VMware Carbon Black Cloud syslog 커넥터 설치 및 구성 방법

1. SSH를 사용하여 syslog 커넥터가 설치되는 Linux 서버에 로그인합니다.
   참고: SSH를 통한 연결에 대한 정보는 네트워크 보안을 참조하십시오.
2. 다음을 실행하여 서버가 최신 상태인지 확인합니다. sudo yum update명령을 입력합니다.
3. PIP가 핵심 운영 체제 리포지토리에 없을 수 있으므로 PIP를 설치하려면 리포지토리를 추가해야 합니다. 다음을 sudo yum install epel-release 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
   참고: 만약 epel-release 를 찾을 수 없는 경우 다음 명령을 실행하여 리포지토리를 추가합니다.

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   다음 사항을 확인합니다. [VERSION] 실행 중인 Red Hat Enterprise Linux 또는 CentOS 릴리스와 일치합니다.

   • Red Hat Enterprise Linux 8 또는 CentOS 8을 실행하는 경우: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • Red Hat Enterprise Linux 7 또는 CentOS 7을 실행하는 경우: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. 다음을 Y 를 입력하여 파일을 분석한 후 키를 누릅니다.
5. 다음을 입력하여 PIP를 설치합니다. sudo yum install python3 그런 다음 Enter 키를 누릅니다.
   
6. 다음을 입력하여 Python3 빌드 유틸리티를 설치합니다. sudo yum install gcc python3-devel 그런 다음 Enter 키를 누릅니다.
   
7. 다음을 입력하여 호스트 운영 체제 내의 모든 패키지를 업데이트합니다. sudo yum update 그런 다음 Enter 키를 누릅니다.
   

1. 커넥터가 설치되는 서버에서 sudo 액세스 권한이 있는 계정으로 로그인합니다.
2. Terminal을 엽니다.
3. 다음을 pip3 install cbc-syslog 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
   참고:

   • 이 예에서는 CentOS 8에서 PIP3를 활용합니다. 이 명령은 Python 버전에 따라 약간 다를 수 있으며, 따라서 사용 중인 PIP 버전에 따라 달라집니다.
   • 루트 권한 없이 설치하는 경우 기본 설치 위치는 다음과 같습니다.
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • 루트 권한으로 설치하는 경우 기본 설치 위치는 다음과 같습니다.
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

관리자는 VMware Carbon Black Cloud 및 syslog 커넥터를 모두 구성해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

VMware Carbon Black Cloud

syslog 커넥터를 사용하도록 VMware Carbon Black Cloud를 구성해야 합니다. 관리자는 먼저 API 및 SIEM 키를 생성한 다음 API용 알림을 생성해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

API 및 SIEM 키 생성

1. 웹 브라우저에서 [REGION].conferdeploy.net으로 이동합니다.
   참고: [REGION] = 테넌트 지역

   • 미주 = https://defense-prod05.conferdeploy.net/
   • 유럽 = https://defense-eu.conferdeploy.net/
   • 아시아 태평양 = https://defense-prodnrt.conferdeploy.net/
   • 호주 및 뉴질랜드 = https://defense-prodsyd.conferdeploy.net
2. VMware Carbon Black Cloud에 로그인합니다.
   
3. 왼쪽 메뉴 창에서 Settings를 확장한 다음 API Access를 클릭합니다.
   
4. Add API Key를 선택합니다.
   
5. API 키 추가 메뉴에서 다음을 수행합니다.
   1. Name에 이름을 입력합니다.
   2. Description에 설명을 입력합니다.
   3. Access Level type을 선택합니다.
   4. VMware Carbon Black Cloud에서 정보를 요청해야 하는 외부 Authorized IP addresses를 입력합니다.
   5. Save를 클릭합니다.
   
6. API 자격 증명에서:
   1. API ID 오른쪽에 있는 클립보드 아이콘을 클릭하여 ID를 클립보드에 복사합니다.
   2. API ID를 기록합니다.
   3. API Secret Key 오른쪽에 있는 클립보드 아이콘을 클릭하여 키를 클립보드에 복사합니다.
   4. API 시크릿 키를 기록합니다.
   5. 오른쪽 상단 모서리에 있는 X를 클릭합니다.
   
7. Add API Key를 선택합니다.
   
8. API 키 추가 메뉴에서 다음을 수행합니다.
   1. Name에 이름을 입력합니다.
   2. Description에 설명을 입력합니다.
   3. Access Level type을 선택합니다.
   4. VMware Carbon Black Cloud에서 정보를 요청해야 하는 외부 Authorized IP addresses를 입력합니다.
   5. Save를 클릭합니다.
   
9. API 자격 증명에서:
   1. API ID 오른쪽에 있는 클립보드 아이콘을 클릭하여 ID를 클립보드에 복사합니다.
   2. API ID를 기록합니다.
   3. API Secret Key 오른쪽에 있는 클립보드 아이콘을 클릭하여 키를 클립보드에 복사합니다.
   4. API 시크릿 키를 기록합니다.
   5. 오른쪽 상단 모서리에 있는 X를 클릭합니다.
   

API에 대한 알림 생성

정보는 VMware Carbon Black Cloud Console 내에 설정된 알림을 통해 이전에 구성된 API로 전송됩니다.

1. 웹 브라우저에서 [REGION].conferdeploy.net으로 이동합니다.
   참고: [REGION] = 테넌트 지역

   • 미주 = https://defense-prod05.conferdeploy.net/
   • 유럽 = https://defense-eu.conferdeploy.net/
   • 아시아 태평양 = https://defense-prodnrt.conferdeploy.net/
   • 호주 및 뉴질랜드 = https://defense-prodsyd.conferdeploy.net
2. VMware Carbon Black Cloud에 로그인합니다.
   
3. 왼쪽 메뉴 창에서 Settings를 확장한 다음 Notifications를 클릭합니다.
   
4. Add Notification을 클릭합니다.
   
5. Add Notification 메뉴에서 다음을 수행합니다.
   1. Name에 이름을 입력합니다.
   2. When do you want to be notified에서 알림을 받을 시기를 결정합니다.
   3. Policy에서 알림을 받을 적절한 정책을 선택합니다.
   4. Email에 알림을 받을 이메일을 입력하고 Send only 1 email for each threat type per day를 선택하여 위협 유형 알림 메일을 하루에 한 번만 보내도록 할 수도 있습니다.
   5. 이전에 생성된 API ID로 API Keys를 채웁니다.
   6. Add를 클릭합니다.
   
   참고: Carbon Black Enterprise EDR을 사용하는 고객은 SIEM을 통해 전송되는 감시 목록을 지정할 수도 있습니다. 이를 통해 정보 수집에 보다 적합한 접근 방식을 취할 수 있습니다.

syslog 커넥터

1. SSH를 통해 syslog Connector를 호스팅하는 서버에 연결합니다.
   참고:

   • CentOS 8을 사용하여 SSH를 통해 연결하는 방법에 대한 자세한 내용은 네트워크 보안을 참조하십시오.
   • SSH를 통해 CentOS 7에 연결하는 방법에 대한 자세한 내용은 구성 파일을 참조하십시오.
2. 다음을 입력하여 syslog 출력에 대한 백업 디렉토리를 생성합니다. sudo mkdir /tmp/output/ 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
3. 다음을 입력하여 구성 파일을 생성합니다. sudo touch /tmp/cbsyslog-config.txt 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
4. 다음을 입력하여 로그 파일을 생성합니다. sudo touch /tmp/cbsyslog-log.log 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
5. 다음을 입력하여 sudo 권한으로 nano를 사용하여 이전에 생성한 구성 파일을 엽니다. sudo nano /tmp/cbsyslog-config.txt 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
6. 다음 텍스트를 복사한 다음 텍스트 편집기에 붙여넣습니다.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. TCP를 사용하여 출력을 보내려면 호스트와 포트를 output_type 로 설정 TCP명령을 입력합니다.
   
   참고: 예제 이미지는 설정이 수정되었습니다.
8. 업데이트 api_connector_id 및 api_key API 타입의 API ID 와 API 타입의 API Secret Key에 따라 다릅니다.
   
   참고: API 및 SIEM 키가 생성되는 위치에 대한 자세한 내용은 위의 API 및 SIEM 키 생성 섹션을 참조하십시오.
9. 업데이트 siem_connector_id 및 siem_api_key SIEM 유형의 API ID 및 SIEM 유형의 API 비밀 키에 따라.
   
   참고: API 및 SIEM 키가 생성되는 위치에 대한 자세한 내용은 위의 API 및 SIEM 키 생성 섹션을 참조하십시오.
10. Ctrl 키를 눌러 파일을 저장한 다음 X 키를 눌러 파일 저장을 확인합니다. Y명령을 입력합니다.
    
11. 키를 눌러 파일 이름을 확인합니다.
    

관리자는 syslog 커넥터의 출력을 테스트한 다음 검증 해야 합니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

테스트

1. Linux 서버에서 Terminal을 엽니다.
2. 다음을 sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] 를 입력하여 파일을 분석한 후 키를 누릅니다.
   참고:

   • [VER] = Python의 버전
   • [INSTALLDIRECTORY] = syslog 커넥터가 설치된 디렉토리
   • [LOGFILELOCATION] = 로그 파일의 위치
   • [CONFIGFILELOCATION] = 구성 파일의 위치

예:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

이 명령은 정의된 구성 파일을 기반으로 한 syslog 커넥터를 한 번 실행한 후 정의된 로그 파일에 출력합니다.

테스트 실행이 수행된 후 테스트 옵션에서 생성된 로그 파일을 기준으로 출력을 검사합니다. 로그 파일을 검사하여 연결의 성공 또는 실패를 확인합니다.

검증

1. Linux 서버에서 Terminal을 엽니다.
2. 다음을 cat [LOGFILELOCATION] 를 입력하여 파일을 분석한 후 키를 누릅니다.
   참고: [LOGFILELOCATION] = 로그 파일의 위치

예:

cat /tmp/cbsyslog-log.log

성공적인 실행은 다음과 유사한 응답을 반환합니다.

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

수신 SIEM 또는 syslog 인스턴스는 VMware Carbon Black Cloud Console 내에서 알림이 생성된 이후에 발생한 이벤트를 출력합니다.

구성된 SIEM 또는 syslog 서버 내에서 정보가 제대로 캡처되었는지 검증합니다. 이는 각 애플리케이션에 따라 다릅니다.

syslog 커넥터를 자동으로 실행하여 정보를 정기적으로 가져오는 작업은 cron을 통해 수행할 수 있습니다.

1. 다음을 입력하여 자동화에 사용할 스크립트를 생성합니다. sudo nano /tmp/cbsyslogrun.sh 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
   참고: 이 예제에서는 셸 스크립트를 생성합니다. /tmp/cbsyslogrun.sh명령을 입력합니다.
2. Validate 섹션에서 사용된 검증 스크립트를 복사한 다음 텍스트 편집기 내에 붙여넣습니다.
   
3. 종료하려면 를 누릅니다.
4. 저장 여부를 묻는 메시지가 나타나면 키를 눌러 계속하고 변경 사항을 저장합니다.
   
5. 다음을 입력하여 스크립트로 실행할 수 있도록 스크립트를 업데이트합니다. sudo chmod a+x /tmp/cbsyslogrun.sh 를 입력하여 파일을 분석한 후 키를 누릅니다.
   
6. crontab 파일을 열고 다음을 입력하여 스크립트를 자동화된 작업으로 추가합니다. sudo crontab -e 를 입력하여 파일을 분석한 후 키를 누릅니다.
7. Crontab은 텍스트 편집을 위해 VI 기반 구문을 활용합니다. 키를 눌러 문자를 추가합니다.
8. 다음을 */[MINUTES] * * * * /tmp/cbsyslogrun.sh 그런 다음 ESC 키를 눌러 텍스트 삽입 단계를 취소합니다.
   
   참고:

   • [MINUTES] = 명령을 다시 실행하기 전에 대기할 시간(분)입니다.
   • 예제 이미지에서 이 예제는 15분마다 실행됩니다.
9. 키를 눌러 명령을 입력합니다.
10. 다음을 wq 그런 다음 Enter 키를 눌러 crontab 편집기를 작성하고 종료합니다.
11. 다음을 입력하여 변경 사항을 확인합니다. sudo crontab -l 를 입력하여 파일을 분석한 후 키를 누릅니다.
12. 예약된 작업(7단계)이 목록에 나타나는지 확인합니다. 작업이 나타나면 자동화가 구성된 것입니다. 작업이 나타나지 않으면 13단계로 이동합니다.
    
13. 다음을 sudo systemctl start crond.service 를 입력하여 파일을 분석한 후 키를 누릅니다.
14. 다음을 sudo systemctl enable crond.service 를 입력하여 파일을 분석한 후 키를 누릅니다.
15. 다음을 sudo crontab -l 를 입력하여 파일을 분석한 후 키를 누릅니다.
    
16. 예약된 작업이 목록에 나타나는지 확인합니다.