Поделиться через

Соединитель VMware Carbon Black Cloud (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных углеродного черного цвета в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Параметры приложения apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (необязательно)
SIEMapiKey (необязательно)
logAnalyticsUri (необязательно)
Код приложения-функции Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Таблицы Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Microsoft

Примеры запросов

10 лучших конечных точек создания событий

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Первые 10 имен входа в консоль пользователя

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

Основные 10 угроз

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с VMware Carbon Black Cloud (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
  • Для журналов аудита и событий требуется идентификатор API уровня доступа углеродного черного цвета и ключ.
  • Для оповещений уведомлений требуется идентификатор API уровня доступа углеродного черного siEM и ключ.
  • Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к VMware Carbon Black для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API VMware Carbon Black

Следуйте этим инструкциям , чтобы создать ключ API.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Прежде чем развертывать соединитель VMware Carbon Black, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API VMware Carbon Black.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Этот метод обеспечивает автоматическое развертывание соединителя VMware Carbon Black с помощью tempate ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure Развернуть в Azure Gov

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, типы журналов, идентификаторы API, ключи API, ключи углеродного черного цвета, имя контейнера S3, идентификатор ключа доступа AWS, секретный ключ доступа AWS, EventPrefixFolderName, AlertPrefixFolderName и проверьте универсальный код ресурса (URI).

  • Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь
  • Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
  • Для приема оповещений уведомления требуется отдельный набор идентификаторов и ключей API. Введите значения идентификатора ИЛИ ключа API SIEM или оставьте пустым, если это не требуется.
  • Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Помечайте флажок, помеченный я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя VMware Carbon Black вручную с помощью Функции Azure.

1. Создание приложения-функции

  1. На портале Azure перейдите в приложение-функцию и нажмите кнопку +Добавить.
  2. На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение PowerShell Core.
  3. На вкладке "Размещение" убедитесь, что выбран тип плана потребления (бессерверный).
  4. При необходимости внесите другие предпочитаемые изменения конфигурации, а затем нажмите кнопку "Создать".

2. Импорт кода приложения-функции

  1. В созданном приложении-функции выберите "Функции " на левой панели и нажмите кнопку "+Добавить".
  2. Выберите Триггер таймера.
  3. При необходимости введите уникальное имя функции и измените расписание cron. Значение по умолчанию устанавливается для запуска приложения-функции каждые 5 минут. (Примечание. Триггер таймера должен соответствовать приведенному timeInterval ниже значению, чтобы предотвратить перекрытие данных), нажмите кнопку Создайте.
  4. Щелкните "Код и тест" на левой панели.
  5. Скопируйте код приложения-функции и вставьте его в редактор приложения-функцииrun.ps1.
  6. Нажмите кнопку Сохранить.

3. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих тринадцати до шестнадцати параметров приложения (13-16) по отдельности. с соответствующими строковыми значениями (с учетом регистра): apiId apiKey workspaceID workspaceKey URI timeInterval CarbonBlackKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (необязательно) SIEMapiKey (необязательно) logAnalyticsUri (необязательно)
  • Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь. Значение uri должно соответствовать следующей схеме: https://<API URL>.conferdeploy.net нет необходимости добавлять суффикс времени в URI, приложение-функция будет динамически добавлять значение времени в URI в правильном формате.
  • timeInterval Задайте значение по умолчанию (в минутах), чтобы соответствовать триггеру таймера по умолчанию 5 каждые 5 минуты. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции соответствующим образом, чтобы предотвратить перекрытие приема данных.
  • Для приема оповещений уведомления требуется отдельный набор идентификаторов и ключей API. SIEMapiId Введите и SIEMapiKey значения, если это необходимо, или опущений, если это не требуется.
  • Примечание. При использовании Azure Key Vault используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us 4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.