Connettore VMware Carbon Black Cloud (che utilizza Funzioni di Azure) per Microsoft Sentinel
Il connettore VMware Carbon Black Cloud offre la possibilità di inserire dati Carbon Black in Microsoft Sentinel. Il connettore offre visibilità sui log di audit, notifica ed eventi in Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare le funzionalità di monitoraggio e analisi.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Impostazioni delle applicazioni | apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (facoltativo) SIEMapiKey (facoltativo) logAnalyticsUri (facoltativo) |
Codice dell'app per le funzioni di Azure | https://aka.ms/sentinelcarbonblackazurefunctioncode |
Tabelle Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft |
Esempi di query
Primi 10 endpoint che generano eventi
CarbonBlackEvents_CL
| summarize count() by deviceDetails_deviceName_s
| top 10 by count_
Primi 10 accessi alla console utente
CarbonBlackAuditLogs_CL
| summarize count() by loginName_s
| top 10 by count_
10 minacce principali
CarbonBlackNotifications_CL
| summarize count() by threatHunterInfo_reportName_s
| top 10 by count_
Prerequisiti
Per l'integrazione con VMware Carbon Black Cloud (che utilizza Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Chiavi API VMware Carbon Black: sono necessarie chiavi API Black Carbon e/o chiavi API a livello SIEM. Per altre informazioni sull'API Carbon Black, vedere la documentazione.
- Per i log di audit ed eventi è necessario un ID API e una chiave di livello di accesso dell'API Carbon Black.
- Per gli avvisi di notifica è necessario un ID API e una chiave di livello di accesso SIEM Carbon Black.
- Credenziali/Autorizzazioni API REST Amazon S3: ID chiave di accesso AWS, Chiave di accesso segreto AWS, Nome bucket AWS S3, Nome cartella in bucket AWS S3 sono necessari per l'API REST Amazon S3.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni di Azure per connettersi a VMware Carbon Black per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API VMware Carbon Black
Per creare una Chiave API, seguire questa procedura.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore VMware Carbon Black, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (è possibile copiarli da quanto segue), nonché le chiavi di autorizzazione API VMware Carbon Black immediatamente disponibili.
Opzione 1 - Modello di Azure Resource Manager (ARM)
Questo metodo fornisce una distribuzione automatica del connettore VMware Carbon Black usando un modello di Resource Manager.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.
Immettere l'ID area di lavoro, la chiave dell'area di lavoro, i tipi di log, gli ID API, le chiavi API, la chiave dell'organizzazione Carbon Black, il nome del bucket S3, l'ID chiave di accesso AWS, la chiave di accesso segreto AWS, EventPrefixFolderName,AlertPrefixFolderName e convalidare l'URI.
- Immettere l'URI corrispondente all'area. L'elenco completo degli URL dell'API è disponibile qui
- L'Intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente (nel file di function.json post-distribuzione) per impedire la sovrapposizione dell'inserimento di dati.
- Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i valori di ID/chiave dell'API SIEM o lasciare vuoto, se non necessario.
- Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema
@Microsoft.KeyVault(SecretUri={Security Identifier})
al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.
Opzione 2 - Distribuzione manuale di Funzioni di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore di VMware Carbon Black con Funzioni di Azure.
1. Creare un'App per le funzioni
- Nel portale di Azure andare App per le funzioni e selezionare + Aggiungi.
- Nella scheda Dati principali verificare che lo Stack di runtime sia impostato su PowerShell Core.
- Nella scheda Hosting verificare che sia selezionato il tipo di piano A consumo (serverless).
- Apportare altre modifiche di configurazione preferibili, se necessario, quindi fare clic su Crea.
2. Importa codice dell'App per le funzioni
- Nell'App per le funzioni appena creata selezionare Funzioni nel riquadro sinistro e fare clic su + Aggiungi.
- Selezionare Trigger Timer.
- Immettere un Nome funzione univoco e modificare la pianificazione cron, se necessario. Il valore predefinito è impostato per eseguire l'App per le funzioni ogni 5 minuti. (Nota: il trigger Timer dovrebbe corrispondere al valore
timeInterval
riportato di seguito per impedire la sovrapposizione dei dati), fare clic su Crea. - Fare clic su Codice + test nel riquadro sinistro.
- Copiare il codice dell'App per le funzioni e incollarlo nell'editor
run.ps1
dell'App per le funzioni. - Fare clic su Salva.
3. Configurare l'App per le funzioni
- Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
- Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
- Aggiungere singolarmente ognuna delle tredici impostazioni dell'applicazione seguenti (13-16), con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (facoltativo) SIEMapiKey (facoltativo) logAnalyticsUri (facoltativo)
- Immettere l'URI corrispondente all'area. L'elenco completo degli URL dell'API è disponibile qui. Il valore
uri
deve seguire lo schema seguente:https://<API URL>.conferdeploy.net
-- non è necessario aggiungere un suffisso time all'URI, l'App per le funzioni aggiungerà dinamicamente il valore ora all'URI nel formato corretto.- Impostare
timeInterval
(in minuti) sul valore predefinito di5
in modo che corrisponda al trigger Timer predefinito di ogni5
minuti. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente per impedire la sovrapposizione dell'inserimento di dati.- Carbon Black richiede un set separato di ID API/Chiavi per inserire avvisi di notifica. Immettere i valori
SIEMapiId
eSIEMapiKey
, se necessario o omettere, se non necessario.- Nota: se si usa Azure Key Vault, usare lo
@Microsoft.KeyVault(SecretUri={Security Identifier})
schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.- Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente:
https://<CustomerId>.ods.opinsights.azure.us
4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.