Microsoft Sentinel용 VMware Carbon Black Cloud(Azure Functions 사용) 커넥터
VMware Carbon Black Cloud 커넥터는 Microsoft Sentinel에 Carbon Black 데이터를 수집하는 기능을 제공합니다. 커넥터는 Microsoft Sentinel의 감사, 알림, 이벤트 로그에 대한 가시성을 제공하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링, 조사 기능을 개선합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
커넥터 특성 | 설명 |
---|---|
애플리케이션 설정 | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId(선택 사항) SIEMapiKey(선택 사항) logAnalyticsUri(선택 사항) |
Azure 함수 앱 코드 | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Log Analytics 테이블 | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
데이터 수집 규칙 지원 | 현재 지원되지 않음 |
다음에서 지원됨 | Microsoft |
쿼리 샘플
상위 10개의 이벤트 생성 엔드포인트
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
상위 10개의 사용자 콘솔 로그인
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
상위 10개의 위협
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
필수 조건
VMware Carbon Black Cloud(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- VMware Carbon Black API 키: Carbon Black API 및/또는 SIEM 수준 API 키가 필요합니다. Carbon Black API에 대한 자세한 내용은 설명서를 참조하세요.
- 감사 및 이벤트 로그에는 Carbon Black API 액세스 수준 API ID와 키가 필요합니다.
- 알림 경고에는 Carbon Black SIEM 액세스 수준 API ID와 키가 필요합니다.
- Amazon S3 REST API 자격 증명/권한: AWS 액세스 키 ID, AWS 비밀 액세스 키, AWS S3 버킷 이름, AWS S3 버킷의 폴더 이름이 Amazon S3 REST API에 필요합니다.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 VMware Carbon Black에 연결하여 로그를 Microsoft Sentinel로 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
1단계 - VMware Carbon Black API에 대한 구성 단계
다음 지침에 따라 API 키를 만듭니다.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수를 배포합니다.
중요: VMware Carbon Black 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 VMware Carbon Black API 권한 부여 키를 쉽게 사용할 수 있습니다.
옵션 1 - ARM(Azure Resource Manager) 템플릿
이 메서드는 ARM Tempate를 사용하여 VMware Carbon Black 커넥터를 자동으로 배포합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
선호하는 구독, 리소스 그룹 및 위치를 선택합니다.
작업 영역 ID, 작업 영역 키, 로그 형식, API ID, API 키, Carbon Black 조직 키, S3 버킷 이름, AWS 액세스 키 ID, AWS 비밀 액세스 키, EventPrefixFolderName,AlertPrefixFolderName을 입력하고 URI의 유효성을 검사합니다.
- 해당 지역에 해당하는 URI를 입력합니다. API URL의 전체 목록은 여기에서 찾을 수 있습니다.
- 기본 시간 간격은 최근 5분 동안의 데이터를 풀하도록 설정되어 있습니다. 시간 간격을 수정해야 하는 경우 데이터 수집이 겹치는 것을 방지하기 위해 배포 후 function.json 파일에서 함수 앱 타이머 트리거를 적절하게 변경하는 것이 좋습니다.
- Carbon Black은 알림 경고를 수집하기 위해 API ID/키 집합이 별도로 필요합니다. SIEM API ID/키 값을 입력하거나 필요하지 않은 경우 비워 둡니다.
- 참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신
@Microsoft.KeyVault(SecretUri={Security Identifier})
스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다. 5. 구매를 클릭하여 배포합니다.
옵션 2 - Azure Functions 수동 배포
Azure Functions를 사용하여 VMware Carbon Black 커넥터를 수동으로 배포하려면 다음 단계별 지침을 따르세요.
1. 함수 앱 만들기
- Azure Portal에서 함수 앱으로 이동하고 + 추가를 선택합니다.
- 기본 사항 탭에서 런타임 스택이 Powershell Core로 설정되어 있는지 확인합니다.
- 호스팅 탭에서 사용량(서버리스) 플랜 유형이 선택되어 있는지 확인합니다.
- 필요한 경우 다른 원하는 구성을 변경한 다음 만들기를 클릭합니다.
2. 함수 앱 코드 가져오기
- 새로 만든 함수 앱의 왼쪽 창에서 함수를 선택하고 + 추가를 클릭합니다.
- 타이머 트리거를 선택합니다.
- 고유한 함수 이름을 입력하고 필요한 경우 cron 일정을 수정합니다. 기본값은 5분마다 함수 앱을 실행하도록 설정됩니다. (참고: 타이머 트리거는 겹치는 데이터를 방지하기 위해 아래
timeInterval
값과 일치해야 합니다.) 만들기를 클릭합니다. - 왼쪽 창에서 코드 + 테스트를 클릭합니다.
- 함수 앱 코드를 복사하여 함수 앱
run.ps1
편집기에 붙여넣습니다. - 저장을 클릭합니다.
3. 함수 앱 구성
- 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
- 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
- 다음 13~16개 애플리케이션 설정을 해당 문자열 값(대/소문자 구분)과 함께 개별적으로 13~16개씩 추가합니다.: apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId(선택 사항) SIEMapiKey(선택 사항) logAnalyticsUri(선택 사항)
- 해당 지역에 해당하는 URI를 입력합니다. API URL의 전체 목록은 여기에서 찾을 수 있습니다.
uri
값은 다음 스키마를 따라야 합니다.https://<API URL>.conferdeploy.net
- URI에 시간 접미사를 추가할 필요가 없습니다. 함수 앱은 시간 값을 적절한 형식으로 URI에 동적으로 추가합니다.timeInterval
(분)을 기본값5
로 설정하여 매5
분마다 기본 타이머 트리거에 대응하도록 합니다. 시간 간격을 수정해야 하는 경우 데이터 수집이 겹치는 것을 방지하기 위해 함수 앱 타이머 트리거를 그에 맞게 변경하는 것이 좋습니다.- Carbon Black은 알림 경고를 수집하기 위해 API ID/키 집합이 별도로 필요합니다. 필요한 경우
SIEMapiId
및SIEMapiKey
값을 입력하거나, 필요하지 않은 경우 생략합니다.- 참고: Azure Key Vault를 사용하는 경우 문자열 값 대신
@Microsoft.KeyVault(SecretUri={Security Identifier})
스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.- logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우
https://<CustomerId>.ods.opinsights.azure.us
4 형식으로 값을 지정합니다. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.