مشاركة عبر

موصل VMware Carbon Black Cloud (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل VMware Carbon Black Cloud القدرة على استيعاب بيانات Carbon Black في Microsoft Sentinel. يوفر الموصل رؤية لسجلات التدقيق والإعلام والأحداث في Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
إعدادات التطبيق apiId
apiKey
workspaceID
workspaceKey
URI
timeInterval
CarbonBlackOrgKey
أنواع سجل CarbonBlack
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (اختياري)
SIEMapiKey (اختياري)
logAnalyticsUri (اختياري)
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
جدول (جداول) Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Microsoft

عينات الاستعلام

أفضل 10 نقاط نهاية لإنشاء الأحداث

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

أفضل 10 عمليات تسجيل دخول لوحدة تحكم المستخدم

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

أهم 10 تهديدات

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

المتطلبات الأساسية

للتكامل مع VMware Carbon Black Cloud (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • مفتاح (مفاتيح) واجهة برمجة التطبيقات السوداء ل VMware Carbon: مطلوبان لواجهة برمجة تطبيقات Carbon Black و/أو مفتاح (مفاتيح) واجهة برمجة تطبيقات مستوى SIEM. راجع الوثائق لمعرفة المزيد حول Carbon Black API.
  • مطلوب معرف API ومفتاح لمستوى الوصول إلى Carbon Black API لسجلات التدقيق والأحداث.
  • مطلوب معرف API ومفتاح لمستوى وصول Carbon Black SIEM لتنبيهات الإعلام .
  • بيانات اعتماد/أذونات Amazon S3 REST API: معرف مفتاح الوصول ل AWS، ومفتاح الوصول السري ل AWS، واسم مستودع AWS S3، واسم المجلد في مستودع AWS S3 مطلوبة لواجهة برمجة تطبيقات Amazon S3 REST.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب VMware Carbon Black لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات VMware Carbon Black

اتبع هذه الإرشادات لإنشاء مفتاح API.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل VMware Carbon Black، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل VMware Carbon Black API، المتوفرة بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل VMware Carbon Black باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure النشر إلى Azure Gov

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، وأنواع السجلات، ومعرف (معرفات) واجهة برمجة التطبيقات، ومفتاح (مفاتيح) واجهة برمجة التطبيقات، ومفتاح مؤسسة Carbon Black، واسم مستودع S3، ومعرف مفتاح الوصول إلى AWS، ومفتاح الوصول السري ل AWS، وDeventPrefixFolderName، و AlertPrefixFolderName، وتحقق من صحة URI.

  • يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، نشر النشر) لمنع استيعاب البيانات المتداخلة.
  • يتطلب Carbon Black مجموعة منفصلة من معرف/مفاتيح واجهة برمجة التطبيقات لاستيعاب تنبيهات الإعلام. أدخل قيم معرف/مفتاح واجهة برمجة تطبيقات SIEM أو اتركها فارغة، إذا لم تكن مطلوبة.
  • ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل VMware Carbon Black يدويا باستخدام Azure Functions.

1. إنشاء تطبيق وظائف

  1. من مدخل Microsoft Azure، انتقل إلى Function App، وحدد + Add.
  2. في علامة التبويب Basics ، تأكد من تعيين مكدس وقت التشغيل إلى Powershell Core.
  3. في علامة التبويب Hosting ، تأكد من تحديد نوع خطة Consumption (Serverless ).
  4. قم بإجراء تغييرات تكوين أخرى مفضلة، إذا لزم الأمر، ثم انقر فوق إنشاء.

2. استيراد التعليمات البرمجية لتطبيق الوظائف

  1. في تطبيق الوظائف الذي تم إنشاؤه حديثا، حدد Functions في الجزء الأيمن وانقر فوق + Add.
  2. حدد Timer Trigger.
  3. أدخل اسم دالة فريدا وعدل جدول cron، إذا لزم الأمر. يتم تعيين القيمة الافتراضية لتشغيل Function App كل 5 دقائق. (ملاحظة: يجب أن يتطابق مشغل المؤقت مع timeInterval القيمة أدناه لمنع تداخل البيانات)، وانقر فوق إنشاء.
  4. انقر فوق Code + Test في الجزء الأيمن.
  5. انسخ Function App Code والصقه في محرر Function App run.ps1 .
  6. انقر فوق حفظ.

3. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل من الإعدادات التالية من ثلاثة عشر إلى ستة عشر تطبيقا (13-16) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolder اسم AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (اختياري) SIEMapiKey (اختياري) logAnalyticsUri (اختياري)
  • أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لواجهة برمجة التطبيقات هنا. uri يجب أن تتبع القيمة المخطط التالي: https://<API URL>.conferdeploy.net - ليست هناك حاجة لإضافة لاحقة وقت إلى URI، سيقوم تطبيق الدالة بإلحاق قيمة الوقت ديناميكيا ب URI بالتنسيق المناسب.
  • timeInterval قم بتعيين (بالدقائق) إلى القيمة الافتراضية 5 ل لتتوافق مع مشغل المؤقت الافتراضي لكل 5 دقيقة. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك لمنع استيعاب البيانات المتداخلة.
  • يتطلب Carbon Black مجموعة منفصلة من معرف/مفاتيح واجهة برمجة التطبيقات لاستيعاب تنبيهات الإعلام. SIEMapiId أدخل القيم وSIEMapiKey، إذا لزم الأمر، أو احذفها، إذا لم يكن مطلوبا.
  • ملاحظة: إذا كنت تستخدم Azure Key Vault، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us 4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.