Conector VMware Carbon Black Cloud (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector VMware Carbon Black Cloud proporciona la capacidad de ingerir datos de Carbon Black en Microsoft Sentinel. El conector proporciona visibilidad para los registros de eventos, notificaciones y auditoría en Microsoft Sentinel a fin de ver paneles, crear alertas personalizadas y mejorar las capacidades de supervisión e investigación.

Atributos del conector

Atributo del conector Descripción
Configuración de la aplicación apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (opcional)
SIEMapiKey (opcional)
logAnalyticsUri (opcional)
Código de la aplicación de funciones de Azure Descargue: https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabla de Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Microsoft

Ejemplos de consultas

10 puntos de conexión generadores de eventos principales

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

10 inicios de sesión en la consola del usuario principales

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 amenazas principales

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Requisitos previos

Para integrarse con VMware Carbon Black Cloud (utilizando Azure Functions) asegúrese de tener:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Claves de API de VMware Carbon Black: se requieren las claves de API de nivel de SIEM o Carbon Black API. Consulte la documentación para más información sobre Carbon Black API.
  • Para los registros de auditoría y eventos, se requiere un identificador de API de nivel de acceso de API de Carbon Black.
  • Para las alertas de notificación, se requieren una clave y un identificador de API de nivel de acceso de SIEM de Carbon Black.
  • Credenciales o permisos de la API REST de Amazon S3: para la API REST de Amazon S3, se requiere el id. de clave de acceso de AWS, la clave de acceso secreta de AWS, el nombre del cubo de AWS S3 y el nombre de la carpeta en el cubo de AWS S3.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a VMware Carbon Black para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para la API de VMware Carbon Black

Siga estas instrucciones para crear una clave de API.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector VMware Carbon Black, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar de las indicaciones siguientes), así como las claves de autorización de la API VMware Carbon Black.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector Carbon Black de VMware mediante una plantilla de ARM.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba el identificador del área de trabajo, la clave del área de trabajo, los tipos de registro, los identificadores de API, las claves de API, la clave de la organización de Carbon Black, el nombre del cubo de S3, el identificador de la clave de acceso de AWS, la clave de acceso secreta de AWS, EventPrefixFolderName y AlertPrefixFolderName, y valide el URI.

  • Escriba el URI correspondiente a su región. La lista completa de direcciones URL de API se puede encontrar aquí.
  • El Intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente (en el archivo function.jsen, tras la implementación) para evitar la superposición en la ingesta de datos.
  • Carbon Black requiere un conjunto independiente de claves o identificadores de API para ingerir alertas de notificación. Escriba los valores de claves o identificadores de API de SIEM o déjelos en blanco, si no son necesarios.
  • Nota: Si utiliza secretos de Azure Key Vault para cualquiera de los valores anteriores, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada. 4. Active la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones detalladas para implementar el conector de VMware Carbon Black manualmente con Azure Functions.

1. Crear una aplicación de funciones

  1. En Azure Portal, vaya a Aplicación de funciones y seleccione + Agregar.
  2. En la pestaña Aspectos básicos, asegúrese de que la pila del entorno en tiempo de ejecución esté establecida en Powershell Core.
  3. En la pestaña Hospedaje, asegúrese de que el tipo de plan Consumo (sin servidor) está seleccionado.
  4. Realice otros cambios de configuración preferibles; si es necesario, haga clic en Crear.

2. Importación del código de la aplicación de funciones

  1. En la aplicación de funciones recién creada, seleccione Funciones en el panel izquierdo y haga clic en + Agregar.
  2. Seleccione Desencadenador de temporizador.
  3. Escriba un Nombre de función único y modifique la programación cron, si fuera necesario. Se establece el valor predeterminado para ejecutar la aplicación de funciones cada cinco minutos. (Nota: El desencadenador de temporizador debe coincidir con el valor timeInterval que se indica a continuación para evitar la superposición de los datos). Haga clic en Crear.
  4. Haga clic en Código y prueba en el panel izquierdo.
  5. Copie el código de la aplicación de funciones del conector descargado, https://aka.ms/sentinelcarbonblackazurefunctioncode, y péguelo en el editor run.ps1 de la aplicación de funciones.
  6. Haga clic en Save(Guardar).

3. Configuración de la aplicación de funciones

  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
  2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
  3. Agregue individualmente cada una de las 13 a 16 configuraciones de aplicación siguientes, con sus valores de cadena respectivos (que distinguen mayúsculas de minúsculas): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcional) SIEMapiKey (opcional) logAnalyticsUri (opcional).
  • Escriba el URI correspondiente a su región. La lista completa de direcciones URL de API se puede encontrar aquí. El valor uri debe seguir el esquema siguiente: https://<API URL>.conferdeploy.net. No es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de hora al URI en el formato adecuado.
  • Establezca timeInterval (en minutos) en el valor predeterminado de 5 para que se corresponda con el desencadenador de temporizador predeterminado de cada 5 minutos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente para evitar la superposición en la ingesta de datos.
  • Carbon Black requiere un conjunto independiente de claves o identificadores de API para ingerir alertas de notificación. Si es necesario, escriba los valores SIEMapiId y SIEMapiKey; si no lo es, omítalos.
  • Nota: Si utiliza Azure Key Vault, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.
  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us. 4. Una vez que se especifique toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.