VMware Carbon Black Cloud -connector (met behulp van Azure Functions) voor Microsoft Sentinel
De VMware Carbon Black Cloud-connector biedt de mogelijkheid om Carbon Black-gegevens op te nemen in Microsoft Sentinel. De connector biedt inzicht in audit-, meldings- en gebeurtenislogboeken in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
Kenmerk connector | Beschrijving |
---|---|
Toepassingsinstellingen | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (optioneel) SIEMapiKey (optioneel) logAnalyticsUri (optioneel) |
Code van Azure-functie-app | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Log Analytics-tabellen | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
Ondersteund door | Microsoft |
Voorbeelden van query's
Top 10 gebeurtenis genereren eindpunten
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
Top 10 gebruikersconsoleaanmelding
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
Top 10 bedreigingen
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Vereisten
Als u wilt integreren met VMware Carbon Black Cloud (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- VMware Carbon Black API-sleutel(en): Carbon Black API en/of SIEM Level API Key(s) zijn vereist. Zie de documentatie voor meer informatie over de Carbon Black-API.
- Er is een API-id en sleutel op carbon black-API-toegangsniveau vereist voor audit- en gebeurtenislogboeken.
- Een CARBON Black SIEM-toegangsniveau-API-id en -sleutel is vereist voor meldingswaarschuwingen .
- Amazon S3 REST API-referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket zijn vereist voor Amazon S3 REST API.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met VMware Carbon Black om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: configuratiestappen voor de VMware Carbon Black-API
Volg deze instructies om een API-sleutel te maken.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de VMware Carbon Black-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de VMware Carbon Black API-autorisatiesleutel(s), die direct beschikbaar zijn.
Optie 1: ARM-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de VMware Carbon Black-connector met behulp van een ARM-tempate.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, logboektypen, API-id('s), API-sleutel(s), Carbon Black Org Key, S3 Bucket Name, AWS Access Key Id, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName en valideer de URI.
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier
- Het standaardtijdinterval is ingesteld om de laatste vijf (5) minuten aan gegevens op te halen. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
- Carbon Black vereist een afzonderlijke set API-id's/sleutels voor het opnemen van meldingen. Voer de WAARDEN voor de SIEM-API-id/-sleutel in of laat leeg, indien niet vereist.
- Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})
schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de VMware Carbon Black-connector handmatig te implementeren met Azure Functions.
1. Een functie-app maken
- Ga in Azure Portal naar de functie-app en selecteer + Toevoegen.
- Controleer op het tabblad Basisbeginselen of runtimestack is ingesteld op Powershell Core.
- Controleer op het tabblad Hosting of het abonnementstype Verbruik (serverloos) is geselecteerd.
- Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik op Maken.
2. Code van functie-app importeren
- Selecteer functies in het linkerdeelvenster in de zojuist gemaakte functie-app en klik op + Toevoegen.
- Selecteer Timertrigger.
- Voer indien nodig een unieke functienaam in en wijzig het cron-schema. De standaardwaarde is ingesteld om de functie-app elke 5 minuten uit te voeren. (Opmerking: de timertrigger moet overeenkomen met de
timeInterval
onderstaande waarde om overlappende gegevens te voorkomen), klikt u op Maken. - Klik op Code + Testen in het linkerdeelvenster.
- Kopieer de code van de functie-app en plak deze in de functie-app-editor
run.ps1
. - Klik op Opslaan.
3. De functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
- Voeg elk van de volgende dertien tot zestien toepassingsinstellingen (13-16) afzonderlijk toe, met hun respectieve tekenreekswaarden (hoofdlettergevoelig): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (optioneel) SIEMapiKey (optioneel) logAnalyticsUri (optioneel)
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier. De
uri
waarde moet het volgende schema volgen:https://<API URL>.conferdeploy.net
- Het is niet nodig om een tijdachtervoegsel toe te voegen aan de URI. De functie-app voegt de tijdwaarde dynamisch toe aan de URI in de juiste indeling.- Stel de
timeInterval
standaardwaarde (in minuten) in op de standaardwaarde die5
overeenkomt met de standaardtimertrigger van elke5
minuten. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen om overlappende gegevensopname te voorkomen.- Carbon Black vereist een afzonderlijke set API-id's/sleutels voor het opnemen van meldingen. Voer indien nodig de
SIEMapiId
waarden enSIEMapiKey
waarden in of laat deze weg, indien nodig.- Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})
schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us
4. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.