共用方式為


適用於 Microsoft Sentinel 的 VMware Carbon Black Cloud (使用 Azure Functions) 連接器

VMware Carbon Black Cloud 連接器提供將 Carbon Black 資料內嵌至 Microsoft Sentinel 的功能。 此連接器可讓您查看 Microsoft Sentinel 中的稽核、通知和事件記錄檔,以檢視儀表板、建立自訂警示,以及改善監視和調查功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
應用程式設定 apiId
apiKey
workspaceID
workspaceKey
uri
timeInterval
CarbonBlackOrgKey
CarbonBlackLogTypes
s3BucketName
EventPrefixFolderName
AlertPrefixFolderName
AWSAccessKeyId
AWSSecretAccessKey
SIEMapiId (選用)
SIEMapiKey (選用)
logAnalyticsUri (optional)
Azure 函數應用程式程式碼 https://aka.ms/sentinelcarbonblackazurefunctioncode
記錄分析資料表 CarbonBlackEvents_CL
CarbonBlackAuditLogs_CL
CarbonBlackNotifications_CL
資料收集規則支援 目前不支援
支援者: Microsoft

查詢範例

產生端點的前 10 大事件

CarbonBlackEvents_CL

| summarize count() by deviceDetails_deviceName_s 

| top 10 by count_

前 10 大使用者主控台登入

CarbonBlackAuditLogs_CL

| summarize count() by loginName_s 

| top 10 by count_

前10名威脅

CarbonBlackNotifications_CL

| summarize count() by threatHunterInfo_reportName_s 

| top 10 by count_

必要條件

若要與 VMware Carbon Black Cloud 整合 (使用 Azure Functions),請確定您有:

  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions
  • VMware Carbon Black API 金鑰:需要 Carbon Black API 和/或 SIEM 層級 API 金鑰。 請參閱文件以深入了解 Carbon Black API
  • 稽核事件記錄需要 Carbon Black API 存取層級 API 識別碼和金鑰。
  • 通知警示需要 Carbon Black SIEM 存取層級 API 識別碼和金鑰。
  • Amazon S3 REST API 認證/權限:Amazon S3 REST API 需要 AWS 存取金鑰識別碼AWS 秘密存取金鑰AWS S3 貯體名稱AWS S3 貯體中的資料夾名稱

廠商安裝指示

注意

此連接器會使用 Azure Functions 來連線至 VMware Carbon Black,以將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面

(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

步驟 1 - VMware Carbon Black API 的設定步驟

遵循下列指示以建立 API 金鑰:

步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式

重要事項:部署 VMware Carbon Black 連接器之前,請具有可供使用的工作區識別碼和工作區主索引鍵 (可從下列位置複製),以及 VMware Carbon Black API 授權金鑰。

選項 1 - Azure Resource Manager (ARM) 範本

此方法可供使用 ARM 範本自動部署 VMware Carbon Black 連接器。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure 部署至 Azure Gov

  2. 選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]

  3. 輸入 工作區識別碼工作區金鑰記錄類型API 識別碼API 金鑰Carbon Black 組織金鑰S3 貯體名稱AWS 存取金鑰識別碼AWS 秘密存取金鑰EventPrefixFolderNameAlertPrefixFolderName,並驗證 URI

  • 輸入對應至您區域的 URI。 您可以在這裏找到 API URL 的完整清單。
  • 預設時間間隔設為提取最後五 (5) 分鐘的資料。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式 (在function.json 檔案中,部署後) 以防止重疊的資料擷取。
  • Carbon Black 需要一組個別的 API 識別碼/金鑰來內嵌通知警示。 如果不需要,請輸入 SIEM API 識別碼/金鑰值或保留空白。
  • 若針對上述任一值使用 Azure Key Vault 祕密,請使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。 4.選取標示著 [我同意上述條款及條件] 的核取方塊。 5.按一下 [購買] 以部署。

選項 2 - Azure Functions 手動部署

遵循下列逐步指示,使用 Azure Functions 手動部署 VMware Carbon Black 連接器。

1.建立函式應用程式

  1. 從 Azure 入口網站中,瀏覽至函式應用程式,然後選取 [+ 新增]
  2. 在 [基本資料] 索引標籤中,確定執行階段堆疊設定為 [Powershell Core]
  3. 在 [裝載] 索引標籤中,確定已選取 [使用量 (無伺服器)] 計畫類型。
  4. 如有需要,進行其他偏好的設定變更,然後按一下 [建立]

2.匯入函數應用程式程式碼

  1. 在新建立的函式應用程式中,選取左窗格中的 [函式],然後按一下 [+ 新增]
  2. 選取 [計時器觸發程序]
  3. 輸入唯一的函式 [名稱] 並且視需要修改 cron 排程。 預設值會設為每隔 5 分鐘執行函式應用程式一次。 (注意:定時器觸發程序應符合下面的 timeInterval 值以防止資料重疊),請按一下 [建立]
  4. 按一下左窗格上的 [程式碼 + 測試]
  5. 複製函式應用程式程式碼並貼到函式應用程式 run.ps1 編輯器中。
  6. 按一下 [檔案] 。

3.設定函數應用程式

  1. 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]
  2. 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]
  3. 個別新增下列 13 到 16 (13-16) 個應用程式設定,包含其個別字串值 (區分大小寫):apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (選用) SIEMapiKey (選用) logAnalyticsUri (選用)
  • 輸入對應至您區域的 URI。 您可以在這裏找到 API URL 的完整清單。 uri 值必須遵循下列結構描述:https://<API URL>.conferdeploy.net - 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。
  • timeInterval (以分鐘為單位) 設定為預設值 5,以對應至每 5 分鐘的預設定時器觸發程序。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的資料擷取。
  • Carbon Black 需要一組個別的 API 識別碼/金鑰來內嵌通知警示。 視需要輸入 SIEMapiIdSIEMapiKey 值,或視需要省略。
  • 注意:如果使用 Azure Key Vault,請使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將值保留為空白;對於 Azure GovUS 雲端環境,請以下列格式指定值:https://<CustomerId>.ods.opinsights.azure.us 4.輸入所有應用程式設定之後,請按一下 [儲存]

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。