Conector do VMware Carbon Black Cloud (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

O conector do VMware Carbon Black Cloud fornece a capacidade de ingestão de dados Carbon Black no Microsoft Sentinel. O conector fornece visibilidade dos logs no Audit, Notificação e Eventos no Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Configurações de aplicativo apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (Opcional)
SIEMapiKey (Opcional)
logAnalyticsUri (opcional)
Código do aplicativo de funções do Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabela(s) do Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft

Exemplos de consulta

10 Principais Pontos de Extremidade em Geração de Eventos

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

10 Principais Logons no Console do Usuário

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

10 principais ameaças

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Pré-requisitos

Para fazer a integração com o VMware Carbon Black Cloud (usando o Azure Functions), verifique se você tem:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Chave(s) de API do VMware Carbon Black: a API Carbon Black e/ou as Chave(s) de API de Nível SIEM são necessárias. Consulte a documentação para saber mais sobre a API Carbon Black.
  • Um nível de acesso Carbon Black API ID e Chave é necessário para logs de Audit e Evento.
  • Um nível de acesso Carbon Black SIEM API ID e Chave é necessário para alertas de Notificação.
  • Credenciais/permissões Amazon S3 REST API: ID da chave de acesso AWS, Chave de acesso secreto AWS, Nome do bucket AWS S3, Nome da pasta no Bucket AWS S3 são necessários para o API Amazon S3 REST.

Instruções de instalação do fornecedor

Observação

Esse conector usa Azure Functions para se conectar ao VMware Carbon Black para efetuar pull de seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1 – Etapas de configuração para a API VMware Carbon Black

Siga estas instruções para criar uma chave da API.

ETAPA 2: Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: antes de implantar o conector da VMware Carbon Black, tenha em mãos a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (podem ser copiadas do seguinte), bem como a(s) Chaves de Autorização da API de VMware Carbon Black API.

Opção 1: Modelo do Azure Resource Manager (ARM)

Esse método fornece uma implantação automatizada do conector VMware Carbon Black usando um Modelo ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no AzureImplantar no Azure Gov

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira a ID do Workspace, a Chave do Workspace, os tipos de log, as IDs da API, as chaves de API, a chave da organização Carbon Black, o Nome do Bucket S3, a ID da chave de acesso do AWS, a chave de acesso secreta do AWS, EventPrefixFolderName, o AlertPrefixFolderName e valide o URL.

  • Insira a URL que corresponde à sua região. A lista completa de URLs do Servidor de API pode ser encontrada aqui
  • O Intervalo de tempo padrão é definido para efetuar pull dos últimos 5 (cinco) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o Gatilho do Temporizador do Aplicativo de Funções adequadamente (no arquivo function.json, pós-implantação) para evitar a sobreposição da ingestão de dados.
  • O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de notificação. Insira os valores de ID/Chave da API SIEM ou deixe em branco, se não for necessário.
  • Observação: se você usa segredos do Azure Key Vault para um dos valores acima, use o @Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault. 4. Marque a caixa de seleção com o rótulo Concordo com os termos e condições declarados acima. 5. Clique em Comprar para implantar.

Opção 2 – Implantação Manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o conector do VMware Carbon Black manualmente com o Azure Functions.

1. Criar um aplicativo de funções

  1. No Portal do Azure, navegue até Aplicativo de funções e selecione + Adicionar.
  2. Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
  3. Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
  4. Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.

2. Importar código de aplicativo de funções

  1. No aplicativo de funções recém-criado, selecione Funções no painel esquerdo e clique em + Adicionar.
  2. Selecione Gatilho do temporizador.
  3. Insira um Nome de função exclusivo e modifique o agendamento cron, se necessário. O valor padrão é definido para executar o Aplicativo de Funções a cada 5 minutos. (Observação: o gatilho de temporizador deve corresponder ao timeInterval valor abaixo para evitar a sobreposição de dados), clique em Criar.
  4. Clique em Código + Teste no painel esquerdo.
  5. Copie o Código do aplicativo de funções e cole-o no editor run.ps1 do aplicativo de funções.
  6. Clique em Salvar.

3. Configurar o Aplicativo de Funções

  1. No Aplicativo de Funções, selecione o Nome do Aplicativo de Funções e selecione Configuração.
  2. Na guia Configurações do aplicativo, selecione + Novas configurações do aplicativo.
  3. Adicione cada uma das seguintes treze a dezesseis (13-16) configurações de aplicativo individualmente, com seus respectivos valores de cadeia de caracteres (maiúsculas de minúsculas): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Opcional) SIEMapiKey (Opcional) logAnalyticsUri (opcional)
  • Insira a URL que corresponde à sua região. A lista completa de API de URLs pode ser encontrada aqui. O valor uri deve seguir o seguinte esquema: https://<API URL>.conferdeploy.net – não é necessário adicionar um sufixo de tempo ao URI, o aplicativo de funções acrescentará dinamicamente o valor temporal ao URI no formato adequado.
  • Defina o timeInterval (em minutos) como o valor padrão de 5 para corresponder ao gatilho do temporizador a cada 5 minutos. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o Gatilho do Temporizador do Aplicativo de Funções adequadamente para evitar a sobreposição de ingestão de dados.
  • O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de notificação. Insira os SIEMapiId valores e SIEMapiKey, se necessário, ou omita, se não for necessário.
  • Observação: se estiver usando o Azure Key Vault, use o esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.
  • Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de logs para uma nuvem dedicada. Por exemplo, para a nuvem pública, deixe o valor vazio; para o ambiente de nuvem do Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.