Connecteur VMware Carbon Black Cloud (à l’aide d’Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur VMware Carbon Black Cloud permet d’ingérer des données Carbon Black dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les journaux d’événement, de notification et d’audit dans Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de supervision et d’examen.

Attributs du connecteur

Attribut du connecteur Description
Paramètres d’application apiId
apiKey
workspaceID
workspaceKey
URI
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (facultatif)
SIEMapiKey (facultatif)
logAnalyticsUri (facultatif)
Code d’application de fonction Azure Téléchargement : https://aka.ms/sentinelcarbonblackazurefunctioncode
Table(s) Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft

Exemples de requête

10 principaux points de terminaison générant des événements

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

10 principales connexions utilisateur sur la console

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 principales menaces

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Prérequis

Pour l’intégration de VMware Carbon Black Cloud (à l’aide d’Azure Functions), assurez-vous de disposer des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Clé(s) API VMware Carbon Black : l’API Carbon Black et/ou la ou les clés API de niveau SIEM sont nécessaires. Consultez la documentation pour en savoir plus sur l’API Carbon Black.
  • Une clé et un ID d’API du niveau d’accès API Carbon Black sont nécessaires pour les journaux d’audit et des événements.
  • Une clé et un ID d’API du niveau d’accès SIEM Carbon Black sont nécessaires pour les alertes de notification.
  • Autorisations/informations d’identification de l’API REST Amazon S3 : l’ID de clé d’accès AWS, la Clé secrète d’accès AWS, le Nom du compartiment AWS S3 et le Nom du dossier dans le compartiment AWS S3 sont demandés pour l’API REST Amazon S3.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à VMware Carbon Black et tirer (pull) les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : Étapes de configuration de l’API VMware Carbon Black

Suivez ces instructions pour créer une clé d’API.

ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur VMware Carbon Black, ayez à disposition l’ID et la clé primaire de l’espace de travail (pouvant être copiés à partir des informations ci-après), ainsi que la ou les clés d’autorisation de l’API VMware Carbon Black.

Option 1 : modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur VMware Carbon Black à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez l’ID d’espace de travail, la Clé d’espace de travail, les Types de journaux, le ou les ID d’API, la ou les Clés d’API, la Clé d’organisation Carbon Black, le Nom du compartiment S3, l’ID de la clé d’accès AWS, la Clé secrète d’accès AWS, EventPrefixFolderName, AlertPrefixFolderName, puis validez l’URI.

  • Entrez l’URI qui correspond à votre région. La liste complète des URL d’API est disponible ici.
  • L’Intervalle de temps par défaut est défini pour tirer (pull) les cinq (5) dernières minutes de données. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur d’application de fonction en conséquence (dans le fichier function.json, post-déploiement) pour éviter le chevauchement de l’ingestion des données.
  • Carbon Black nécessite un ensemble distinct d’ID/clés d’API pour ingérer les alertes de notification. Entrez les valeurs ID/Clé de l’API SIEM ou laissez la zone vide si elles ne sont pas nécessaires.
  • Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.

Option 2 : déploiement manuel d’Azure Functions

Suivez les instructions pas à pas ci-dessous pour déployer manuellement le connecteur VMware Carbon Black avec Azure Functions.

1. Créer une application de fonction

  1. Dans le Portail Azure, accédez à Application Function, puis sélectionnez + Ajouter.
  2. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur PowerShell Core.
  3. Sous l’onglet Hébergement, vérifiez que le type de plan Consommation (serverless) est sélectionné.
  4. Apportez d’autres modifications de configuration si nécessaire, puis cliquez sur Créer.

2. Importer le code de l’application de fonction

  1. Dans l’application de fonction nouvellement créée, sélectionnez Fonctions dans le volet gauche, puis cliquez sur + Ajouter.
  2. Sélectionnez Déclencheur de minuteur.
  3. Entrez un Nom de fonction unique et modifiez la planification cron si nécessaire. La valeur par défaut est définie pour exécuter l’application de fonction toutes les 5 minutes. (Remarque : Le déclencheur du minuteur doit correspondre à la valeur timeInterval ci-dessous pour éviter les chevauchements de données). Cliquez sur Créer.
  4. Cliquez sur Code + Test dans le volet gauche.
  5. Copiez le code de l’application de fonction à partir de https://aka.ms/sentinelcarbonblackazurefunctioncode téléchargé et collez-le dans l’éditeur d’application de fonction run.ps1.
  6. Cliquez sur Enregistrer.

3. Configurer l’application de fonction

  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
  2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
  3. Ajoutez chacun des treize à seize (13-16) paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (facultatif) SIEMapiKey (facultatif) logAnalyticsUri (facultatif)
  • Entrez l’URI qui correspond à votre région. La liste complète des URL d’API est disponible ici. La valeur uri doit suivre le schéma suivant : https://<API URL>.conferdeploy.net ; il n’est pas nécessaire d’ajouter un suffixe de temps à l’URI, car l’application de fonction ajoute dynamiquement la valeur de temps à l’URI au format approprié.
  • Définissez timeInterval (en minutes) sur la valeur par défaut de 5 pour correspondre au déclencheur du minuteur par défaut qui est toutes les 5 minutes. Si l’intervalle de temps doit être modifié, nous vous recommandons de modifier le déclencheur du minuteur d’application de fonction en conséquence pour éviter le chevauchement de l’ingestion des données.
  • Carbon Black nécessite un ensemble distinct d’ID/clés d’API pour ingérer les alertes de notification. Entrez les valeurs SIEMapiId et SIEMapiKey, si nécessaire, ou omettez-les si ce n’est pas obligatoire.
  • Remarque : Si vous utilisez Azure Key Vault, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.
  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us 4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.