Conector VMware Carbon Black Cloud (usando o Azure Functions) para Microsoft Sentinel
O conector VMware Carbon Black Cloud oferece a capacidade de ingerir dados Carbon Black no Microsoft Sentinel. O conector fornece visibilidade nos logs de auditoria, notificação e eventos no Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Configurações do aplicativo | apiId apiKey ID do espaço de trabalho chave do espaço de trabalho uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opcional) SIEMapiKey (Opcional) logAnalyticsUri (opcional) |
Código do aplicativo de função do Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Tabela(s) do Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Microsoft |
Exemplos de consulta
Top 10 Endpoints Geradores de Eventos
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
Top 10 Logins do Console do Usuário
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
As 10 principais ameaças
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Pré-requisitos
Para integrar com o VMware Carbon Black Cloud (usando o Azure Functions), certifique-se de:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Chave(s) de API VMware Carbon Black: API Carbon Black e/ou Chave(s) de API de Nível SIEM são necessárias. Consulte a documentação para saber mais sobre a API Carbon Black.
- Um ID e uma chave de API de nível de acesso da API Carbon Black são necessários para logs de auditoria e eventos.
- Um ID e uma chave de API de nível de acesso SIEM Carbon Black são necessários para alertas de notificação.
- Credenciais/permissões da API REST do Amazon S3: ID da chave de acesso da AWS, chave de acesso secreta da AWS, nome do bucket do AWS S3, nome da pasta no bucket do AWS S3 são necessárias para a API REST do Amazon S3.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar ao VMware Carbon Black para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos de configuração para a API VMware Carbon Black
Siga estas instruções para criar uma chave de API.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector VMware Carbon Black, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiados do seguinte), bem como a(s) chave(s) de autorização da API VMware Carbon Black, prontamente disponíveis.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Esse método fornece uma implantação automatizada do conector VMware Carbon Black usando um modelo ARM.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o ID do espaço de trabalho, a chave do espaço de trabalho, os tipos de log, o(s) ID(s) da API, a(s) chave(s) da API, a chave da organização Carbon Black, o nome do bucket do S3, o ID da chave de acesso da AWS, a chave de acesso secreta da AWS, o EventPrefixFolderName, o AlertPrefixFolderName e valide o URI.
- Insira o URI que corresponde à sua região. A lista completa de URLs de API pode ser encontrada aqui
- O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.
- O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de Notificação. Insira os valores SIEM API ID/Key ou deixe em branco, se não for necessário.
- Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.
Opção 2 - Implantação manual do Azure Functions
Use as instruções passo a passo a seguir para implantar o conector VMware Carbon Black manualmente com o Azure Functions.
1. Crie um aplicativo de função
- No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
- Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
- Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
- Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.
2. Importar código do aplicativo de função
- No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Adicionar.
- Selecione Gatilho de temporizador.
- Insira um Nome de Função exclusivo e modifique a agenda cron, se necessário. O valor padrão é definido para executar o aplicativo de função a cada 5 minutos. (Nota: o gatilho do temporizador deve corresponder ao
timeInterval
valor abaixo para evitar a sobreposição de dados), clique em Criar. - Clique em Código + Teste no painel esquerdo.
- Copie o código do aplicativo de função e cole no editor do aplicativo
run.ps1
de função. - Clique em Guardar.
3. Configurar o aplicativo de função
- No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
- Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
- Adicione cada uma das seguintes treze a dezesseis (13-16) configurações de aplicativo individualmente, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcional) SIEMapiKey (opcional) logAnalyticsUri (opcional)
- Insira o URI que corresponde à sua região. A lista completa de URLs de API pode ser encontrada aqui. O
uri
valor deve seguir o seguinte esquema:https://<API URL>.conferdeploy.net
- Não há necessidade de adicionar um sufixo de tempo ao URI, o aplicativo de função acrescentará dinamicamente o valor de tempo ao URI no formato adequado.- Defina o
timeInterval
(em minutos) como o valor padrão de para corresponder ao gatilho de5
temporizador padrão de cada5
minuto. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo para evitar a ingestão de dados sobrepostos.- O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de Notificação. Insira os
SIEMapiId
valores eSIEMapiKey
, se necessário, ou omita, se não for necessário.- Observação: se estiver usando o Cofre da Chave do Azure, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.- Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato:
https://<CustomerId>.ods.opinsights.azure.us
4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.