Cómo instalar y configurar un conector de registro del sistema de VMware Carbon Black Cloud

1. Inicie sesión en el servidor Linux en el que se instalará el conector de registro del sistema mediante SSH.
   Nota: Para obtener información sobre cómo conectarse a través de SSH, consulte Protección de redes .
2. Ejecute lo siguiente para validar que el servidor esté actualizado: sudo yum update.
3. Se debe agregar un repositorio para instalar PIP, ya que es posible que PIP no esté en los repositorios principales del sistema operativo. Tipo sudo yum install epel-release y, luego, presione Intro.
   
   Nota: Si la solicitud en epel-release no se encuentra, agregue el repositorio mediante la ejecución de los siguientes comandos:

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   Asegúrese de que el [VERSION] coincide con la versión de Red Hat Enterprise Linux o CentOS que está ejecutando:

   • Si ejecuta Red Hat Enterprise Linux 8 o CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • Si ejecuta Red Hat Enterprise Linux 7 o CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. Tipo Y y, luego, presione Intro.
5. Para instalar PIP, escriba sudo yum install python3 y, a continuación, presione Intro.
   
6. Instale las utilidades de compilación de Python3 escribiendo sudo yum install gcc python3-devel y, a continuación, presione Intro.
   
7. Actualice todos los paquetes dentro del sistema operativo del host; para ello, escriba: sudo yum update y, a continuación, presione Intro.
   

1. Inicie sesión como una cuenta con acceso sudo en el servidor en el que se instalará el conector.
2. Abra Terminal.
3. Tipo pip3 install cbc-syslog y, luego, presione Intro.
   
   Nota:

   • En este ejemplo, se aprovecha PIP3 en CentOS 8. El comando puede variar un poco según la versión de Python y, lo que da como resultado la versión de PIP que se va a utilizar.
   • Si se realiza la instalación sin raíz, la ubicación de instalación predeterminada es la siguiente:
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • Si realiza la instalación con raíz, la ubicación de instalación predeterminada es la siguiente:
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

Un administrador debe configurar VMware Carbon Black Cloud y el conector de registro del sistema. Haga clic en el proceso correspondiente para obtener más información.

VMware Carbon Black Cloud

VMware Carbon Black Cloud debe estar configurado para utilizar el conector de registro del sistema. En primer lugar, un administrador debe generar claves de API y SIEM y, a continuación, generar notificaciones para la API. Haga clic en el proceso correspondiente para obtener más información.

Generar claves de API y SIEM

1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
   Nota: [REGION] = Región del grupo de usuarios

   • América = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Asia-Pacífico = https://defense-prodnrt.conferdeploy.net/
   • Australia y Nueva Zelanda = https://defense-prodsyd.conferdeploy.net
2. Sign In en VMware Carbon Black Cloud.
   
3. En el panel del menú izquierdo, expanda Settings y, a continuación, haga clic en API Access.
   
4. Seleccione Add API Key.
   
5. En el menú Add API Key :
   1. Ingrese el nombre.
   2. Ingrese una descripción.
   3. Seleccione un tipo de nivel de acceso.
   4. Ingrese las direcciones IP autorizadas externas que deben solicitar información de VMware Carbon Black Cloud.
   5. Haga clic en Guardar.
   
6. Desde las credenciales de la API:
   1. Haga clic en el icono del portapapeles a la derecha del ID de API para copiar el ID en el portapapeles.
   2. Registre el ID de API.
   3. Haga clic en el icono del portapapeles a la derecha de la clave secreta de API para copiar la clave en el portapapeles.
   4. Registre la clave secreta de API.
   5. Haga clic en la X de la esquina superior derecha.
   
7. Seleccione Add API Key.
   
8. En el menú Add API Key :
   1. Ingrese el nombre.
   2. Ingrese una descripción.
   3. Seleccione un tipo de nivel de acceso.
   4. Ingrese las direcciones IP autorizadas externas que deben solicitar información de VMware Carbon Black Cloud.
   5. Haga clic en Guardar.
   
9. Desde las credenciales de la API:
   1. Haga clic en el icono del portapapeles a la derecha del ID de API para copiar el ID en el portapapeles.
   2. Registre el ID de API.
   3. Haga clic en el icono del portapapeles a la derecha de la clave secreta de API para copiar la clave en el portapapeles.
   4. Registre la clave secreta de API.
   5. Haga clic en la X de la esquina superior derecha.
   

Generar notificaciones para la API

La información se envía a la API configurada anteriormente a través de notificaciones que se establecen dentro de la consola VMware Carbon Black Cloud.

1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
   Nota: [REGION] = Región del grupo de usuarios

   • América = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Asia-Pacífico = https://defense-prodnrt.conferdeploy.net/
   • Australia y Nueva Zelanda = https://defense-prodsyd.conferdeploy.net
2. Sign In en VMware Carbon Black Cloud.
   
3. En el panel del menú izquierdo, expanda Settings y, a continuación, haga clic en Notifications.
   
4. Haga clic en Agregar notificación.
   
5. En el menú Agregar notificación :
   1. Ingrese el nombre.
   2. Determine cuándo desea recibir una notificación.
   3. Seleccione la política adecuada para la notificación.
   4. Ingrese un correo electrónico al que se le notificará y, de manera opcional, seleccione Send only 1 email for each threat type per day.
   5. Complete las claves de API con el ID de API que se generó anteriormente.
   6. Haga clic en Add (Agregar).
   
   Nota: Los clientes con Carbon Black Enterprise EDR también pueden especificar listas de control que se envían a través de SIEM. Esto permite un enfoque más específico para la recopilación de información.

Conector de registro del sistema

1. Conéctese al servidor que aloja el conector de registro del sistema mediante SSH.
   Nota:

   • Para obtener información sobre cómo conectarse a través de SSH mediante CentOS 8, consulte Protección de redes.
   • Para obtener información sobre la conexión a través de SSH con CentOS 7, consulte Archivos de configuración.
2. Escriba lo siguiente para generar un directorio de respaldo para la salida del registro del sistema: sudo mkdir /tmp/output/ y, luego, presione Intro.
   
3. Para crear el archivo de configuración, escriba lo siguiente: sudo touch /tmp/cbsyslog-config.txt y, luego, presione Intro.
   
4. Para crear el archivo de registro, escriba lo siguiente: sudo touch /tmp/cbsyslog-log.log y, luego, presione Intro.
   
5. Abra el archivo de configuración creado anteriormente mediante nano con privilegios sudo; para ello, escriba: sudo nano /tmp/cbsyslog-config.txt y, luego, presione Intro.
   
6. Copie el siguiente texto y, a continuación, péguelo en el editor de texto.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. Para que la salida se envíe mediante TCP, complete el host y el puerto con output_type Establézcalo en TCP.
   
   Nota: En la imagen de ejemplo, se redactaron los ajustes.
8. Actualice api_connector_id y api_key según el ID de API del tipo de API y la clave secreta de API del tipo de API.
   
   Nota: Para obtener información sobre dónde se crean las claves API y SIEM, consulte la sección anterior Generar claves API y SIEM .
9. Actualice siem_connector_id y siem_api_key según el ID de API del tipo SIEM y la clave secreta de API del tipo SIEM.
   
   Nota: Para obtener información sobre dónde se crean las claves API y SIEM, consulte la sección anterior Generar claves API y SIEM .
10. Guarde el archivo manteniendo presionada la tecla CTRL y, luego, presione X. Confirme para guardar el archivo presionando Y.
    
11. Para confirmar el nombre de archivo, presione Intro.
    

Los administradores deben probar y, a continuación, validar el resultado desde el conector del registro del sistema. Haga clic en el proceso correspondiente para obtener más información.

Prueba

1. En el servidor Linux, abra Terminal.
2. Tipo sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] y, luego, presione Intro.
   Nota:

   • [VER] = versión de Python
   • [INSTALLDIRECTORY] = directorio donde está instalado el conector de registro del sistema
   • [LOGFILELOCATION] = ubicación del archivo de registro
   • [CONFIGFILELOCATION] = ubicación del archivo de configuración

Ejemplo:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Este comando realiza una ejecución única del conector de registro del sistema que se basa en el archivo de configuración definido y las salidas al archivo de registro definido.

Una vez que se realice una ejecución de prueba, inspeccione la salida según el archivo de registro que se genera en las opciones de prueba. Inspeccione el archivo de registro para confirmar si la conexión se realizó correctamente o no.

Validar

1. En el servidor Linux, abra Terminal.
2. Tipo cat [LOGFILELOCATION] y, luego, presione Intro.
   Nota: [LOGFILELOCATION] = ubicación del archivo de registro

Ejemplo:

cat /tmp/cbsyslog-log.log

Una ejecución correcta devuelve una respuesta similar a la siguiente:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

La instancia receptora SIEM o de registro del sistema genera cualquier evento que se haya producido desde que se creó la notificación en la consola VMware Carbon Black Cloud.

Valide en el servidor SIEM o de registro del sistema configurado que la información se capturó correctamente. Esto varía según cada aplicación.

La automatización de la ejecución del conector de registro del sistema para extraer información regularmente se puede realizar con cron.

1. Genere un script que se utilizará para la automatización escribiendo sudo nano /tmp/cbsyslogrun.sh y, luego, presione Intro.
   
   Nota: En el ejemplo, se genera un script de shell de /tmp/cbsyslogrun.sh.
2. Copie el script de validación que se utilizó en la sección Validate y, a continuación, pegue ese script en el editor de texto.
   
3. Presione CTRL + X para salir.
4. Cuando guarde desde el símbolo del sistema, presione Y para continuar; esto guarda los cambios.
   
5. Actualice el script para permitir que se ejecute como un script escribiendo sudo chmod a+x /tmp/cbsyslogrun.sh y, luego, presione Intro.
   
6. Abra el archivo crontab para agregar el script como una tarea automatizada; para ello, escriba: sudo crontab -e y, luego, presione Intro.
7. Crontab aprovecha una sintaxis basada en VI para editar texto. Presione la tecla Insert para agregar caracteres.
8. Tipo */[MINUTES] * * * * /tmp/cbsyslogrun.sh y, a continuación, pulse ESC para cancelar la fase de inserción de texto.
   
   Nota:

   • [MINUTES] = cantidad de minutos de espera antes de volver a ejecutar el comando
   • En la imagen de ejemplo, el ejemplo se ejecuta cada 15 minutos.
9. Presione la tecla de dos puntos (:) para ingresar un comando.
10. Tipo wq y, a continuación, presione Intro para escribir y salir del editor de crontab.
11. Para confirmar el cambio, escriba sudo crontab -l y, luego, presione Intro.
12. Verifique que la tarea programada (Paso 7) aparezca en la lista. Si aparece la tarea, se configura la automatización. Si no aparece la tarea, vaya al Paso 13.
    
13. Tipo sudo systemctl start crond.service y, luego, presione Intro.
14. Tipo sudo systemctl enable crond.service y, luego, presione Intro.
15. Tipo sudo crontab -l y, luego, presione Intro.
    
16. Verifique que la tarea programada aparezca en la lista.