Konektor VMware Carbon Black Cloud (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor VMware Carbon Black Cloud menyediakan kemampuan untuk menyerap data Carbon Black ke Microsoft Sentinel. Konektor memberikan visibilitas ke log Audit, Pemberitahuan, dan Peristiwa di Microsoft Sentinel untuk melihat dasbor, membuat pemberitahuan kustom, dan untuk meningkatkan kemampuan pemantauan dan investigasi.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Pengaturan aplikasi | apiId apiKey #workspaceid workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opsional) SIEMapiKey (Opsional) logAnalyticsUri (opsional) |
Kode aplikasi fungsi Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Tabel Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Microsoft |
Kueri sampel
10 Titik Akhir Pembuatan Peristiwa Teratas
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
10 Login Konsol Pengguna Teratas
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
10 Ancaman Teratas
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Prasyarat
Untuk berintegrasi dengan VMware Carbon Black Cloud (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kunci API VMware Carbon Black: Carbon Black API dan/atau KUNCI API Tingkat SIEM diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Carbon Black API.
- ID API dan Kunci tingkat akses Carbon Black API diperlukan untuk log Audit dan Peristiwa .
- ID API dan Kunci tingkat akses Carbon Black SIEM diperlukan untuk pemberitahuan Pemberitahuan .
- Kredensial/izin AMAZON S3 REST API: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name di AWS S3 Bucket diperlukan untuk Amazon S3 REST API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk terhubung ke VMware Carbon Black untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Langkah konfigurasi untuk VMware Carbon Black API
Ikuti petunjuk ini untuk membuat Kunci API.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor VMware Carbon Black, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Kunci Otorisasi VMware Carbon Black API, tersedia dengan mudah.
Opsi 1 - Templat Azure Resource Manager (ARM)
Metode ini menyediakan penyebaran otomatis konektor VMware Carbon Black menggunakan ARM Tempate.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Jenis Log, ID API, Kunci API, Kunci Org Hitam Karbon, Nama Wadah S3, ID Kunci Akses AWS, Kunci Akses Rahasia AWS, EventPrefixFolderName, AlertPrefixFolderName, dan validasi URI.
- Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API dapat ditemukan di sini
- Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.
- Carbon Black memerlukan sekumpulan ID/Kunci API terpisah untuk menyerap pemberitahuan Pemberitahuan. Masukkan nilai SIEM API ID/Key atau biarkan kosong, jika tidak diperlukan.
- Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan
@Microsoft.KeyVault(SecretUri={Security Identifier})
skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor VMware Carbon Black secara manual dengan Azure Functions.
1. Buat Aplikasi Fungsi
- Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi, dan pilih + Tambahkan.
- Di tab Dasar , pastikan Tumpukan Runtime diatur ke Powershell Core.
- Di tab Hosting , pastikan jenis paket Konsumsi (Tanpa Server) dipilih.
- Buat perubahan konfigurasi lain yang lebih disukai, jika diperlukan, lalu klik Buat.
2. Impor Kode Aplikasi Fungsi
- Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi di panel kiri dan klik + Tambahkan.
- Pilih Pemicu Timer.
- Masukkan Nama Fungsi unik dan ubah jadwal cron, jika diperlukan. Nilai default diatur untuk menjalankan Aplikasi Fungsi setiap 5 menit. (Catatan: pemicu Timer harus cocok dengan nilai di
timeInterval
bawah ini untuk mencegah data yang tumpang tindih), klik Buat. - Klik Kode + Uji di panel kiri.
- Salin Kode Aplikasi Fungsi dan tempelkan ke editor Aplikasi
run.ps1
Fungsi. - Klik Simpan.
3. Mengonfigurasi Aplikasi Fungsi
- Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
- Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
- Tambahkan masing-masing dari tiga belas ke enam belas (13-16) pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): apiId apiKey workspaceID workspaceId timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFoldErName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opsional) SIEMapiKey (Opsional) logAnalyticsUri (opsional)
- Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API dapat ditemukan di sini. Nilai
uri
harus mengikuti skema berikut:https://<API URL>.conferdeploy.net
- Tidak perlu menambahkan akhiran waktu ke URI, Aplikasi Fungsi akan secara dinamis menambahkan Nilai Waktu ke URI dalam format yang tepat.- Atur
timeInterval
(dalam menit) ke nilai5
default agar sesuai dengan Pemicu Timer default setiap5
menit. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai untuk mencegah penyerapan data yang tumpang tindih.- Carbon Black memerlukan sekumpulan ID/Kunci API terpisah untuk menyerap pemberitahuan Pemberitahuan.
SIEMapiId
Masukkan nilai danSIEMapiKey
, jika diperlukan, atau hilangkan, jika tidak diperlukan.- Catatan: Jika menggunakan Azure Key Vault, gunakan
@Microsoft.KeyVault(SecretUri={Security Identifier})
skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.- Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut:
https://<CustomerId>.ods.opinsights.azure.us
4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk