如何使用 API 将 VMware Carbon Black Cloud 连接到 Secureworks Taegis XDR
Summary: 了解如何按照以下说明使用 API 将 VMware Carbon Black Cloud 连接到 Secureworks Taegis XDR。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
VMware Carbon Black Cloud 允许生成 API,以将各种数据集从基础架构输出到第三方应用程序。Secureworks 引入了一项功能,可通过 Secureworks Taegis XDR (eXtended Detection and Response) 控制台中的 API 接收器使用这些事件。
受影响的产品:
- VMware Carbon Black Cloud
- Secureworks 威胁检测和响应
- Secureworks 托管检测和响应
- Secureworks XDR
- Secureworks ManagedXDR
- DellMDR
配置从 VMware Carbon Black Cloud 到 Secureworks TDR 的事件转发器需要管理员 使用 Carbon Black 创建访问级别和 API 密钥。完成后,您可以在 Secureworks Taegis XDR 中创建集成。
提醒:
- 在 VMware Carbon Black Cloud 中,管理员需要权限来管理访问级别和 API 密钥。
- 在 Secureworks TDR 中,管理员需要租户管理员权限。
使用 Carbon Black 创建访问级别和 API 密钥
- 登录适用于您的环境的相应 Carbon Black Defense 控制台:
- 美洲:https://defense-prod05.conferdeploy.net
- 欧洲、中东、非洲:https://defense-eu.conferdeploy.net
- 亚太地区:https://defense-prodnrt.conferdeploy.net
提醒:与 VMware Carbon Black Cloud 的所有连接均使用 TLS 1.2 通过端口 443 (https) 进行。 - 美洲:https://defense-prod05.conferdeploy.net
- 展开 Settings,然后选择 API Access。
- 您必须:
- 创建访问级别
- 创建 API 密钥
- 查找组织密钥
要了解更多信息,请单击相应的操作。
- 选择 Access Levels 选项卡,然后选择 Add Access Level 以创建访问级别。
- 从 “Edit Access Level ”菜单中:
- 填充访问级别的名称和描述。
- 找到并启用以下设置:
类别 权限 表示法 要启用的选择框 设备 隔离 device.quarantine执行 设备 一般信息 device读取 事件转发 设置 event-forwarder.settings创建、读取、更新、删除 - 单击 Save。
提醒:名称 (SCWS_TDR) 在您的环境中可能会有所不同。
- 单击 API Keys。
- 单击 Add API Key。
- 在 Add API Key 对话框中:
- 填充名称。
- 通过展开下拉列表并选择 Custom 选项,将 Access Level Type 设置为 Custom。
- 通过展开下拉列表并选择访问级别的名称,设置自定义访问级别。
- (可选)填写描述。
- 单击 Save。
- 记录 API ID 和 API 密钥。这些用于集成 Secureworks TDR。
提醒:剪贴板图标可用于记录 API ID 和 API 密钥。 - 关闭 “API Credentials ”对话框以继续。
- 单击 API Keys。
- 组织密钥位于右侧窗格的左上角。记录组织密钥。
提醒:示例图像显示模糊 的组织密钥 ,以维护此组织的隐私。
在 Secureworks Taegis XDR 中创建集成
- 登录 Secureworks XDR 控制台。
提醒:
- Secureworks — 登录 Taegis XDR
- 管理员需要租户管理员角色来进行这些更改。
- Secureworks — 登录 Taegis XDR
- 在左侧窗格中选择 Integrations,然后选择 Cloud APIs。
- 在右上角选择 Add API Integration。
- 滚动到页面底部,然后选择 Set up Carbon Black。
- 从 Set up Carbon Black 菜单中:
- 选择 Environment。
- 填充组织密钥。
- 填充 API ID。
- 填充 API 密钥。
- 单击 Done。
提醒:- 环境:这概述了将用于通信的 Carbon Black 环境所使用的特定登录 URL:
Prod01- 用于北美的传统 Carbon Black 客户Prod02- 用于北美的传统 Carbon Black 客户Prod05- 用于北美的现有和新 Carbon Black 客户
- 组织密钥:Carbon Black 环境的组织标识符
- API ID:管理员生成的令牌,可链接到 Carbon Black 提供的特定 API
- API 密钥:控制台生成的令牌,可链接到 Carbon Black 提供的特定 API,与 API ID 一起创建
- 在完成后,云 API 集成会显示状况 Healthy。这表示连接处于良好状态。这样就完成了集成,所有数据都应从端点流动。
提醒:任何连接问题都会将 Status 更新为 Error 状态。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Affected Products
Secureworks, VMware Carbon BlackArticle Properties
Article Number: 000129699
Article Type: How To
Last Modified: 10 Jun 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.