Come installare e configurare Syslog Connector di VMware Carbon Black Cloud

Summary: Informazioni su come installare e configurare un connettore syslog VMware Carbon Black Cloud su un server basato su CentOS o Red Hat Enterprise Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Questo articolo illustra il processo di installazione, configurazione e convalida di Cloud Syslog Connector di VMware Carbon Black sui sistemi operativi basati su Red Hat Enterprise Linux.

Prodotti interessati:

  • VMware Carbon Black Cloud

L'amministrazione di più prodotti di sicurezza è semplificata grazie al trasferimento dei dati dalle piattaforme di sicurezza in una soluzione SIEM (Security Information and Event Management) centralizzata. Carbon Black consente di scaricare i dati tramite API, convertirli in formato syslog e quindi inoltrarli a un numero qualsiasi di soluzioni SIEM.

VMware Carbon Black Standard o versione successiva consente di configurare le API estraendo questi dati negli ambienti dei clienti, consentendo di eseguire set di regole avanzate e utilizzare i dati in dashboard personalizzati.

Syslog Connector di VMware Carbon Black supporta sistemi operativi Linux basati su RPM, come Red Hat Enterprise Linux o CentOS.

Per installare e configurare Syslog Connector, un amministratore deve innanzitutto soddisfare i prerequisiti, installare e quindi configurare il connettore. Successivamente, l'amministratore può convalidare e automatizzare Syslog Connector. Per maggiori informazioni, cliccare sulla procedura appropriata.

  1. Accedere al server Linux su cui è installato Syslog Connector mediante SSH.
    Nota: Per informazioni sulla connessione tramite SSH, consultare Protezione delle reti Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies..
  2. Verificare che il server sia aggiornato eseguendo sudo yum update.
  3. È necessario aggiungere un repository per installare PIP, in quanto PIP potrebbe non essere presente nei repository del sistema operativo core. Digitare sudo yum install epel-release e premere INVIO.
    Aggiunta di un repository
    Nota: Se epel-release non viene trovato, aggiungere il repository eseguendo i seguenti comandi:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Assicurarsi che il [VERSION] corrisponde alla versione di Red Hat Enterprise Linux o CentOS in esecuzione:
    • Se si esegue Red Hat Enterprise Linux 8 o CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Se si esegue Red Hat Enterprise Linux 7 o CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Digitare Y e premere INVIO.
  5. Installare PIP digitando sudo yum install python3 e premendo Invio.
    Installazione di PIP
  6. Installare le utilità di compilazione Python3 digitando sudo yum install gcc python3-devel e premendo Invio.
    Installazione delle utilità della build Python3
  7. Aggiornare tutti i pacchetti all'interno del sistema operativo host digitando sudo yum update e premendo Invio.
    Aggiornamento di tutti i pacchetti
  1. Accedere come account con accesso sudo sul server su cui viene installato il connettore.
  2. Aprire Terminale.
  3. Digitare pip3 install cbc-syslog e premere INVIO.
    Installazione del connettore
    Nota:
    • Questo esempio utilizza PIP3 su CentOS 8. Il comando può variare leggermente a seconda della versione di Python e, di conseguenza, della versione di PIP in uso.
    • In caso di installazione senza root, il percorso di installazione predefinito è:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • In caso di installazione con root, il percorso di installazione predefinito è:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Un amministratore deve configurare sia VMware Carbon Black Cloud sia Syslog Connector. Per maggiori informazioni, cliccare sulla procedura appropriata.

VMware Carbon Black Cloud

VMware Carbon Black Cloud deve essere configurato per l'utilizzo di Syslog Connector. Un amministratore deve prima generare le chiavi API e SIEM, quindi generare notifiche per l'API. Per maggiori informazioni, cliccare sulla procedura appropriata.

Generazione di chiavi API e SIEM

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Accesso a VMware Carbon Black Cloud
  3. Nel riquadro di sinistra espandere Settings e quindi cliccare su API Access.
    API Access
  4. Selezionare Add API Key.
    Add API Key
  5. Nel menu Add API Key :
    1. Compilare il campo Name.
    2. Compilare il campo Description.
    3. Selezionare un valore per Access Level type.
    4. Compilare il campo Authorized IP address con indirizzi esterni che devono richiedere informazioni da VMware Carbon Black Cloud.
    5. Cliccare su Save.
    Menu Add API Key
  6. Da credenziali API:
    1. Cliccare sull'icona degli Appunti a destra di API ID per copiare l'ID negli Appunti.
    2. Registrare l'ID API.
    3. Cliccare sull'icona degli Appunti a destra di API Secret Key per copiare la chiave negli Appunti.
    4. Registrare la chiave segreta API.
    5. Cliccare su X nell'angolo in alto a destra.
    Menu API Credentials
  7. Selezionare Add API Key.
    Add API Key
  8. Nel menu Add API Key :
    1. Compilare il campo Name.
    2. Compilare il campo Description.
    3. Selezionare un valore per Access Level type.
    4. Compilare il campo Authorized IP address con indirizzi esterni che devono richiedere informazioni da VMware Carbon Black Cloud.
    5. Cliccare su Save.
    Menu Add API Key
  9. Da credenziali API:
    1. Cliccare sull'icona degli Appunti a destra di API ID per copiare l'ID negli Appunti.
    2. Registrare l'ID API.
    3. Cliccare sull'icona degli Appunti a destra di API Secret Key per copiare la chiave negli Appunti.
    4. Registrare la chiave segreta API.
    5. Cliccare su X nell'angolo in alto a destra.
    Menu API Credentials

Generazione di notifiche per l'API

Le informazioni vengono inviate all'API configurata in precedenza tramite le notifiche impostate all'interno di VMware Carbon Black Cloud Console.

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Accesso a VMware Carbon Black Cloud
  3. Nel riquadro di sinistra espandere Settings e quindi cliccare su Notifications.
    Notifiche
  4. Cliccare su Add Notification.
    Add Notification
  5. Nel menu Add Notification :
    1. Compilare il campo Name.
    2. Scegliere un valore nel campo When do you want to be notified?
    3. Selezionare un valore appropriato per cui ricevere notifiche in Policy.
    4. Inserire un indirizzo nel campo Email a cui inviare le notifiche e, facoltativamente, selezionare Send only 1 email notification for each threat type per day.
    5. Compilare il campo API Keys con l'ID API generato in precedenza.
    6. Cliccare su Add.
    Menu Add Notification
    Nota: i clienti con Carbon Black Enterprise EDR possono inoltre specificare elenchi di controllo inviati tramite SIEM. Ciò consente un approccio più mirato alla raccolta di informazioni.

Syslog Connector

  1. Connettersi al server che ospita Syslog Connector tramite SSH.
    Nota:
    • Per informazioni sulla connessione tramite SSH tramite CentOS 8, consultare Protezione delle retiQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies..
    • Per informazioni sulla connessione tramite SSH con CentOS 7, consultare File diQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies. configurazione.
  2. Generare una directory di backup per l'output syslog digitando sudo mkdir /tmp/output/ e premere INVIO.
    Generazione di una directory di backup
  3. Creare il file di configurazione digitando sudo touch /tmp/cbsyslog-config.txt e premere INVIO.
    Creazione di un file di configurazione
  4. Creare il file di registro digitando sudo touch /tmp/cbsyslog-log.log e premere INVIO.
    Creazione di un file di registro
  5. Aprire il file di configurazione creato in precedenza utilizzando nano con privilegi sudo digitando sudo nano /tmp/cbsyslog-config.txt e premere INVIO.
    Apertura del file di configurazione
  6. Copiare il testo seguente e incollarlo nell'editor di testo. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Per inviare l'output tramite TCP, popolare l'host e la porta con output_type Impostare su TCP.
    Impostazione dell'output inviato a TCP
    Nota: l'immagine di esempio mostra le impostazioni oscurate.
  8. Aggiornare api_connector_id e api_key in base all'ID API del tipo di API e alla chiave segreta API del tipo di API.
    Aggiornamento di api_connector_id e api_key
    Nota: Per informazioni sulla posizione in cui vengono create le chiavi API e SIEM, fare riferimento alla precedente sezione Generare chiavi API e SIEM .
  9. Aggiornare siem_connector_id e siem_api_key in base all'ID API del tipo SIEM e alla chiave segreta API del tipo SIEM.
    Aggiornamento di siem_connector_id e siem_api_key
    Nota: Per informazioni sulla posizione in cui vengono create le chiavi API e SIEM, fare riferimento alla precedente sezione Generare chiavi API e SIEM .
  10. Salvare il file tenendo premuto CTRL, quindi premere X. Confermare per salvare il file premendo Y.
    Salvataggio del file
  11. Confermare il nome file premendo INVIO.
    Conferma del nome file

Gli amministratori devono testare e quindi convalidare l'output dal connettore syslog. Per maggiori informazioni, cliccare sulla procedura appropriata.

Test

  1. Dal server Linux aprire Terminale.
  2. Digitare sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] e premere INVIO.
    Nota:
    • [VER] = Versione di Python
    • [INSTALLDIRECTORY] = directory in cui è installato il connettore syslog
    • [LOGFILELOCATION] = Percorso del file di log
    • [CONFIGFILELOCATION] = Posizione del file di configurazione

Esempio:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Test dell'output
Questo comando effettua un'esecuzione una tantum di Syslog Connector basato sul file di configurazione definito e sugli output del file di registro definito.

Una volta eseguito un test, controllare l'output in base al file di registro generato nelle opzioni di test. Esaminare il file di registro per confermare l'esito positivo o negativo della connessione.

Convalida

  1. Dal server Linux aprire Terminale.
  2. Digitare cat [LOGFILELOCATION] e premere INVIO.
    Nota: [LOGFILELOCATION] = Percorso del file di log

Esempio:

cat /tmp/cbsyslog-log.log

Una corretta esecuzione restituisce una risposta simile a:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Risposta di esempio

L'istanza SIEM o Syslog ricevente genera un output di tutti gli eventi che si sono verificati dopo la creazione della notifica all'interno di VMware Carbon Black Cloud Console.

Verificare all'interno del server SIEM o Syslog configurato che le informazioni siano state acquisite correttamente. L'operazione varia a seconda dell'applicazione.

L'automazione dell'esecuzione di Syslog Connector per il pull regolare delle informazioni può essere eseguita con cron.

  1. Generare uno script da utilizzare per l'automazione digitando sudo nano /tmp/cbsyslogrun.sh e premere INVIO.
    Generazione di uno script per l'automazione
    Nota: L'esempio genera uno script di shell di /tmp/cbsyslogrun.sh.
  2. Copiare lo script di convalida utilizzato all'interno della sezione Convalida, quindi incollarlo nell'editor di testo.
    Script incollato
  3. Premere CTRL+X per uscire.
  4. Quando viene visualizzato il messaggio di salvataggio, premere Y per continuare e salvare le modifiche.
    Salvataggio delle modifiche
  5. Aggiornare lo script per consentirne l'esecuzione come script digitando sudo chmod a+x /tmp/cbsyslogrun.sh e premere INVIO.
    Aggiornamento dello script
  6. Aprire il file crontab per aggiungere lo script come attività automatizzata digitando sudo crontab -e e premere INVIO.
  7. Crontab sfrutta una sintassi basata su VI per la modifica del testo. Premere il tasto INS per aggiungere caratteri.
  8. Digitare */[MINUTES] * * * * /tmp/cbsyslogrun.sh e quindi premere ESC per annullare la fase di inserimento del testo.
    Aggiunta di caratteri
    Nota:
    • [MINUTES] = Numero di minuti di attesa prima di eseguire nuovamente il comando
    • Nell'immagine, l'esempio viene eseguito ogni 15 minuti.
  9. Premere il tasto dei due punti (:) per inserire un comando.
  10. Digitare wq e quindi premere Invio per scrivere e uscire dall'editor crontab.
  11. Confermare la modifica digitando sudo crontab -l e premere INVIO.
  12. Verificare che l'attività pianificata (passaggio 7) sia visualizzata nell'elenco. Se l'attività viene visualizzata, l'automazione è configurata. Se l'attività non viene visualizzata, andare al passaggio 13.
    Verifica dell'attività pianificata
  13. Digitare sudo systemctl start crond.service e premere INVIO.
  14. Digitare sudo systemctl enable crond.service e premere INVIO.
  15. Digitare sudo crontab -l e premere INVIO.
    Verifica dell'attività pianificata una seconda volta
  16. Verificare che l'attività pianificata sia visualizzata nell'elenco.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.