VMware Carbon Black Cloud-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

VMware Carbon Black Cloud-anslutningsappen ger möjlighet att mata in Carbon Black-data i Microsoft Sentinel. Anslutningsappen ger insyn i gransknings-, meddelande- och händelseloggar i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Programinställningar apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (valfritt)
SIEMapiKey (valfritt)
logAnalyticsUri (valfritt)
Kod för Azure-funktionsapp https://aka.ms/sentinelcarbonblackazurefunctioncode
Log Analytics-tabeller CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft

Exempel på frågor

De 10 främsta händelsegenereringsslutpunkterna

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

De 10 främsta inloggningarna i användarkonsolen

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

De 10 främsta hoten

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

Förutsättningar

Om du vill integrera med VMware Carbon Black Cloud (med Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • VMware Carbon Black API Key(s): Carbon Black API och/eller SIEM Level API Key(s) krävs. Mer information om Carbon Black-API:et finns i dokumentationen.
  • Ett API-ID och nyckel för Carbon Black API-åtkomstnivå krävs för gransknings- och händelseloggar .
  • Ett API-ID och nyckel för Carbon Black SIEM-åtkomstnivå krävs för meddelandeaviseringar .
  • Autentiseringsuppgifter/behörigheter för Amazon S3 REST API: AWS-åtkomstnyckel-ID, AWS-hemlig åtkomstnyckel, AWS S3-bucketnamn, mappnamn i AWS S3-bucket krävs för Amazon S3 REST API.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till VMware Carbon Black för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Konfigurationssteg för VMware Carbon Black API

Följ de här anvisningarna för att skapa en API-nyckel.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar VMware Carbon Black-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Auktoriseringsnyckeln för VMware Carbon Black API,.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Den här metoden tillhandahåller en automatiserad distribution av VMware Carbon Black-anslutningsappen med hjälp av en ARM Tempate.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till AzureDeploy to Azure Gov

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange arbetsyte-ID, arbetsytenyckel, loggtyper, API-ID:er, API-nyckel(er), Carbon Black Org-nyckel, S3 Bucket Name, AWS Access Key ID, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName och validera URI:n.

  • Ange den URI som motsvarar din region. Den fullständiga listan över API-URL:er finns här
  • Standardtidsintervallet är inställt på att hämta de senaste fem (5) minuterna av data. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.
  • Carbon Black kräver en separat uppsättning API-ID/nycklar för att mata in meddelandeaviseringar. Ange SIEM API-ID/nyckelvärden eller lämna tomt om det inte behövs.
  • Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera VMware Carbon Black-anslutningsappen manuellt med Azure Functions.

1. Skapa en funktionsapp

  1. Från Azure-portalen går du till Funktionsapp och väljer + Lägg till.
  2. På fliken Grundläggande ser du till att Runtime-stacken är inställd på Powershell Core.
  3. På fliken Värd kontrollerar du att plantypen Förbrukning (serverlös) är markerad.
  4. Gör andra föredragna konfigurationsändringar om det behövs och klicka sedan på Skapa.

2. Importera funktionsappkod

  1. I den nyligen skapade funktionsappen väljer du Funktioner i den vänstra rutan och klickar på + Lägg till.
  2. Välj Timer-utlösare.
  3. Ange ett unikt funktionsnamn och ändra cron-schemat om det behövs. Standardvärdet är inställt på att köra funktionsappen var femte minut. (Obs! Timerutlösaren ska matcha timeInterval värdet nedan för att förhindra överlappande data), klicka på Skapa.
  4. Klicka på Kod + Test i det vänstra fönstret.
  5. Kopiera funktionsappkoden och klistra in den i funktionsappredigerarenrun.ps1.
  6. Klicka på Spara.

3. Konfigurera funktionsappen

  1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
  2. På fliken Programinställningar väljer du + Ny programinställning.
  3. Lägg till var och en av följande programinställningar för tretton till sexton (13–16) individuellt. med sina respektive strängvärden (skiftlägeskänsliga): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (valfritt) SIEMapiKey (valfritt) logAnalyticsUri (valfritt)
  • Ange den URI som motsvarar din region. Den fullständiga listan över API-URL:er finns här. Värdet uri måste följa följande schema: https://<API URL>.conferdeploy.net – Du behöver inte lägga till ett tidssuffix till URI:n. Funktionsappen lägger dynamiskt till tidsvärdet till URI:n i rätt format.
  • timeInterval Ange (i minuter) till standardvärdet 5 för för att motsvara standardtimerutlösaren för varje 5 minut. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta för att förhindra överlappande datainmatning.
  • Carbon Black kräver en separat uppsättning API-ID/nycklar för att mata in meddelandeaviseringar. SIEMapiId Ange värdena ochSIEMapiKey, om det behövs, eller utelämna om det inte behövs.
  • Obs! Om du använder Azure Key Vault använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.
  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us 4. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.