Соединитель VMware Carbon Black Cloud (с помощью Функции Azure) для Microsoft Sentinel
Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных углеродного черного цвета в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Параметры приложения | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (необязательно) SIEMapiKey (необязательно) logAnalyticsUri (необязательно) |
Код приложения-функции Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Таблицы Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Microsoft |
Примеры запросов
10 лучших конечных точек создания событий
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
Первые 10 имен входа в консоль пользователя
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
Основные 10 угроз
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с VMware Carbon Black Cloud (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
- Для журналов аудита и событий требуется идентификатор API уровня доступа углеродного черного цвета и ключ.
- Для оповещений уведомлений требуется идентификатор API уровня доступа углеродного черного siEM и ключ.
- Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к VMware Carbon Black для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке ДЛЯ API VMware Carbon Black
Следуйте этим инструкциям , чтобы создать ключ API.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Прежде чем развертывать соединитель VMware Carbon Black, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API VMware Carbon Black.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя VMware Carbon Black с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, типы журналов, идентификаторы API, ключи API, ключи углеродного черного цвета, имя контейнера S3, идентификатор ключа доступа AWS, секретный ключ доступа AWS, EventPrefixFolderName, AlertPrefixFolderName и проверьте универсальный код ресурса (URI).
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь
- Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
- Для приема оповещений уведомления требуется отдельный набор идентификаторов и ключей API. Введите значения идентификатора ИЛИ ключа API SIEM или оставьте пустым, если это не требуется.
- Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Помечайте флажок, помеченный я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя VMware Carbon Black вручную с помощью Функции Azure.
1. Создание приложения-функции
- На портале Azure перейдите в приложение-функцию и нажмите кнопку +Добавить.
- На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение PowerShell Core.
- На вкладке "Размещение" убедитесь, что выбран тип плана потребления (бессерверный).
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку "Создать".
2. Импорт кода приложения-функции
- В созданном приложении-функции выберите "Функции " на левой панели и нажмите кнопку "+Добавить".
- Выберите Триггер таймера.
- При необходимости введите уникальное имя функции и измените расписание cron. Значение по умолчанию устанавливается для запуска приложения-функции каждые 5 минут. (Примечание. Триггер таймера должен соответствовать приведенному
timeInterval
ниже значению, чтобы предотвратить перекрытие данных), нажмите кнопку Создайте. - Щелкните "Код и тест" на левой панели.
- Скопируйте код приложения-функции и вставьте его в редактор приложения-функции
run.ps1
. - Нажмите кнопку Сохранить.
3. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих тринадцати до шестнадцати параметров приложения (13-16) по отдельности. с соответствующими строковыми значениями (с учетом регистра): apiId apiKey workspaceID workspaceKey URI timeInterval CarbonBlackKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (необязательно) SIEMapiKey (необязательно) logAnalyticsUri (необязательно)
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь. Значение
uri
должно соответствовать следующей схеме:https://<API URL>.conferdeploy.net
нет необходимости добавлять суффикс времени в URI, приложение-функция будет динамически добавлять значение времени в URI в правильном формате.timeInterval
Задайте значение по умолчанию (в минутах), чтобы соответствовать триггеру таймера по умолчанию5
каждые5
минуты. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции соответствующим образом, чтобы предотвратить перекрытие приема данных.- Для приема оповещений уведомления требуется отдельный набор идентификаторов и ключей API.
SIEMapiId
Введите иSIEMapiKey
значения, если это необходимо, или опущений, если это не требуется.- Примечание. При использовании Azure Key Vault используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.- Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
4. После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.