Connettore VMware Carbon Black Cloud (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore VMware Carbon Black Cloud offre la possibilità di inserire dati Carbon Black in Microsoft Sentinel. Il connettore offre visibilità sui log di controllo, notifica ed eventi in Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare le funzionalità di monitoraggio e analisi.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Impostazioni delle applicazioni apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (facoltativo)
SIEMapiKey (facoltativo)
logAnalyticsUri (facoltativo)
Codice dell'app per le funzioni di Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabelle di Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft

Esempi di query

Primi 10 endpoint di generazione di eventi

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Top 10 User Console Logins

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

Prime 10 minacce

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Prerequisiti

Per l'integrazione con VMware Carbon Black Cloud (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Chiavi API VMware Carbon Black: sono necessarie api black carbon e/o chiavi API a livello SIEM. Per altre informazioni sull'API Carbon Black, vedere la documentazione.
  • Per i log di controllo e gli eventi è necessario un ID API e una chiave di accesso dell'API Carbon Black.
  • Per gli avvisi di notifica è necessario un ID API e una chiave di accesso SIEM Carbon Black.
  • Credenziali/autorizzazioni dell'API REST amazon S3: l'ID chiave di accesso AWS, la chiave di accesso al segreto AWS, il nome del bucket AWS S3, il nome della cartella nel bucket AWS S3 sono necessari per l'API REST amazon S3.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi a VMware Carbon Black per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API VMware Carbon Black

Seguire queste istruzioni per creare una chiave API.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore VMware Carbon Black, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché le chiavi di autorizzazione dell'API VMware Carbon Black, immediatamente disponibili.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatizzata del connettore VMware Carbon Black usando un tempate ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in AzureDeploy to Azure Gov

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere l'ID area di lavoro, la chiave dell'area di lavoro, i tipi di log, gli ID API, le chiavi API, la chiave dell'organizzazione carbon black, il nome del bucket S3, l'ID chiave di accesso AWS, la chiave di accesso privata AWS, eventPrefixFolderName,AlertPrefixFolderName e convalidare l'URI.

  • Immettere l'URI corrispondente all'area. L'elenco completo degli URL dell'API è disponibile qui
  • L'intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare di conseguenza il trigger timer dell'app per le funzioni (nel file di function.json post-distribuzione) per impedire l'inserimento di dati sovrapposto.
  • Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i valori di ID/chiave DELL'API SIEM o lasciare vuoto, se non necessario.
  • Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo con etichetta Accetto i termini e le condizioni indicati in precedenza. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore VMware Carbon Black con Funzioni di Azure.

1. Creare un'app per le funzioni

  1. Nel portale di Azure passare a App per le funzioni e selezionare + Aggiungi.
  2. Nella scheda Informazioni di base verificare che lo stack di runtime sia impostato su Powershell Core.
  3. Nella scheda Hosting verificare che sia selezionato il tipo di piano Consumo (serverless).
  4. Apportare altre modifiche di configurazione preferite, se necessario, quindi fare clic su Crea.

2. Importare il codice dell'app per le funzioni

  1. Nell'app per le funzioni appena creata selezionare Funzioni nel riquadro sinistro e fare clic su + Aggiungi.
  2. Selezionare Trigger timer.
  3. Immettere un nome di funzione univoco e modificare la pianificazione cron, se necessario. Il valore predefinito è impostato per eseguire l'app per le funzioni ogni 5 minuti. (Nota: il trigger Timer deve corrispondere al timeInterval valore seguente per impedire la sovrapposizione dei dati), fare clic su Crea.
  4. Fare clic su Codice e test nel riquadro sinistro.
  5. Copiare il codice dell'app per le funzioni e incollarlo nell'editor dell'app run.ps1 per le funzioni.
  6. Fare clic su Salva.

3. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle tredici impostazioni dell'applicazione seguenti (13-16), con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (facoltativo) SIEMapiKey (facoltativo) logAnalyticsUri (facoltativo)
  • Immettere l'URI corrispondente all'area. L'elenco completo degli URL api è disponibile qui. Il uri valore deve seguire lo schema seguente: https://<API URL>.conferdeploy.net - Non è necessario aggiungere un suffisso di ora all'URI, l'app per le funzioni aggiungerà dinamicamente il valore time all'URI nel formato corretto.
  • timeInterval Impostare (in minuti) sul valore predefinito di 5 per corrispondere al trigger timer predefinito di ogni 5 minuto. Se l'intervallo di tempo deve essere modificato, è consigliabile modificare il trigger timer dell'app per le funzioni di conseguenza per impedire l'inserimento di dati sovrapposti.
  • Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i SIEMapiId valori e SIEMapiKey , se necessario, o omettere, se non necessario.
  • Nota: se si usa Azure Key Vault, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us 4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.