Megosztás a következőn keresztül:

VMware Carbon Black Cloud (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A VMware Carbon Black Cloud-összekötő lehetővé teszi a Carbon Black-adatok Microsoft Sentinelbe való betöltését. Az összekötő betekintést nyújt a Microsoft Sentinel naplózási, értesítési és eseménynaplóiba az irányítópultok megtekintéséhez, egyéni riasztások létrehozásához, valamint a figyelési és vizsgálati képességek javításához.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Alkalmazásbeállítások apiId
apiKey
workspaceID
workspaceKey
Uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (nem kötelező)
SIEMapiKey (nem kötelező)
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics-tábla(ok) CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft

Példák lekérdezésekre

A 10 legfontosabb eseménygeneráló végpont

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

A 10 legjobb felhasználói konzol bejelentkezése

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

A 10 leggyakoribb fenyegetés

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Előfeltételek

A VMware Carbon Black Cloud (az Azure Functions használatával) integrálásához győződjön meg arról, hogy a következőkkel rendelkezik:

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a VMware Carbon Blackhez, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A VMware Carbon Black API konfigurációs lépései

Kövesse az alábbi utasításokat egy API-kulcs létrehozásához.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A VMware Carbon Black-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a VMware Carbon Black API engedélyezési kulcs(ok) könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ez a módszer a VMware Carbon Black-összekötő automatikus üzembe helyezését biztosítja ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a naplótípusokat, az API-azonosító(ka)t, az API-kulcs(ok)t, a carbon black szervezeti kulcsot, az S3 gyűjtőnevet, az AWS hozzáférési kulcs azonosítóját, az AWS titkos hozzáférési kulcsát, az EventPrefixFolderName nevet, az AlertPrefixFolderName nevet, és ellenőrizze az URI-t.

  • Az alapértelmezett időintervallum az utolsó öt (5) perc adat lekérésére van beállítva. Ha módosítani kell az időintervallumot, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.
  • A Carbon Black külön API-azonosítót/kulcsokat igényel az értesítési riasztások betöltéséhez. Adja meg a SIEM API azonosítóját/kulcsértékeit, vagy ha nem szükséges, hagyja üresen.
  • Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját . 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A VMware Carbon Black-összekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben.

1. Függvényalkalmazás létrehozása

  1. Az Azure Portalon lépjen a Függvényalkalmazásra, és válassza a + Hozzáadás lehetőséget.
  2. Az Alapok lapon győződjön meg arról, hogy a Futtatókörnyezet verem PowerShell Core-ra van állítva.
  3. Az Üzemeltetés lapon győződjön meg arról, hogy a Használat (Kiszolgáló nélküli) csomagtípus van kiválasztva.
  4. Szükség esetén végezze el az egyéb előnyben részesíthető konfigurációs módosításokat, majd kattintson a Létrehozás gombra.

2. Függvényalkalmazás kódjának importálása

  1. Az újonnan létrehozott függvényalkalmazásban válassza a Függvények lehetőséget a bal oldali panelen, és kattintson a + Hozzáadás gombra.
  2. Válassza az Időzítő eseményindítót.
  3. Adjon meg egy egyedi függvénynevet, és szükség esetén módosítsa a cron ütemezését. Az alapértelmezett érték úgy van beállítva, hogy 5 percenként futtassa a függvényalkalmazást. (Megjegyzés: az időzítő eseményindítójának meg kell egyeznie az alábbi értékkel az átfedésben lévő adatok elkerülése érdekében), kattintson a timeIntervalLétrehozás.
  4. Kattintson a kód + teszt elemre a bal oldali panelen.
  5. Másolja ki a függvényalkalmazás kódját , és illessze be a függvényalkalmazás-szerkesztőbe run.ps1 .
  6. Kattintson a Mentés gombra.

3. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként a következő tizenhárom (13-16) alkalmazásbeállítást, a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcionális) SIEMapiKey (nem kötelező) logAnalyticsUri (nem kötelező)
  • Adja meg a régiónak megfelelő URI-t. Az API URL-címek teljes listája itt található. Az uri értéknek a következő sémát kell követnie: https://<API URL>.conferdeploy.net - Nincs szükség idő utótag hozzáadására az URI-hoz, a függvényalkalmazás dinamikusan hozzáfűzi az időértéket az URI-hoz a megfelelő formátumban.
  • Állítsa a timeInterval (percekben megadott) értéket az alapértelmezett értékre 5 , amely megfelel a percek 5 alapértelmezett időzítő eseményindítójának. Ha az időintervallumot módosítani kell, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját az átfedésben lévő adatbetöltés megakadályozása érdekében.
  • A Carbon Black külön API-azonosítót/kulcsokat igényel az értesítési riasztások betöltéséhez. Szükség esetén adja meg az SIEMapiId SIEMapiKey és az értékeket, vagy kihagyja, ha nem szükséges.
  • Megjegyzés: Az Azure Key Vault használata esetén a sztringértékek@Microsoft.KeyVault(SecretUri={Security Identifier})helyett használja a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us 4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.