VMware Carbon Black Cloud-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
VMware Carbon Black Cloud-anslutningsappen ger möjlighet att mata in Carbon Black-data i Microsoft Sentinel. Anslutningsappen ger insyn i gransknings-, meddelande- och händelseloggar i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
Anslutningsattribut | beskrivning |
---|---|
Programinställningar | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (valfritt) SIEMapiKey (valfritt) logAnalyticsUri (valfritt) |
Kod för Azure-funktionsapp | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Log Analytics-tabeller | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Microsoft |
Exempel på frågor
De 10 främsta händelsegenereringsslutpunkterna
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
De 10 främsta inloggningarna i användarkonsolen
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
De 10 främsta hoten
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Förutsättningar
Om du vill integrera med VMware Carbon Black Cloud (med Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- VMware Carbon Black API Key(s): Carbon Black API och/eller SIEM Level API Key(s) krävs. Mer information om Carbon Black-API:et finns i dokumentationen.
- Ett API-ID och nyckel för Carbon Black API-åtkomstnivå krävs för gransknings- och händelseloggar .
- Ett API-ID och nyckel för Carbon Black SIEM-åtkomstnivå krävs för meddelandeaviseringar .
- Autentiseringsuppgifter/behörigheter för Amazon S3 REST API: AWS-åtkomstnyckel-ID, AWS-hemlig åtkomstnyckel, AWS S3-bucketnamn, mappnamn i AWS S3-bucket krävs för Amazon S3 REST API.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till VMware Carbon Black för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
STEG 1 – Konfigurationssteg för VMware Carbon Black API
Följ de här anvisningarna för att skapa en API-nyckel.
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT! Innan du distribuerar VMware Carbon Black-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Auktoriseringsnyckeln för VMware Carbon Black API,.
Alternativ 1 – Arm-mall (Azure Resource Manager)
Den här metoden tillhandahåller en automatiserad distribution av VMware Carbon Black-anslutningsappen med hjälp av en ARM-mall.
Klicka på knappen Distribuera till Azure nedan.
Välj önskad prenumeration, resursgrupp och plats.
Ange arbetsyte-ID, arbetsytenyckel, loggtyper, API-ID:er, API-nyckel(er), Carbon Black Org-nyckel, S3 Bucket Name, AWS Access Key ID, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName och validera URI:n.
- Ange den URI som motsvarar din region. Den fullständiga listan över API-URL:er finns här
- Standardtidsintervallet är inställt på att hämta de senaste fem (5) minuterna av data. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.
- Carbon Black kräver en separat uppsättning API-ID/nycklar för att mata in meddelandeaviseringar. Ange SIEM API-ID/nyckelvärden eller lämna tomt om det inte behövs.
- Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du
@Microsoft.KeyVault(SecretUri={Security Identifier})
schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.
Alternativ 2 – Manuell distribution av Azure Functions
Använd följande stegvisa instruktioner för att distribuera VMware Carbon Black-anslutningsappen manuellt med Azure Functions.
1. Skapa en funktionsapp
- Från Azure-portalen går du till Funktionsapp och väljer + Lägg till.
- På fliken Grundläggande ser du till att Runtime-stacken är inställd på Powershell Core.
- På fliken Värd kontrollerar du att plantypen Förbrukning (serverlös) är markerad.
- Gör andra lämpliga konfigurationsändringar om det behövs och klicka sedan på Skapa.
2. Importera funktionsappkod
- I den nyligen skapade funktionsappen väljer du Funktioner i den vänstra rutan och klickar på + Lägg till.
- Välj Timer-utlösare.
- Ange ett unikt funktionsnamn och ändra cron-schemat om det behövs. Standardvärdet är inställt på att köra funktionsappen var femte minut. (Obs! Timerutlösaren ska matcha
timeInterval
värdet nedan för att förhindra överlappande data), klicka på Skapa. - Klicka på Kod + Test i det vänstra fönstret.
- Kopiera funktionsappkoden och klistra in den i funktionsappredigeraren
run.ps1
. - Klicka på Spara.
3. Konfigurera funktionsappen
- I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
- På fliken Programinställningar väljer du + Ny programinställning.
- Lägg till var och en av följande programinställningar för tretton till sexton (13–16) individuellt. med sina respektive strängvärden (skiftlägeskänsliga): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (valfritt) SIEMapiKey (valfritt) logAnalyticsUri (valfritt)
- Ange den URI som motsvarar din region. Den fullständiga listan över API-URL:er finns här. Värdet
uri
måste följa följande schema:https://<API URL>.conferdeploy.net
– Du behöver inte lägga till ett tidssuffix till URI:n. Funktionsappen lägger dynamiskt till tidsvärdet till URI:n i rätt format.timeInterval
Ange (i minuter) till standardvärdet5
för för att motsvara standardtimerutlösaren för varje5
minut. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta för att förhindra överlappande datainmatning.- Carbon Black kräver en separat uppsättning API-ID/nycklar för att mata in meddelandeaviseringar.
SIEMapiId
Ange värdena ochSIEMapiKey
, om det behövs, eller utelämna om det inte behövs.- Obs! Om du använder Azure Key Vault använder du
@Microsoft.KeyVault(SecretUri={Security Identifier})
schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.- Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format:
https://<CustomerId>.ods.opinsights.azure.us
4. När alla programinställningar har angetts klickar du på Spara.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.