Bagikan melalui

Konektor VMware Carbon Black Cloud (menggunakan Azure Functions) untuk Microsoft Sentinel

  • Artikel

Konektor VMware Carbon Black Cloud menyediakan kemampuan untuk menyerap data Carbon Black ke Microsoft Sentinel. Konektor memberikan visibilitas ke log Audit, Pemberitahuan, dan Peristiwa di Microsoft Sentinel untuk melihat dasbor, membuat pemberitahuan kustom, dan untuk meningkatkan kemampuan pemantauan dan investigasi.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

Atribut konektor

Atribut konektor Deskripsi
Pengaturan aplikasi apiId
apiKey
#workspaceid
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (Opsional)
SIEMapiKey (Opsional)
logAnalyticsUri (opsional)
Kode aplikasi fungsi Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabel Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Microsoft

Kueri sampel

10 Titik Akhir Pembuatan Peristiwa Teratas

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

10 Login Konsol Pengguna Teratas

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 Ancaman Teratas

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Prasyarat

Untuk berintegrasi dengan VMware Carbon Black Cloud (menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kunci API VMware Carbon Black: Carbon Black API dan/atau KUNCI API Tingkat SIEM diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Carbon Black API.
  • ID API dan Kunci tingkat akses Carbon Black API diperlukan untuk log Audit dan Peristiwa .
  • ID API dan Kunci tingkat akses Carbon Black SIEM diperlukan untuk pemberitahuan Pemberitahuan .
  • Kredensial/izin AMAZON S3 REST API: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name di AWS S3 Bucket diperlukan untuk Amazon S3 REST API.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk terhubung ke VMware Carbon Black untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Langkah konfigurasi untuk VMware Carbon Black API

Ikuti petunjuk ini untuk membuat Kunci API.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor VMware Carbon Black, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Kunci Otorisasi VMware Carbon Black API, tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Metode ini menyediakan penyebaran otomatis konektor VMware Carbon Black menggunakan ARM Tempate.

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure Sebarkan ke Azure Gov

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

  3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Jenis Log, ID API, Kunci API, Kunci Org Hitam Karbon, Nama Wadah S3, ID Kunci Akses AWS, Kunci Akses Rahasia AWS, EventPrefixFolderName, AlertPrefixFolderName, dan validasi URI.

  • Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API dapat ditemukan di sini
  • Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.
  • Carbon Black memerlukan sekumpulan ID/Kunci API terpisah untuk menyerap pemberitahuan Pemberitahuan. Masukkan nilai SIEM API ID/Key atau biarkan kosong, jika tidak diperlukan.
  • Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor VMware Carbon Black secara manual dengan Azure Functions.

1. Buat Aplikasi Fungsi

  1. Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi, dan pilih + Tambahkan.
  2. Di tab Dasar , pastikan Tumpukan Runtime diatur ke Powershell Core.
  3. Di tab Hosting , pastikan jenis paket Konsumsi (Tanpa Server) dipilih.
  4. Buat perubahan konfigurasi lain yang lebih disukai, jika diperlukan, lalu klik Buat.

2. Impor Kode Aplikasi Fungsi

  1. Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi di panel kiri dan klik + Tambahkan.
  2. Pilih Pemicu Timer.
  3. Masukkan Nama Fungsi unik dan ubah jadwal cron, jika diperlukan. Nilai default diatur untuk menjalankan Aplikasi Fungsi setiap 5 menit. (Catatan: pemicu Timer harus cocok dengan nilai di timeInterval bawah ini untuk mencegah data yang tumpang tindih), klik Buat.
  4. Klik Kode + Uji di panel kiri.
  5. Salin Kode Aplikasi Fungsi dan tempelkan ke editor Aplikasi run.ps1 Fungsi.
  6. Klik Simpan.

3. Mengonfigurasi Aplikasi Fungsi

  1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
  2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
  3. Tambahkan masing-masing dari tiga belas ke enam belas (13-16) pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): apiId apiKey workspaceID workspaceId timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFoldErName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opsional) SIEMapiKey (Opsional) logAnalyticsUri (opsional)
  • Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API dapat ditemukan di sini. Nilai uri harus mengikuti skema berikut: https://<API URL>.conferdeploy.net - Tidak perlu menambahkan akhiran waktu ke URI, Aplikasi Fungsi akan secara dinamis menambahkan Nilai Waktu ke URI dalam format yang tepat.
  • Atur timeInterval (dalam menit) ke nilai 5 default agar sesuai dengan Pemicu Timer default setiap 5 menit. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai untuk mencegah penyerapan data yang tumpang tindih.
  • Carbon Black memerlukan sekumpulan ID/Kunci API terpisah untuk menyerap pemberitahuan Pemberitahuan. SIEMapiId Masukkan nilai dan SIEMapiKey , jika diperlukan, atau hilangkan, jika tidak diperlukan.
  • Catatan: Jika menggunakan Azure Key Vault, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.
  • Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us 4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.