Slik installerer og konfigurerer du VMware Carbon Black Cloud Syslog-kontakt

1. Logg på Linux-serveren som syslog-kontakten installeres på, ved hjelp av SSH.
   Merk: Hvis du vil ha informasjon om tilkobling via SSH, kan du se Sikre nettverk .
2. Kontroller at serveren er oppdatert ved å kjøre sudo yum update.
3. Et repositorium må legges til for å installere PIP, da PIP kanskje ikke er i kjerneoperativsystemets repositorier. Skriv inn sudo yum install epel-release , og trykk deretter Enter.
   
   Merk: Hvis epel-release blir ikke funnet, legger du til repositoriet ved å kjøre følgende kommandoer:

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   Kontroller at [VERSION] samsvarer med utgivelsen av Red Hat Enterprise Linux eller CentOS som du kjører:

   • Hvis du kjører Red Hat Enterprise Linux 8 eller CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • Hvis du kjører Red Hat Enterprise Linux 7 eller CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. Skriv inn Y , og trykk deretter Enter.
5. Installer PIP ved å skrive sudo yum install python3 og deretter trykke Enter.
   
6. Installer Python3 build utilities ved å skrive sudo yum install gcc python3-devel og deretter trykke Enter.
   
7. Oppdater alle pakker i vertsoperativsystemet ved å skrive inn sudo yum update og deretter trykke Enter.
   

1. Logg på som en konto med sudo-tilgang på serveren som kontakten installeres på.
2. Åpne Terminal.
3. Skriv inn pip3 install cbc-syslog , og trykk deretter Enter.
   
   Merk:

   • Dette eksemplet utnytter PIP3 på CentOS 8. Kommandoen kan variere litt avhengig av hvilken versjon av Python, og som et resultat hvilken versjon av PIP som brukes.
   • Hvis du installerer uten rot, er standard installasjonssted:
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • Hvis du installerer med rot, er standard installasjonssted:
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

En administrator må konfigurere både VMware Carbon Black Cloud og selve Syslog-kontakten . Klikk på den aktuelle prosessen for å få mer informasjon.

VMware Carbon Black Cloud

VMware Carbon Black Cloud må konfigureres for å bruke syslog-kontakten. En administrator må først generere API- og SIEM-nøkler, og deretter generere varsler for API. Klikk på den aktuelle prosessen for å få mer informasjon.

Generer API- og SIEM-nøkler

1. Gå til [REGION].conferdeploy.net i en nettleser.
   Merk: [REGION] = regionen til leietakeren

   • Amerika = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Asia, Stillehavskysten = https://defense-prodnrt.conferdeploy.net/
   • Australia og New Zealand = https://defense-prodsyd.conferdeploy.net
2. Logg på VMware Carbon Black Cloud.
   
3. I den venstre menyruten utvider du Innstillinger og klikker deretter API-tilgang.
   
4. Velg Legg til API-nøkkel.
   
5. Fra menyen Legg til API-nøkkel :
   1. Fyll ut et navn.
   2. Fyll ut Description (Beskrivelse).
   3. Velg en tilgangsnivåtype.
   4. Fyll ut eksterne autoriserte IP-adresser som skal be om informasjon fra VMware Carbon Black Cloud.
   5. Klikk på Save (Lagre).
   
6. Fra API-legitimasjon:
   1. Klikk på utklippstavleikonet til høyre for API-ID-en for å kopiere ID-en til utklippstavlen.
   2. Registrer API-ID-en.
   3. Klikk på utklippstavleikonet til høyre for API-hemmelig nøkkel for å kopiere nøkkelen til utklippstavlen.
   4. Registrer API-hemmelig nøkkel.
   5. Klikk X øverst til høyre.
   
7. Velg Legg til API-nøkkel.
   
8. Fra menyen Legg til API-nøkkel :
   1. Fyll ut et navn.
   2. Fyll ut Description (Beskrivelse).
   3. Velg en tilgangsnivåtype.
   4. Fyll ut eksterne autoriserte IP-adresser som skal be om informasjon fra VMware Carbon Black Cloud.
   5. Klikk på Save (Lagre).
   
9. Fra API-legitimasjon:
   1. Klikk på utklippstavleikonet til høyre for API-ID-en for å kopiere ID-en til utklippstavlen.
   2. Registrer API-ID-en.
   3. Klikk på utklippstavleikonet til høyre for API-hemmelig nøkkel for å kopiere nøkkelen til utklippstavlen.
   4. Registrer API-hemmelig nøkkel.
   5. Klikk X øverst til høyre.
   

Generer varsler for API

Informasjon sendes til den tidligere konfigurerte API-en via varsler som er angitt i VMware Carbon Black Cloud-konsollen.

1. Gå til [REGION].conferdeploy.net i en nettleser.
   Merk: [REGION] = regionen til leietakeren

   • Amerika = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Asia, Stillehavskysten = https://defense-prodnrt.conferdeploy.net/
   • Australia og New Zealand = https://defense-prodsyd.conferdeploy.net
2. Logg på VMware Carbon Black Cloud.
   
3. I venstre menyrute utvider du Innstillinger og klikker deretter Varsler.
   
4. Klikk på Add Notification.
   
5. Fra menyen Legg til varsling :
   1. Fyll ut et navn.
   2. Bestem Når vil du bli varslet.
   3. Velg de aktuelle retningslinjene å bli varslet om.
   4. Fyll ut en e-post for å bli varslet på, og velg eventuelt å Send bare én e-post for hver trusseltype per dag.
   5. Fyll ut API-nøklene med API-ID-en som tidligere ble generert.
   6. Klikk på Add (Legg til).
   
   Merk: Kunder med Carbon Black Enterprise EDR kan også spesifisere overvåkningslister som sendes via SIEM. Dette muliggjør en mer målrettet tilnærming til informasjonsinnhenting.

Syslog-kontakt

1. Koble til serveren som er vert for Syslog-tilkoblingen via SSH.
   Merk:

   • Hvis du vil ha informasjon om tilkobling via SSH ved hjelp av CentOS 8, kan du se Sikre nettverk.
   • Hvis du vil ha informasjon om tilkobling via SSH med CentOS 7, kan du se Konfigurasjonsfiler.
2. Generer en sikkerhetskopi av en katalog for syslog-utdataene ved å skrive sudo mkdir /tmp/output/ , og trykk deretter Enter.
   
3. Opprett konfigurasjonsfilen ved å skrive inn sudo touch /tmp/cbsyslog-config.txt , og trykk deretter Enter.
   
4. Opprett loggfilen ved å skrive inn sudo touch /tmp/cbsyslog-log.log , og trykk deretter Enter.
   
5. Åpne den tidligere opprettede konfigurasjonsfilen ved hjelp av nano med sudo-privilegier ved å skrive sudo nano /tmp/cbsyslog-config.txt , og trykk deretter Enter.
   
6. Kopier følgende tekst, og lim den deretter inn i tekstredigeringsprogrammet.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. Hvis du vil at utdataene skal sendes ved hjelp av TCP, fyller du verten og porten med output_type Sett til TCP.
   
   Merk: Eksempelbildet har innstillingene skjult.
8. Oppdater api_connector_id og api_key i henhold til API-typens API-ID og API-typens hemmelige nøkkel.
   
   Merk: Hvis du vil ha informasjon om hvor API- og SIEM-nøklene opprettes, kan du se delen Generer API og SIEM-nøkler ovenfor.
9. Oppdater siem_connector_id og siem_api_key i henhold til SIEM-typens API-ID og SIEM-typens API-hemmelige nøkkel.
   
   Merk: Hvis du vil ha informasjon om hvor API- og SIEM-nøklene opprettes, kan du se delen Generer API og SIEM-nøkler ovenfor.
10. Lagre filen ved å holde CTRL, og trykk deretter X. Bekreft for å lagre filen ved å trykke på Y.
    
11. Bekreft filnavnet ved å trykke ENTER.
    

Administratorer må teste og deretter validere utdataene fra syslog-koblingen. Klikk på den aktuelle prosessen for å få mer informasjon.

Prøve

1. Åpne Terminal fra Linux-serveren.
2. Skriv inn sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] , og trykk deretter Enter.
   Merk:

   • [VER] = Versjon av Python
   • [INSTALLDIRECTORY] = Katalogen der syslog-koblingen er installert
   • [LOGFILELOCATION] = Plasseringen av loggfilen
   • [CONFIGFILELOCATION] = Plasseringen av konfigurasjonsfilen

Eksempel:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Denne kommandoen utfører en engangskjøring av syslog-koblingen som er basert på den definerte konfigurasjonsfilen og utdata til den definerte loggfilen.

Når en testkjøring er utført, kontrollerer du utdataene basert på loggfilen som genereres i testalternativene. Kontroller loggfilen for å bekrefte at tilkoblingen er vellykket eller mislykket.

Validere

1. Åpne Terminal fra Linux-serveren.
2. Skriv inn cat [LOGFILELOCATION] , og trykk deretter Enter.
   Merk: [LOGFILELOCATION] = Plasseringen av loggfilen

Eksempel:

cat /tmp/cbsyslog-log.log

En vellykket kjøring returnerer et svar som ligner på følgende:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Den mottakende SIEM- eller Syslog-forekomsten sender ut eventuelle hendelser som har skjedd siden varselet ble opprettet i VMware Carbon Black Cloud-konsollen.

Kontroller i den konfigurerte SIEM- eller Syslog-serveren at informasjonen ble registrert på riktig måte. Dette varierer fra applikasjon til applikasjon.

Du kan utføre automatisering når du kjører syslog-kontakten for å hente informasjon regelmessig, med cron.

1. Generer et skript som skal brukes til automatiseringen ved å skrive sudo nano /tmp/cbsyslogrun.sh , og trykk deretter Enter.
   
   Merk: Eksemplet genererer et skallskript på /tmp/cbsyslogrun.sh.
2. Kopier valideringsskriptet som ble brukt i Validate-delen , og lim deretter inn skriptet i tekstredigeringsprogrammet.
   
3. Trykk på CTRL+X for å avslutte.
4. Trykk på J når du blir bedt om å lagre, og lagre endringene.
   
5. Oppdater skriptet slik at det kan kjøre som et skript ved å skrive inn sudo chmod a+x /tmp/cbsyslogrun.sh , og trykk deretter Enter.
   
6. Åpne crontab-filen for å legge til skriptet som en automatisert oppgave ved å skrive sudo crontab -e , og trykk deretter Enter.
7. Crontab utnytter en VI-basert syntaks for redigering av tekst. Trykk IN-tasten for å legge til tegn.
8. Skriv inn */[MINUTES] * * * * /tmp/cbsyslogrun.sh , og trykk deretter ESC for å avbryte tekstinnsettingsfasen.
   
   Merk:

   • [MINUTES] = Antall minutter å vente før du kjører kommandoen på nytt
   • I eksempelbildet kjører eksemplet hvert 15. minutt.
9. Trykk på kolon (:) for å skrive inn en kommando.
10. Skriv inn wq , og trykk deretter Enter for å skrive og avslutte crontab-redigeringsprogrammet.
11. Bekreft endringen ved å skrive sudo crontab -l , og trykk deretter Enter.
12. Kontroller at den planlagte oppgaven (trinn 7) vises i listen. Hvis oppgaven vises, konfigureres automatiseringen. Hvis oppgaven ikke vises, går du til trinn 13.
    
13. Skriv inn sudo systemctl start crond.service , og trykk deretter Enter.
14. Skriv inn sudo systemctl enable crond.service , og trykk deretter Enter.
15. Skriv inn sudo crontab -l , og trykk deretter Enter.
    
16. Kontroller at den planlagte oppgaven vises i listen.