Microsoft Sentinel 用 VMware Carbon Black Cloud (Azure Functions を使用) コネクタ

VMware Carbon Black Cloud コネクタは、Carbon Black データを Microsoft Sentinel に取り込む機能を提供します。 このコネクタでは、Microsoft Sentinel の監査、通知、イベント ログを可視化して、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上を実現します。

コネクタの属性

コネクタ属性 説明
アプリケーションの設定 apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (省略可能)
SIEMapiKey (省略可能)
logAnalyticsUri (省略可能)
Azure 関数アプリのコード https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics テーブル CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft

クエリのサンプル

イベントを生成する上位 10 個のエンドポイント

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

上位 10 件のユーザー コンソール ログイン

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

上位 10 件の脅威

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

前提条件

(Azure Functions を使用して) VMware Carbon Black Cloud と 統合するには、次があることを確認します。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • VMware Carbon Black API キー: Carbon Black API または SIEM レベルの API キーが必要です。 詳細については、Carbon Black API のドキュメントを参照してください。
  • 監査イベントのログには、Carbon Black API アクセス レベルの API ID とキーが必要です。
  • 通知アラートには、Carbon Black SIEM アクセス レベルの API ID とキーが必要です。
  • Amazon S3 REST API の資格情報またはアクセス許可: Amazon S3 REST API には、AWS アクセス キー IDAWS シークレット アクセス キーAWS S3 バケット名AWS S3 バケットのフォルダー名が必要です。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して VMware Carbon Black に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

ステップ 1 - VMware Carbon Black API の構成ステップ

以下の手順に従って、API キーを作成します。

ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: VMware Carbon Black コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および VMware Carbon Black API の認可キーをすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

この方法により、ARM Tempate を使用した VMware Carbon Black コネクタの自動デプロイが可能になります。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure にデプロイする](https://aka.ms/sentinelcarbonblackazuredeploy)

  2. ご希望の [サブスクリプション][リソース グループ][場所] を選択します。

  3. ワークスペース IDワークスペース キーログの種類API IDAPI キーCarbonBlackOrgKeyS3 バケット名AWS アクセス キー IDAWS シークレット アクセス キーEventPrefixFolderNameAlertPrefixFolderName を入力し、URI を検証します。

  • リージョンに対応する URI を入力します。 API URL の完全な一覧は、こちらに記載されています
  • 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。
  • Carbon Black では、通知アラートを取り込むための API ID とキーの個別のセットが必要です。 SIEM API ID とキーの値を入力するか、不要な場合は空白のままにします。
  • 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

次の詳細な説明に従い、Azure Functions を使用して VMware Carbon Black コネクタを手動でデプロイします。

1. 関数アプリを作成する

  1. Azure Portal から [関数アプリ] に移動し、[+ 追加] を選びます。
  2. [基本] タブで、[ランタイム スタック] が [Powershell Core] に設定されていることを確認します。
  3. [ホスティング] タブで、[従量課金 (サーバーレス)] のプランの種類が選ばれていることを確認します。
  4. 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。

2. 関数アプリ コードをインポートする

  1. 新しく作成した関数アプリの左側のペインで [関数] を選び、[+ 追加] をクリックします。
  2. [タイマー トリガー] を選択します。
  3. 一意の関数の名前を入力し、必要に応じて cron スケジュールを変更します。 既定値は、関数アプリを 5 分ごとに実行するように設定されています。 (注: タイマー トリガーは、データの重複を防ぐために、以下の timeInterval 値と一致する必要があります)、[作成] をクリックします。
  4. 左側のペインで [コードとテスト] をクリックします。
  5. 関数アプリ コードをコピーし、関数アプリ run.ps1 エディターに貼り付けます。
  6. [保存] をクリックします。

3. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
  2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
  3. 次の 13 から 16 個のアプリケーション設定をそれぞれの文字列値で個別に追加します (大文字と小文字を区別): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (省略可能) SIEMapiKey (省略可能) logAnalyticsUri (省略可能)
  • リージョンに対応する URI を入力します。 API URL の完全な一覧は、こちらに記載されています。 uri の値は https://<API URL>.conferdeploy.net のスキーマに従う必要があります。URI に時刻サフィックスを追加する必要はありません。関数アプリが適切な形式で URI に時間値を動的に追加します。
  • timeInterval (分単位) を既定値 5 に設定します。これは、5 分ごとの既定の時間トリガーに対応します。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、関数アプリ タイマー トリガーを適宜変更することをお勧めします。
  • Carbon Black では、通知アラートを取り込むための API ID とキーの個別のセットが必要です。 必要に応じて SIEMapiIdSIEMapiKey の値を入力するか、不要な場合は省略します。
  • 注: Azure Key Vault を使用している場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
  • 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使います。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。4. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。