Microsoft Sentinel 用 VMware Carbon Black Cloud (Azure Functions を使用) コネクタ
VMware Carbon Black Cloud コネクタは、Carbon Black データを Microsoft Sentinel に取り込む機能を提供します。 このコネクタでは、Microsoft Sentinel の監査、通知、イベント ログを可視化して、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上を実現します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
アプリケーションの設定 | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (省略可能) SIEMapiKey (省略可能) logAnalyticsUri (省略可能) |
Azure 関数アプリのコード | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Log Analytics テーブル | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
クエリのサンプル
イベントを生成する上位 10 個のエンドポイント
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
上位 10 件のユーザー コンソール ログイン
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
上位 10 件の脅威
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
前提条件
(Azure Functions を使用して) VMware Carbon Black Cloud と 統合するには、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- VMware Carbon Black API キー: Carbon Black API または SIEM レベルの API キーが必要です。 詳細については、Carbon Black API のドキュメントを参照してください。
- 監査とイベントのログには、Carbon Black API アクセス レベルの API ID とキーが必要です。
- 通知アラートには、Carbon Black SIEM アクセス レベルの API ID とキーが必要です。
- Amazon S3 REST API の資格情報またはアクセス許可: Amazon S3 REST API には、AWS アクセス キー ID、AWS シークレット アクセス キー、AWS S3 バケット名、AWS S3 バケットのフォルダー名が必要です。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して VMware Carbon Black に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
ステップ 1 - VMware Carbon Black API の構成ステップ
以下の手順に従って、API キーを作成します。
ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: VMware Carbon Black コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および VMware Carbon Black API の認可キーをすぐに使用できるようにしておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
この方法により、ARM Tempate を使用した VMware Carbon Black コネクタの自動デプロイが可能になります。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望の [サブスクリプション]、[リソース グループ]、[場所] を選択します。
ワークスペース ID、ワークスペース キー、ログの種類、API ID、API キー、CarbonBlackOrgKey、S3 バケット名、AWS アクセス キー ID、AWS シークレット アクセス キー、EventPrefixFolderName、AlertPrefixFolderName を入力し、URI を検証します。
- リージョンに対応する URI を入力します。 API URL の完全な一覧は、こちらに記載されています
- 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。
- Carbon Black では、通知アラートを取り込むための API ID とキーの個別のセットが必要です。 SIEM API ID とキーの値を入力するか、不要な場合は空白のままにします。
- 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})
スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
次の詳細な説明に従い、Azure Functions を使用して VMware Carbon Black コネクタを手動でデプロイします。
1. 関数アプリを作成する
- Azure Portal から [関数アプリ] に移動し、[+ 追加] を選びます。
- [基本] タブで、[ランタイム スタック] が [Powershell Core] に設定されていることを確認します。
- [ホスティング] タブで、[従量課金 (サーバーレス)] のプランの種類が選ばれていることを確認します。
- 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。
2. 関数アプリ コードをインポートする
- 新しく作成した関数アプリの左側のペインで [関数] を選び、[+ 追加] をクリックします。
- [タイマー トリガー] を選択します。
- 一意の関数の名前を入力し、必要に応じて cron スケジュールを変更します。 既定値は、関数アプリを 5 分ごとに実行するように設定されています。 (注: タイマー トリガーは、データの重複を防ぐために、以下の
timeInterval
値と一致する必要があります)、[作成] をクリックします。 - 左側のペインで [コードとテスト] をクリックします。
- 関数アプリ コードをコピーし、関数アプリ
run.ps1
エディターに貼り付けます。 - [保存] をクリックします。
3. 関数アプリを構成する
- 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
- [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
- 次の 13 から 16 個のアプリケーション設定をそれぞれの文字列値で個別に追加します (大文字と小文字を区別): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (省略可能) SIEMapiKey (省略可能) logAnalyticsUri (省略可能)
- リージョンに対応する URI を入力します。 API URL の完全な一覧は、こちらに記載されています。
uri
の値はhttps://<API URL>.conferdeploy.net
のスキーマに従う必要があります。URI に時刻サフィックスを追加する必要はありません。関数アプリが適切な形式で URI に時間値を動的に追加します。timeInterval
(分単位) を既定値5
に設定します。これは、5
分ごとの既定の時間トリガーに対応します。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、関数アプリ タイマー トリガーを適宜変更することをお勧めします。- Carbon Black では、通知アラートを取り込むための API ID とキーの個別のセットが必要です。 必要に応じて
SIEMapiId
とSIEMapiKey
の値を入力するか、不要な場合は省略します。- 注: Azure Key Vault を使用している場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})
スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。- 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、
https://<CustomerId>.ods.opinsights.azure.us
の形式で値を指定します。4. すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。