vybraný typ plánu Consumption (bez serveru).
4. V případě potřeby proveďte další přednostní změny konfigurace a potom klikněte na Vytvořit.

2. Import kódu aplikace funkcí

1. V nově vytvořené aplikaci funkcí vyberte v levém podokně funkce a klikněte na + Přidat.
2. Vyberte aktivační událost časovače.
3. Zadejte jedinečný název funkce a v případě potřeby upravte plán cron. Výchozí hodnota je nastavená tak, aby se aplikace Funkcí spouštěla každých 5 minut. (Poznámka: Trigger časovače by měl odpovídat timeInterval následující hodnotě, aby se zabránilo překrývajícím se datům), klikněte na Vytvořit.
4. V levém podokně klikněte na Kód + Test .
5. Zkopírujte kód aplikace funkcí a vložte ho do editoru aplikace run.ps1 funkcí.
6. Klikněte na Uložit.

3. Konfigurace aplikace funkcí

1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
3. Přidejte každou z následujících třinácti do šestnácti (13-16) nastavení aplikace jednotlivě, s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (volitelné) SIEMapiKey (volitelné) logAnalyticsUri (volitelné)

• Zadejte identifikátor URI, který odpovídá vaší oblasti. Úplný seznam adres URL rozhraní API najdete tady. Hodnota uri musí následovat po následujícím schématu: https://<API URL>.conferdeploy.net Není nutné přidávat k identifikátoru URI časovou příponu, aplikace funkcí dynamicky připojí hodnotu času k identifikátoru URI ve správném formátu.
• timeInterval Nastavte výchozí hodnotu (v minutách5) tak, aby odpovídala výchozímu triggeru časovače každé 5 minuty. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí, aby se zabránilo překrývajícímu se příjmu dat.
• Carbon Black vyžaduje samostatnou sadu ID nebo klíčů rozhraní API pro upozornění na příjem oznámení. SIEMapiId V případě potřeby zadejte hodnoty a SIEMapiKey hodnoty nebo je v případě potřeby vynecháte.
• Poznámka: Pokud používáte Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.
• K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us 4. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.