Como instalar e configurar o conector Syslog do VMware Carbon Black Cloud

Summary: Saiba mais sobre como instalar e configurar um conector de syslog do VMware Carbon Black Cloud em um servidor baseado em Linux CentOS ou Red Hat Enterprise.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Este artigo orienta o processo de instalação, configuração e validação do conector Syslog do VMware Carbon Black Cloud nos sistemas operacionais com Red Hat Enterprise Linux.

Produtos afetados:

  • VMware Carbon Black Cloud

A administração de vários produtos de segurança é facilitada pela transferência de dados de plataformas de segurança para uma solução centralizada de Gerenciamento e Correlação de Eventos de Segurança (SIEM). O Carbon Black permite que os dados sejam baixados por meio de APIs, convertidos em formato Syslog e, em seguida, encaminhados para qualquer número de soluções de SIEM.

O VMware Carbon Black Standard ou versão posterior permite que as APIs sejam configuradas, levando esses dados para ambientes de clientes, o que possibilita conjuntos de regras avançados e o consumo de dados em painéis de indicadores personalizados.

O conetor Syslog do VMware Carbon Black oferece suporte a sistemas operacionais Linux com RPM, como Red Hat Enterprise Linux ou CentOS.

Para instalar e configurar o conetor Syslog, primeiramente, um administrador deve abordar os pré-requisitos, instalar o conetor e, em seguida, configurar o conector. Depois disso, o administrador pode validar e automatizar o conetor Syslog. Clique no processo adequado para obter mais informações.

  1. Faça log-in no servidor Linux no qual o conector Syslog está sendo instalado usando SSH.
    Nota: Para obter informações sobre como se conectar por meio do SSH, consulte Protegendo redes Esse hiperlink direcionará você para um site fora da Dell Technologies..
  2. Valide se o servidor está atualizado executando sudo yum update.
  3. Um repositório deve ser adicionado para instalar o PIP, pois o PIP pode não estar nos repositórios principais do sistema operacional. Digite sudo yum install epel-release e pressione Enter.
    Como adicionar um repositório
    Nota: Se a solicitação do epel-release não for encontrado, adicione o repositório executando os seguintes comandos:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Certifique-se de que o [VERSION] corresponde à versão do Red Hat Enterprise Linux ou CentOS que você está executando:
    • Se estiver executando o Red Hat Enterprise Linux 8 ou CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Se estiver executando o Red Hat Enterprise Linux 7 ou o CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Digite Y e pressione Enter.
  5. Instale o PIP digitando sudo yum install python3 e, em seguida, pressionando Enter.
    Como instalar o PIP
  6. Instale os utilitários de compilação do Python3 digitando sudo yum install gcc python3-devel e, em seguida, pressionando Enter.
    Como instalar os utilitários de compilação do Python3
  7. Atualize todos os pacotes dentro do sistema operacional do host digitando sudo yum update e, em seguida, pressionando Enter.
    Como atualizar todos os pacotes
  1. Faça log-in como uma conta com acesso sudo no servidor em que o conector está sendo instalado.
  2. Abra o Terminal.
  3. Digite pip3 install cbc-syslog e pressione Enter.
    Como instalar o conector
    Nota:
    • Este exemplo utiliza PIP3 no CentOS 8. O comando pode variar um pouco dependendo da versão do Python e, como resultado, da versão do PIP que está sendo usada.
    • Se você estiver instalando sem raiz, o local de instalação padrão será:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Se você estiver instalando com raiz, o local de instalação padrão será:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Um administrador deve configurar o VMware Carbon Black Cloud e o próprio conector Syslog. Clique no processo adequado para obter mais informações.

VMware Carbon Black Cloud

O VMware Carbon Black Cloud deve ser configurado para usar o conector Syslog. Primeiramente, um administrador deve Gerar chaves de API e SIEM e, em seguida, Gerar notificações de API. Clique no processo adequado para obter mais informações.

Gerar chaves de API e SIEM

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login no VMware Carbon Black Cloud
  3. No painel de menu à esquerda, expanda Settings e, em seguida, clique em API Access.
    API Access
  4. Selecione Add API Key.
    Add API Key
  5. No menu Add API Key :
    1. Informe um nome no campo Name.
    2. Preencha o campo Description.
    3. Selecione um tipo de nível de acesso em Access Level Type.
    4. Em Authorized IP adresses, preencha os endereços IP autorizados externos que devem solicitar informações do VMware Carbon Black Cloud.
    5. Clique em Save.
    Menu Add API Key
  6. Nas credenciais da API:
    1. Clique no ícone da área de transferência à direita de API ID para copiar o ID na área de transferência.
    2. Registre o ID da API.
    3. Clique no ícone da área de transferência à direita de API Secret Key para copiar a chave na área de transferência.
    4. Registre a chave secreta da API.
    5. Clique em X no canto superior direito.
    Menu API Credentials
  7. Selecione Add API Key.
    Add API Key
  8. No menu Add API Key :
    1. Informe um nome no campo Name.
    2. Preencha o campo Description.
    3. Selecione um tipo de nível de acesso em Access Level Type.
    4. Em Authorized IP adresses, preencha os endereços IP autorizados externos que devem solicitar informações do VMware Carbon Black Cloud.
    5. Clique em Save.
    Menu Add API Key
  9. Nas credenciais da API:
    1. Clique no ícone da área de transferência à direita de API ID para copiar o ID na área de transferência.
    2. Registre o ID da API.
    3. Clique no ícone da área de transferência à direita de API Secret Key para copiar a chave na área de transferência.
    4. Registre a chave secreta da API.
    5. Clique em X no canto superior direito.
    Menu API Credentials

Gerar notificações de API

As informações são enviadas para a API configurada anteriormente por meio de notificações definidas no console do VMware Carbon Black Cloud.

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login no VMware Carbon Black Cloud
  3. No painel de menu à esquerda, expanda Settings e, em seguida, clique em Notifications.
    Notificações
  4. Clique em Adicionar notificação.
    Add Notification
  5. No menu Add Notification :
    1. Informe um nome no campo Name.
    2. Determine quando você quer ser notificado em When do you want to be notified.
    3. Selecione Policy para indicar a política adequada de notificação.
    4. Preencha um Email em que você será notificado e, opcionalmente, selecione a opção Send only 1 email for each threat type per day.
    5. Em API Keys, preencha as chaves de API com o ID de API que foi gerado anteriormente.
    6. Clique em Add.
    Menu Add Notification
    Nota: Os clientes com o Carbon Black Enterprise EDR também podem especificar listas de observação enviadas por meio do SIEM. Isso permite uma abordagem mais direcionada à coleta de informações.

Conector Syslog

  1. Conecte-se ao servidor que hospeda o conector Syslog por meio de SSH.
    Nota:
    • Para obter informações sobre como se conectar pelo SSH usando o CentOS 8, consulte Protegendo redesEsse hiperlink direcionará você para um site fora da Dell Technologies..
    • Para obter informações sobre como se conectar pelo SSH com o CentOS 7, consulte Arquivos Esse hiperlink direcionará você para um site fora da Dell Technologies.de configuração.
  2. Gere um diretório de backup para o resultado do syslog digitando sudo mkdir /tmp/output/ e pressione Enter.
    Gerando um diretório de backup
  3. Crie o arquivo de configuração digitando sudo touch /tmp/cbsyslog-config.txt e pressione Enter.
    Criando um arquivo de configuração
  4. Crie o arquivo de log digitando sudo touch /tmp/cbsyslog-log.log e pressione Enter.
    Criando um arquivo de log
  5. Abra o arquivo de configuração criado anteriormente usando nano com privilégios sudo digitando sudo nano /tmp/cbsyslog-config.txt e pressione Enter.
    Como abrir o arquivo de configuração
  6. Copie o texto a seguir e cole-o no editor de texto. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Para que o resultado seja enviado usando TCP, preencha o host e a porta com output_type definido como TCP.
    Configurando o resultado enviado ao TCP
    Nota: A imagem de exemplo tem as configurações editadas.
  8. Atualize api_connector_id e api_key de acordo com o ID da API do tipo de API e a Chave Secreta da API do tipo de API.
    Atualizando o api_connector_id e a api_key
    Nota: Para obter informações sobre onde as chaves API e SIEM são criadas, consulte a seção Gerar API e chaves SIEM acima.
  9. Atualize siem_connector_id e siem_api_key de acordo com o ID da API do tipo SIEM e a Chave Secreta da API do tipo SIEM.
    Atualizando o siem_connector_id e siem_api_key
    Nota: Para obter informações sobre onde as chaves API e SIEM são criadas, consulte a seção Gerar API e chaves SIEM acima.
  10. Salve o arquivo segurando CTRL e pressione X. Confirme para salvar o arquivo pressionando Y.
    Salvando o arquivo
  11. Confirme o nome do arquivo pressionando Enter.
    Confirmando o nome do arquivo

Os administradores devem testar e, em seguida, validar a saída do conector syslog. Clique no processo adequado para obter mais informações.

Teste

  1. No servidor Linux, abra o Terminal.
  2. Digite sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] e pressione Enter.
    Nota:
    • [VER] = versão do Python
    • [INSTALLDIRECTORY] = diretório onde o conector Syslog está instalado
    • [LOGFILELOCATION] = localização do arquivo de log
    • [CONFIGFILELOCATION] = localização do arquivo de configuração

Exemplo:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Testando o resultado
Esse comando realiza uma execução única do conector Syslog que se baseia no arquivo de configuração definido e gera o resultado no arquivo de log definido.

Depois de realizar uma execução, inspecione o resultado com base no arquivo de log gerado nas opções de teste. Inspecione o arquivo de log para confirmar o sucesso ou a falha da conexão.

Validar

  1. No servidor Linux, abra o Terminal.
  2. Digite cat [LOGFILELOCATION] e pressione Enter.
    Nota: [LOGFILELOCATION] = localização do arquivo de log

Exemplo:

cat /tmp/cbsyslog-log.log

Uma execução bem-sucedida exibe uma resposta semelhante a:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Exemplo de resposta

A instância de SIEM ou Syslog de recebimento gera todos os eventos que ocorreram desde que a notificação foi criada no console do VMware Carbon Black Cloud.

No servidor SIEM ou Syslog configurado, valide se as informações foram registradas corretamente. Isso varia de acordo com cada aplicativo.

A automação da execução do conector Syslog para extrair informações regularmente pode ser feita com cron.

  1. Gere um script a ser usado para a automação digitando sudo nano /tmp/cbsyslogrun.sh e pressione Enter.
    Gerando um script para automação
    Nota: O exemplo gera um script de shell de /tmp/cbsyslogrun.sh.
  2. Copie o script de validação que foi usado na seção Validate e, em seguida, cole esse script no editor de texto.
    Colando o script
  3. Pressione Ctrl+X para sair.
  4. No prompt para salvar, pressione Y para continuar, salvando as alterações.
    Salvando as alterações
  5. Atualize o script para permitir que ele seja executado como um script digitando sudo chmod a+x /tmp/cbsyslogrun.sh e pressione Enter.
    Atualizando o script
  6. Abra o arquivo crontab para adicionar o script como uma tarefa automatizada digitando sudo crontab -e e pressione Enter.
  7. O Crontab aproveita uma sintaxe baseada em VI para editar texto. Pressione a tecla Insert para adicionar caracteres.
  8. Digite */[MINUTES] * * * * /tmp/cbsyslogrun.sh e, em seguida, pressione ESC para cancelar a fase de inserção de texto.
    Adicionando caracteres
    Nota:
    • [MINUTES] = número de minutos a aguardar antes de executar o comando novamente
    • Na imagem de exemplo, o exemplo é executado a cada 15 minutos.
  9. Pressione a tela de dois pontos (:) para digitar um comando.
  10. Digite wq e, em seguida, pressione Enter para escrever e sair do editor crontab.
  11. Confirme a alteração digitando sudo crontab -l e pressione Enter.
  12. Verifique se a tarefa agendada (Etapa 7) é exibida na lista. Se a tarefa for exibida, a automação estará configurada. Se a tarefa não for exibida, avance para a Etapa 13.
    Verificando a tarefa agendada
  13. Digite sudo systemctl start crond.service e pressione Enter.
  14. Digite sudo systemctl enable crond.service e pressione Enter.
  15. Digite sudo crontab -l e pressione Enter.
    Verificando a tarefa agendada pela segunda vez
  16. Verifique se a tarefa agendada é exibida na lista.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.