VMware Carbon Black Cloud -connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

De VMware Carbon Black Cloud-connector biedt de mogelijkheid om Carbon Black-gegevens op te nemen in Microsoft Sentinel. De connector biedt inzicht in audit-, meldings- en gebeurtenislogboeken in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Toepassingsinstellingen apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (optioneel)
SIEMapiKey (optioneel)
logAnalyticsUri (optioneel)
Code van Azure-functie-app Downloaden: https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics-tabellen CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Microsoft

Voorbeelden van query's

Top 10 gebeurtenis genereren eindpunten

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Top 10 gebruikersconsoleaanmelding

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

Top 10 bedreigingen

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Vereisten

Als u wilt integreren met VMware Carbon Black Cloud (met behulp van Azure Functions), moet u het volgende doen:

  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • VMware Carbon Black API-sleutel(en): Carbon Black API en/of SIEM Level API Key(s) zijn vereist. Zie de documentatie voor meer informatie over de Carbon Black-API.
  • Er is een API-id en sleutel op carbon black-API-toegangsniveau vereist voor audit- en gebeurtenislogboeken.
  • Een CARBON Black SIEM-toegangsniveau-API-id en -sleutel is vereist voor meldingswaarschuwingen .
  • Amazon S3 REST API-referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket zijn vereist voor Amazon S3 REST API.

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met VMware Carbon Black om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: configuratiestappen voor de VMware Carbon Black-API

Volg deze instructies om een API-sleutel te maken.

STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de VMware Carbon Black-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de VMware Carbon Black API-autorisatiesleutel(s), die direct beschikbaar zijn.

Optie 1: ARM-sjabloon (Azure Resource Manager)

Deze methode biedt een geautomatiseerde implementatie van de VMware Carbon Black-connector met behulp van een ARM-sjabloon.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de werkruimte-id, werkruimtesleutel, logboektypen, API-id('s), API-sleutel(s), Carbon Black Org Key, S3 Bucket Name, AWS Access Key Id, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName en valideer de URI.

  • Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier
  • Het standaardtijdinterval is ingesteld om de laatste vijf (5) minuten aan gegevens op te halen. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
  • Carbon Black vereist een afzonderlijke set API-id's/sleutels voor het opnemen van meldingen. Voer de WAARDEN voor de SIEM-API-id/-sleutel in of laat leeg, indien niet vereist.
  • Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Functions

Gebruik de volgende stapsgewijze instructies om de VMware Carbon Black-connector handmatig te implementeren met Azure Functions.

1. Een functie-app maken

  1. Ga in Azure Portal naar de functie-app en selecteer + Toevoegen.
  2. Controleer op het tabblad Basisbeginselen of runtimestack is ingesteld op Powershell Core.
  3. Controleer op het tabblad Hosting of het abonnementstype Verbruik (serverloos) is geselecteerd.
  4. Breng indien nodig andere wijzigingen aan in de configuratie bij voorkeur en klik vervolgens op Maken.

2. Code van functie-app importeren

  1. Selecteer functies in het linkerdeelvenster in de zojuist gemaakte functie-app en klik op + Toevoegen.
  2. Selecteer Timertrigger.
  3. Voer indien nodig een unieke functienaam in en wijzig het cron-schema. De standaardwaarde is ingesteld om de functie-app elke 5 minuten uit te voeren. (Opmerking: de timertrigger moet overeenkomen met de timeInterval onderstaande waarde om overlappende gegevens te voorkomen), klikt u op Maken.
  4. Klik op Code + Testen in het linkerdeelvenster.
  5. Kopieer de code van de functie-app uit het gedownloade https://aka.ms/sentinelcarbonblackazurefunctioncode bestand en plak deze in de functie-app-editor run.ps1 .
  6. Klik op Opslaan.

3. De functie-app configureren

  1. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
  2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
  3. Voeg elk van de volgende dertien tot zestien toepassingsinstellingen (13-16) afzonderlijk toe, met hun respectieve tekenreekswaarden (hoofdlettergevoelig): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (optioneel) SIEMapiKey (optioneel) logAnalyticsUri (optioneel)
  • Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier. De uri waarde moet het volgende schema volgen: https://<API URL>.conferdeploy.net - Het is niet nodig om een tijdachtervoegsel toe te voegen aan de URI. De functie-app voegt de tijdwaarde dynamisch toe aan de URI in de juiste indeling.
  • Stel de timeInterval standaardwaarde (in minuten) in op de standaardwaarde die 5 overeenkomt met de standaardtimertrigger van elke 5 minuten. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen om overlappende gegevensopname te voorkomen.
  • Carbon Black vereist een afzonderlijke set API-id's/sleutels voor het opnemen van meldingen. Voer indien nodig de SIEMapiId waarden en SIEMapiKey waarden in of laat deze weg, indien nodig.
  • Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.
  • Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us 4. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.