Partilhar via

Conector VMware Carbon Black Cloud (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O conector VMware Carbon Black Cloud oferece a capacidade de ingerir dados Carbon Black no Microsoft Sentinel. O conector fornece visibilidade nos logs de auditoria, notificação e eventos no Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Configurações do aplicativo apiId
apiKey
ID do espaço de trabalho
chave do espaço de trabalho
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (Opcional)
SIEMapiKey (Opcional)
logAnalyticsUri (opcional)
Código do aplicativo de função do Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
Tabela(s) do Log Analytics CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Microsoft

Exemplos de consulta

Top 10 Endpoints Geradores de Eventos

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

Top 10 Logins do Console do Usuário

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

As 10 principais ameaças

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Pré-requisitos

Para integrar com o VMware Carbon Black Cloud (usando o Azure Functions), certifique-se de:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Chave(s) de API VMware Carbon Black: API Carbon Black e/ou Chave(s) de API de Nível SIEM são necessárias. Consulte a documentação para saber mais sobre a API Carbon Black.
  • Um ID e uma chave de API de nível de acesso da API Carbon Black são necessários para logs de auditoria e eventos.
  • Um ID e uma chave de API de nível de acesso SIEM Carbon Black são necessários para alertas de notificação.
  • Credenciais/permissões da API REST do Amazon S3: ID da chave de acesso da AWS, chave de acesso secreta da AWS, nome do bucket do AWS S3, nome da pasta no bucket do AWS S3 são necessárias para a API REST do Amazon S3.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar ao VMware Carbon Black para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de configuração para a API VMware Carbon Black

Siga estas instruções para criar uma chave de API.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector VMware Carbon Black, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiados do seguinte), bem como a(s) chave(s) de autorização da API VMware Carbon Black, prontamente disponíveis.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Esse método fornece uma implantação automatizada do conector VMware Carbon Black usando um ARM Tempate.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure Deploy to Azure Gov

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, os tipos de log, o(s) ID(s) da API, a(s) chave(s) da API, a chave da organização Carbon Black, o nome do bucket do S3, o ID da chave de acesso da AWS, a chave de acesso secreta da AWS, o EventPrefixFolderName, o AlertPrefixFolderName e valide o URI.

  • Insira o URI que corresponde à sua região. A lista completa de URLs de API pode ser encontrada aqui
  • O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.
  • O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de Notificação. Insira os valores SIEM API ID/Key ou deixe em branco, se não for necessário.
  • Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.

Opção 2 - Implantação manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o conector VMware Carbon Black manualmente com o Azure Functions.

1. Crie um aplicativo de função

  1. No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
  2. Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
  3. Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
  4. Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.

2. Importar código do aplicativo de função

  1. No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Adicionar.
  2. Selecione Gatilho de temporizador.
  3. Insira um Nome de Função exclusivo e modifique a agenda cron, se necessário. O valor padrão é definido para executar o aplicativo de função a cada 5 minutos. (Nota: o gatilho do temporizador deve corresponder ao timeInterval valor abaixo para evitar a sobreposição de dados), clique em Criar.
  4. Clique em Código + Teste no painel esquerdo.
  5. Copie o código do aplicativo de função e cole no editor do aplicativo run.ps1 de função.
  6. Clique em Guardar.

3. Configurar o aplicativo de função

  1. No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
  2. Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
  3. Adicione cada uma das seguintes treze a dezesseis (13-16) configurações de aplicativo individualmente, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (opcional) SIEMapiKey (opcional) logAnalyticsUri (opcional)
  • Insira o URI que corresponde à sua região. A lista completa de URLs de API pode ser encontrada aqui. O uri valor deve seguir o seguinte esquema: https://<API URL>.conferdeploy.net - Não há necessidade de adicionar um sufixo de tempo ao URI, o aplicativo de função acrescentará dinamicamente o valor de tempo ao URI no formato adequado.
  • Defina o timeInterval (em minutos) como o valor padrão de para corresponder ao gatilho de 5 temporizador padrão de cada 5 minuto. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo para evitar a ingestão de dados sobrepostos.
  • O Carbon Black requer um conjunto separado de ID/Chaves de API para ingerir alertas de Notificação. Insira os SIEMapiId valores e SIEMapiKey , se necessário, ou omita, se não for necessário.
  • Observação: se estiver usando o Cofre da Chave do Azure, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
  • Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.