Condividi tramite

Connettore VMware Carbon Black Cloud (che utilizza Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore VMware Carbon Black Cloud offre la possibilità di inserire dati Carbon Black in Microsoft Sentinel. Il connettore offre visibilità sui log di audit, notifica ed eventi in Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare le funzionalità di monitoraggio e analisi.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Impostazioni delle applicazioni apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (facoltativo)
SIEMapiKey (facoltativo)
logAnalyticsUri (facoltativo)
Codice dell'app per le funzioni di Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabelle Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft

Esempi di query

Primi 10 endpoint che generano eventi

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Primi 10 accessi alla console utente

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 minacce principali

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Prerequisiti

Per l'integrazione con VMware Carbon Black Cloud (che utilizza Funzioni di Azure) assicurarsi di avere:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Chiavi API VMware Carbon Black: sono necessarie chiavi API Black Carbon e/o chiavi API a livello SIEM. Per altre informazioni sull'API Carbon Black, vedere la documentazione.
  • Per i log di audit ed eventi è necessario un ID API e una chiave di livello di accesso dell'API Carbon Black.
  • Per gli avvisi di notifica è necessario un ID API e una chiave di livello di accesso SIEM Carbon Black.
  • Credenziali/Autorizzazioni API REST Amazon S3: ID chiave di accesso AWS, Chiave di accesso segreto AWS, Nome bucket AWS S3, Nome cartella in bucket AWS S3 sono necessari per l'API REST Amazon S3.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi a VMware Carbon Black per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API VMware Carbon Black

Per creare una Chiave API, seguire questa procedura.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore VMware Carbon Black, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (è possibile copiarli da quanto segue), nonché le chiavi di autorizzazione API VMware Carbon Black immediatamente disponibili.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatizzata del connettore VMware Carbon Black usando un tempate ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure Deploy to Azure Gov

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere l'ID area di lavoro, la chiave dell'area di lavoro, i tipi di log, gli ID API, le chiavi API, la chiave dell'organizzazione Carbon Black, il nome del bucket S3, l'ID chiave di accesso AWS, la chiave di accesso segreto AWS, EventPrefixFolderName,AlertPrefixFolderName e convalidare l'URI.

  • Immettere l'URI corrispondente all'area. L'elenco completo degli URL dell'API è disponibile qui
  • L'Intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente (nel file di function.json post-distribuzione) per impedire la sovrapposizione dell'inserimento di dati.
  • Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i valori di ID/chiave dell'API SIEM o lasciare vuoto, se non necessario.
  • Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema@Microsoft.KeyVault(SecretUri={Security Identifier})al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore di VMware Carbon Black con Funzioni di Azure.

1. Creare un'App per le funzioni

  1. Nel portale di Azure andare App per le funzioni e selezionare + Aggiungi.
  2. Nella scheda Dati principali verificare che lo Stack di runtime sia impostato su PowerShell Core.
  3. Nella scheda Hosting verificare che sia selezionato il tipo di piano A consumo (serverless).
  4. Apportare altre modifiche di configurazione preferite, se necessario, quindi fare clic su Crea.

2. Importa codice dell'App per le funzioni

  1. Nell'App per le funzioni appena creata selezionare Funzioni nel riquadro sinistro e fare clic su + Aggiungi.
  2. Selezionare Trigger Timer.
  3. Immettere un Nome funzione univoco e modificare la pianificazione cron, se necessario. Il valore predefinito è impostato per eseguire l'App per le funzioni ogni 5 minuti. (Nota: il trigger Timer dovrebbe corrispondere al valore timeInterval riportato di seguito per impedire la sovrapposizione dei dati), fare clic su Crea.
  4. Fare clic su Codice + test nel riquadro sinistro.
  5. Copiare il codice dell'App per le funzioni e incollarlo nell'editor run.ps1 dell'App per le funzioni.
  6. Fare clic su Salva.

3. Configurare l'App per le funzioni

  1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle tredici impostazioni dell'applicazione seguenti (13-16), con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (facoltativo) SIEMapiKey (facoltativo) logAnalyticsUri (facoltativo)
  • Immettere l'URI corrispondente all'area. L'elenco completo degli URL dell'API è disponibile qui. Il valore uri deve seguire lo schema seguente: https://<API URL>.conferdeploy.net -- non è necessario aggiungere un suffisso time all'URI, l'App per le funzioni aggiungerà dinamicamente il valore ora all'URI nel formato corretto.
  • Impostare timeInterval (in minuti) sul valore predefinito di 5 in modo che corrisponda al trigger Timer predefinito di ogni 5 minuti. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente per impedire la sovrapposizione dell'inserimento di dati.
  • Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i valori SIEMapiId e SIEMapiKey, se necessario o omettere, se non necessario.
  • Nota: se si usa Azure Key Vault, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us 4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.