適用於 Microsoft Sentinel 的 VMware Carbon Black Cloud (使用 Azure Functions) 連接器
VMware Carbon Black Cloud 連接器提供將碳黑數據內嵌至 Microsoft Sentinel 的功能。 連接器可讓您查看 Microsoft Sentinel 中的稽核、通知和事件記錄,以檢視儀錶板、建立自定義警示,以及改善監視和調查功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| 應用程式設定 | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (選擇性) SIEMapiKey (選用) logAnalyticsUri (選擇性) |
| Azure 函式應用程式程式代碼 | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| Log Analytics 數據表(s) | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft |
查詢範例
前10個產生端點的事件
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
前10名使用者主控台登入
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
前10名威脅
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
必要條件
若要與 VMware Carbon Black Cloud 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- VMware 碳黑 API 金鑰(s):需要碳黑 API 和/或 SIEM 層級 API 金鑰。 請參閱檔以深入瞭解 碳黑 API。
- 稽核和事件記錄需要碳黑 API 存取層級 API 識別碼和密鑰。
- 通知警示需要碳黑 SIEM 存取層級 API 識別符和金鑰。
- Amazon S3 REST API 認證/許可權:Amazon S3 REST API 需要 AWS 存取密鑰標識碼、AWS 秘密存取密鑰、AWS S3 貯體名稱。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線至 VMware Carbon Black,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - VMware Carbon Black API 的設定步驟
請遵循這些指示 來建立 API 金鑰。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 VMware Carbon Black 連接器之前,請具有工作區標識碼和工作區主要密鑰(可從下列內容複製),以及可立即取得的 VMware Carbon Black API 授權密鑰。
選項 1 - Azure Resource Manager (ARM) 範本
此方法提供使用ARM Tempate自動部署 VMware Carbon Black 連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區標識碼、工作區密鑰、記錄類型、API 識別碼、API 金鑰(s)、碳黑組織密鑰、S3 貯體名稱、AWS 存取密鑰標識碼、AWS 秘密存取密鑰、EventPrefixFolderName、AlertPrefixFolderName,以及驗證 URI。
- 輸入對應至您區域的 URI。 您可以 在這裡找到 API URL 的完整清單
- 默認 的時間間隔 設定為提取最後五分鐘的數據。 如果需要修改時間間隔,建議您據以變更函式應用程式定時器觸發程式(在function.json檔案中,部署后)以防止重疊的數據擷取。
- 碳黑需要一組個別的 API 識別元/金鑰來內嵌通知警示。 如果不需要,請輸入 SIEM API 識別元/金鑰值或保留空白。
- 注意:如果針對上述任何值使用 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,以 Azure Functions 手動部署 VMware Carbon Black 連接器。
1.建立函式應用程式
- 從 Azure 入口網站流覽至 [函式應用程式],然後選取 [ + 新增]。
- 在 [ 基本] 索引 標籤中,確定運行時間堆疊已設定為 Powershell Core。
- 在 [ 裝載] 索引標籤中,確定已選取 [ 取用][無伺服器] 方案類型。
- 視需要進行其他偏好的組態變更,然後按兩下 [ 建立]。
2.匯入函式應用程式程式代碼
- 在新建立的 [函式應用程式] 中,選取 左窗格中的 [函式 ],然後按兩下 [ + 新增]。
- 選取 [ 定時器觸發程式]。
- 視需要輸入唯一的函式 名稱 並修改cron排程。 預設值設定為每隔 5 分鐘執行函式應用程式一次。 (注意:定時器觸發程序應該符合
timeInterval下列值,以避免重迭的數據),按兩下 建立。 - 按兩下左窗格上的 [ 程序代碼+ 測試 ]。
- 複製函 式應用程式程式代碼 並貼到函式應用程式
run.ps1編輯器中。 - 按一下 [檔案] 。
3.設定函式應用程式
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
- 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
- 個別新增下列 13 到 16 個 (13-16) 個應用程式設定的每一個, 其個別字串值(區分大小寫):apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (選擇性) SIEMapiKey (選擇性) logAnalyticsUri (選擇性)
- 輸入對應至您區域的 URI。 您可以 在這裡找到 API URL 的完整清單。 值
uri必須遵循下列架構:https://<API URL>.conferdeploy.net- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。- 將
timeInterval(以分鐘為單位) 設定為 的預設值5,以對應至每5分鐘的預設定時器觸發程式。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的數據擷取。- 碳黑需要一組個別的 API 識別元/金鑰來內嵌通知警示。
SIEMapiId視需要輸入和SIEMapiKey值,或視需要省略 。- 注意:如果使用 Azure 金鑰保存庫,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us4。輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。