Anleitung zum Installieren und Konfigurieren eines VMware Carbon Black Cloud Syslog Connector

Summary: Erfahren Sie, wie Sie einen VMware Carbon Black Cloud Syslog-Konnektor auf einem CentOS- oder Red Hat Enterprise Linux-basierten Server installieren und konfigurieren.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In diesem Artikel wird der Prozess der Installation, Konfiguration und Validierung des VMware Carbon Black Cloud Syslog Connector auf Red Hat Enterprise Linux-basierten Betriebssystemen beschrieben.

Betroffene Produkte:

  • VMware Carbon Black Cloud

Die Verwaltung mehrerer Sicherheitsprodukte wird vereinfacht, indem Daten von Sicherheitsplattformen in eine zentrale SIEM-Lösung (Security Information and Event Management) übertragen werden. Carbon Black ermöglicht es, Daten über APIs herunterzuladen, in das Syslog-Format zu konvertieren und dann an eine beliebige Anzahl von SIEM-Lösungen weiterzuleiten.

VMware Carbon Black Standard oder höher ermöglicht die Konfiguration von APIs und das Abrufen dieser Daten in Kundenumgebungen, sodass erweiterte Regelsätze und die Nutzung von Daten in benutzerdefinierten Dashboards möglich sind.

Der Syslog Connector von VMware Carbon Black unterstützt RPM-basierte Linux-Betriebssysteme wie Red Hat Enterprise Linux oder CentOS.

Um den Syslog Connector zu installieren und zu konfigurieren, muss ein Administrator zuerst die Voraussetzungen für den Connector erfüllen, ihn installieren und dann konfigurieren. Danach kann der Administrator den Syslog Connector validieren und automatisieren. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

  1. Melden Sie sich bei dem Linux Server an, auf dem der Syslog Connector unter Verwendung von SSH installiert wird.
    Hinweis: Informationen zum Herstellen einer Verbindung über SSH finden Sie unter Sichern von Netzwerken Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..
  2. Überprüfen Sie, ob der Server auf dem neuesten Stand ist, indem Sie Folgendes ausführen: sudo yum updateübergeben.
  3. Zur Installation von PIP muss ein Repository hinzugefügt werden, da sich PIP möglicherweise nicht in den Core-Betriebssystem-Repositorys befindet. Geben Sie sudo yum install epel-release ein, und drücken Sie anschließend die Eingabetaste.
    Hinzufügen eines Repositorys
    Hinweis: Wenn die epel-release nicht gefunden wird, fügen Sie das Repository hinzu, indem Sie die folgenden Befehle ausführen:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Stellen Sie sicher, dass die [VERSION] entspricht der Version von Red Hat Enterprise Linux oder CentOS, die Sie ausführen:
    • Wenn Red Hat Enterprise Linux 8 oder CentOS 8 ausgeführt wird: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Wenn Red Hat Enterprise Linux 7 oder CentOS 7 ausgeführt wird: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Geben Sie Y ein, und drücken Sie anschließend die Eingabetaste.
  5. Installieren Sie PIP, indem Sie Folgendes eingeben: sudo yum install python3 und drücken Sie dann die Eingabetaste.
    Installieren von PIP
  6. Installieren Sie Python3-Build-Dienstprogramme, indem Sie Folgendes eingeben: sudo yum install gcc python3-devel und drücken Sie dann die Eingabetaste.
    Installieren von Python3-Build-Dienstprogrammen
  7. Aktualisieren Sie alle Pakete innerhalb des Hostbetriebssystems, indem Sie Folgendes eingeben: sudo yum update und drücken Sie dann die Eingabetaste.
    Aktualisieren aller Pakete
  1. Melden Sie sich als Konto mit sudo-Zugriff auf dem Server an, auf dem der Connector installiert wird.
  2. Öffnen Sie Terminal.
  3. Geben Sie pip3 install cbc-syslog ein, und drücken Sie anschließend die Eingabetaste.
    Installieren des Connectors
    Hinweis:
    • In diesem Beispiel wird PIP3 auf CentOS 8 genutzt. Der Befehl kann je nach Version von Python und daher der verwendeten PIP-Version leicht variieren.
    • Wenn Sie ohne „root“ installieren, lautet der Standardinstallationsspeicherort:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Bei der Installation mit „root“ lautet der Standardinstallationsspeicherort:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Ein Administrator muss sowohl VMware Carbon Black Cloud als auch den Syslog Connector selbst konfigurieren. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

VMware Carbon Black Cloud

VMware Carbon Black Cloud muss so konfiguriert sein, dass der Syslog Connector verwendet wird. Ein Administrator muss zuerst API- und SIEM-Schlüssel erzeugen und dann Benachrichtigungen für API erzeugen. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Erzeugen von API- und SIEM-Schlüsseln

  1. Navigieren Sie in einem Webbrowser zu [REGION].conferdeploy.net.
    Hinweis: [REGION] = Region des Mandanten
  2. Melden Sie sich bei der VMware Carbon Black Cloud an.
    Bei VMware Carbon Black Cloud anmelden
  3. Klicken Sie im linken Menübereich auf Settings und dann auf API Access.
    API-Zugriff
  4. Wählen Sie Add API Keyaus.
    API-Schlüssel hinzufügen
  5. Im Menü API-Schlüssel hinzufügen :
    1. Geben Sie im Feld Name einen Namen ein.
    2. Geben Sie im Feld Description eine Beschreibung ein.
    3. Wählen Sie im Feld Access Level Type die Art der Zugriffsebene aus.
    4. Geben Sie im Feld Authorized IP addresses externe autorisierte IP-Adressen ein, die Informationen von VMware Carbon Black Cloud anfordern sollen.
    5. Klicken Sie auf Save.
    Menü „Add API Key“
  6. Von API-Zugangsdaten:
    1. Klicken Sie auf das Zwischenablagesymbol rechts neben der API-ID, um die ID in die Zwischenablage zu kopieren.
    2. Notieren Sie sich die API-ID.
    3. Klicken Sie auf das Zwischenablagesymbol rechts neben dem API Secret Key, um den Schlüssel in die Zwischenablage zu kopieren.
    4. Notieren Sie sich den geheimen API-Schlüssel.
    5. Klicken Sie in der rechten oberen Ecke auf das X.
    Menü „API-Zugangsdaten“
  7. Wählen Sie Add API Keyaus.
    API-Schlüssel hinzufügen
  8. Im Menü API-Schlüssel hinzufügen :
    1. Geben Sie im Feld Name einen Namen ein.
    2. Geben Sie im Feld Description eine Beschreibung ein.
    3. Wählen Sie im Feld Access Level Type die Art der Zugriffsebene aus.
    4. Geben Sie im Feld Authorized IP addresses externe autorisierte IP-Adressen ein, die Informationen von VMware Carbon Black Cloud anfordern sollen.
    5. Klicken Sie auf Save.
    Menü „Add API Key“
  9. Von API-Zugangsdaten:
    1. Klicken Sie auf das Zwischenablagesymbol rechts neben der API-ID, um die ID in die Zwischenablage zu kopieren.
    2. Notieren Sie sich die API-ID.
    3. Klicken Sie auf das Zwischenablagesymbol rechts neben dem API Secret Key, um den Schlüssel in die Zwischenablage zu kopieren.
    4. Notieren Sie sich den geheimen API-Schlüssel.
    5. Klicken Sie in der rechten oberen Ecke auf das X.
    Menü „API-Zugangsdaten“

Erzeugen von Benachrichtigungen für API

Informationen werden über Benachrichtigungen, die in der VMware Carbon Black Cloud-Konsole festgelegt sind, an die zuvor konfigurierte API gesendet.

  1. Navigieren Sie in einem Webbrowser zu [REGION].conferdeploy.net.
    Hinweis: [REGION] = Region des Mandanten
  2. Melden Sie sich bei der VMware Carbon Black Cloud an.
    Bei VMware Carbon Black Cloud anmelden
  3. Klicken Sie im linken Menübereich auf Settings und dann auf Notifications.
    Benachrichtigungen
  4. Klicken Sie auf Benachrichtigung hinzufügen.
    Benachrichtigung hinzufügen
  5. Im Menü " Benachrichtigung hinzufügen ":
    1. Geben Sie im Feld Name einen Namen ein.
    2. Legen Sie im Feld When do you want to be notified fest, wann Sie benachrichtigt werden wollen.
    3. Wählen Sie die entsprechende Policy aus, über die Sie benachrichtigt werden wollen.
    4. Geben Sie eine E-Mail-Adresse ein, über die Sie die Benachrichtigungen erhalten möchten, und wählen Sie optional Send only 1 email for each threat type per day aus.
    5. Generieren Sie die API Keys mit der zuvor erzeugten API-ID.
    6. Klicken Sie auf Hinzufügen.
    Menü „Benachrichtigung hinzufügen“
    Hinweis: Kunden mit Carbon Black Enterprise EDR können auch Beobachtungslisten angeben, die über SIEM gesendet werden. Dies ermöglicht einen zielgerichteteren Ansatz für die Informationserfassung.

Syslog Connector

  1. Stellen Sie über SSH eine Verbindung mit dem Server her, auf dem der Syslog Connector gehostet wird.
    Hinweis:
  2. Erzeugen Sie ein Backupverzeichnis für die Syslog-Ausgabe, indem Sie Folgendes eingeben: sudo mkdir /tmp/output/ ein, und drücken Sie anschließend die Eingabetaste.
    Erstellen eines Backupverzeichnisses
  3. Erstellen Sie die Konfigurationsdatei, indem Sie Folgendes eingeben: sudo touch /tmp/cbsyslog-config.txt ein, und drücken Sie anschließend die Eingabetaste.
    Erstellen einer Konfigurationsdatei
  4. Erstellen Sie die Protokolldatei, indem Sie Folgendes eingeben: sudo touch /tmp/cbsyslog-log.log ein, und drücken Sie anschließend die Eingabetaste.
    Erstellen einer Protokolldatei
  5. Öffnen Sie die zuvor erstellte Konfigurationsdatei mit nano mit sudo-Berechtigungen, indem Sie Folgendes eingeben: sudo nano /tmp/cbsyslog-config.txt ein, und drücken Sie anschließend die Eingabetaste.
    Öffnen der Konfigurationsdatei
  6. Kopieren Sie den folgenden Text und fügen Sie ihn dann in den Texteditor ein. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Damit die Ausgabe über TCP gesendet wird, füllen Sie den Host und Port mit output_type Festlegen auf TCPübergeben.
    Einstellen der an TCP gesendeten Ausgabe
    Hinweis: Im Beispielbild sind die Einstellungen geschwärzt.
  8. Aktualisieren Sie api_connector_id und api_key entsprechend der API-ID des API-Typs und dem geheimen API-Schlüssel des API-Typs.
    Aktualisieren von api_connector_id und api_key
    Hinweis: Weitere Informationen dazu, wo die API- und SIEM-Schlüssel erstellt werden, finden Sie oben im Abschnitt API- und SIEM-Schlüssel erzeugen .
  9. Aktualisieren Sie siem_connector_id und siem_api_key entsprechend der API-ID des SIEM-Typs und dem geheimen API-Schlüssel des SIEM-Typs.
    Aktualisieren von siem_connector_id und siem_api_key
    Hinweis: Weitere Informationen dazu, wo die API- und SIEM-Schlüssel erstellt werden, finden Sie oben im Abschnitt API- und SIEM-Schlüssel erzeugen .
  10. Speichern Sie die Datei, indem Sie die STRG-Taste gedrückt halten und dann X drücken. Bestätigen Sie, um die Datei zu speichern, indem Sie Yübergeben.
    Speichern der Datei
  11. Bestätigen Sie den Dateinamen, indem Sie die Eingabetaste drücken.
    Bestätigen des Dateinamens

Administratoren müssen die Ausgabe des Syslog-Konnektors testen und dann validieren . Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Test

  1. Öffnen Sie über den Linux-Server Terminal.
  2. Geben Sie sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] ein, und drücken Sie anschließend die Eingabetaste.
    Hinweis:
    • [VER] = Version von Python
    • [INSTALLDIRECTORY] = Verzeichnis, in dem der Syslog Connector installiert ist
    • [LOGFILELOCATION] = Speicherort der Protokolldatei
    • [CONFIGFILELOCATION] = Speicherort der Konfigurationsdatei

Beispiel:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Testen der Ausgabe
Dieser Befehl führt eine einmalige Ausführung des Syslog Connector aus, der auf der definierten Konfigurationsdatei basiert und in die definierte Protokolldatei ausgegeben wird.

Sobald ein Test ausgeführt wurde, überprüfen Sie die Ausgabe basierend auf der Protokolldatei, die in den Testoptionen erzeugt wurde. Überprüfen Sie die Protokolldatei, um den Erfolg oder Fehlschlag der Verbindung zu bestätigen.

Validieren

  1. Öffnen Sie über den Linux Server „Terminal“.
  2. Geben Sie cat [LOGFILELOCATION] ein, und drücken Sie anschließend die Eingabetaste.
    Hinweis: [LOGFILELOCATION] = Speicherort der Protokolldatei

Beispiel:

cat /tmp/cbsyslog-log.log

Eine erfolgreiche Ausführung gibt eine Antwort zurück, die der folgenden ähnelt:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Beispielantwort:

Die empfangende SIEM- oder Syslog-Instanz gibt alle Ereignisse aus, die seit der Erstellung der Benachrichtigung in der VMware Carbon Black Cloud-Konsole aufgetreten sind.

Überprüfen Sie innerhalb des konfigurierten SIEM- oder Syslog-Servers, ob die Informationen ordnungsgemäß erfasst wurden. Dies variiert je nach Anwendung.

Die Automatisierung der Ausführung des Syslog Connector zum regelmäßigen Abrufen von Informationen kann mit cron durchgeführt werden.

  1. Generieren Sie ein Skript, das für die Automatisierung verwendet werden soll, indem Sie Folgendes eingeben: sudo nano /tmp/cbsyslogrun.sh ein, und drücken Sie anschließend die Eingabetaste.
    Erstellen eines Skripts für die Automatisierung
    Hinweis: Im Beispiel wird ein Shell-Skript von /tmp/cbsyslogrun.shübergeben.
  2. Kopieren Sie das Validierungsskript , das im Abschnitt "Validate " verwendet wurde, und fügen Sie das Skript dann in den Texteditor ein.
    Einfügen des Skripts
  3. Drücken Sie ctrl+ X, um den Vorgang zu beenden.
  4. Drücken Sie bei Aufforderung zum Speichern die Taste Y, um fortzufahren, und speichern Sie die Änderungen.
    Speichern der Änderungen
  5. Aktualisieren Sie das Skript, damit es als Skript ausgeführt werden kann, indem Sie Folgendes eingeben: sudo chmod a+x /tmp/cbsyslogrun.sh ein, und drücken Sie anschließend die Eingabetaste.
    Aktualisieren des Skripts
  6. Öffnen Sie die Crontab-Datei, um das Skript als automatisierte Aufgabe hinzuzufügen, indem Sie Folgendes eingeben: sudo crontab -e ein, und drücken Sie anschließend die Eingabetaste.
  7. Crontab verwendet eine VI-basierte Syntax für die Textbearbeitung. Drücken Sie die Einfügen-Taste, um Zeichen hinzuzufügen.
  8. Geben Sie */[MINUTES] * * * * /tmp/cbsyslogrun.sh und drücken Sie dann ESC, um die Texteinfügephase abzubrechen.
    Hinzufügen von Zeichen
    Hinweis:
    • [MINUTES] = Anzahl der Minuten, die verstreichen müssen, bevor der Befehl erneut ausgeführt wird.
    • Im Beispielbild wird das Beispiel alle 15 Minuten ausgeführt.
  9. Drücken Sie auf die Doppelpunkt-Taste (:), um einen Befehl einzugeben.
  10. Geben Sie wq und drücken Sie dann die Eingabetaste, um den Crontab-Editor zu schreiben und zu beenden.
  11. Bestätigen Sie die Änderung, indem Sie Folgendes eingeben: sudo crontab -l ein, und drücken Sie anschließend die Eingabetaste.
  12. Überprüfen Sie, ob die geplante Aufgabe (Schritt 7) in der Liste angezeigt wird. Wenn die Aufgabe angezeigt wird, wird die Automatisierung konfiguriert. Wenn die Aufgabe nicht geöffnet wird, fahren Sie mit Schritt 13 fort.
    Überprüfen der geplanten Aufgabe
  13. Geben Sie sudo systemctl start crond.service ein, und drücken Sie anschließend die Eingabetaste.
  14. Geben Sie sudo systemctl enable crond.service ein, und drücken Sie anschließend die Eingabetaste.
  15. Geben Sie sudo crontab -l ein, und drücken Sie anschließend die Eingabetaste.
    Zweites Überprüfen der geplanten Aufgabe
  16. Überprüfen Sie, ob die geplante Aufgabe in der Liste angezeigt wird.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.