Как установить и настроить коннектор syslog VMware Carbon Black Cloud

Summary: Узнайте, как установить и настроить разъем VMware Carbon Black Cloud syslog на сервере на базе CentOS или Red Hat Enterprise Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

В этой статье описывается процесс установки, настройки и проверки коннектора syslog VMware Carbon Black Cloud в операционных системах на базе Red Hat Enterprise Linux.

Затронутые продукты:

  • VMware Carbon Black Cloud

Администрирование нескольких продуктов для системы защиты обеспечивается за счет передачи данных с платформ безопасности в централизованное решение для управления информацией о безопасности и событиями (SIEM). Carbon Black позволяет скачивать данные через API, преобразовывать их в формат syslog, а затем пересылать в любое количество решений SIEM.

В VMware Carbon Black Standard или более высокого уровня можно настраивать API, перемещая эти данные в среды заказчиков, что позволяет использовать расширенные наборы правил и данные на специализированных панелях управления.

Коннектор syslog VMware Carbon Black поддерживает операционные системы Linux на базе RPM, такие как Red Hat Enterprise Linux или CentOS.

Чтобы установить и настроить коннектор syslog, администратор должен сначала выполнить необходимые условия, установить коннектор, а затем настроить его. После этого администратор может проверить и автоматизировать коннектор syslog. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

  1. С помощью SSH выполните вход на сервер Linux, на котором устанавливается коннектор syslog.
    Примечание.: Для получения информации о подключении с помощью SSH см. раздел Обеспечение безопасности сетей Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..
  2. Проверьте актуальность сервера, выполнив команду sudo yum update.
  3. Для установки PIP необходимо добавить репозиторий, так как PIP может отсутствовать в основных репозиториях операционной системы. Введите sudo yum install epel-release и затем нажмите клавишу Enter.
    Добавление репозитория
    Примечание.: Если epel-release не найдено, добавьте репозиторий, выполнив следующие команды:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Убедитесь, что [VERSION] соответствует выпуску Red Hat Enterprise Linux или CentOS, который вы используете:
    • При использовании Red Hat Enterprise Linux 8 или CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • При использовании Red Hat Enterprise Linux 7 или CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Введите Y и затем нажмите клавишу Enter.
  5. Установите PIP, введя sudo yum install python3 , а затем нажмите клавишу Enter.
    Установка PIP
  6. Установите утилиты сборки Python3, введя sudo yum install gcc python3-devel , а затем нажмите клавишу Enter.
    Установка утилит построения Python3
  7. Обновите все пакеты в операционной системе хоста, введя sudo yum update , а затем нажмите клавишу Enter.
    Обновление всех пакетов
  1. Войдите в систему как учетная запись с доступом sudo на сервере, на котором устанавливается разъем.
  2. Откройте Terminal.
  3. Введите pip3 install cbc-syslog и затем нажмите клавишу Enter.
    Установка коннектора
    Примечание.:
    • В данном примере используется PIP3 в CentOS 8. Команда может немного отличаться в зависимости от версии Python и, как результат, используемой версии PIP.
    • Местоположение по умолчанию при установке без прав root:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Местоположение по умолчанию при установке с правами root:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Администратор должен настроить как VMware Carbon Black Cloud, так и коннектор syslog. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

VMware Carbon Black Cloud

Для использования коннектора syslog необходимо настроить VMware Carbon Black Cloud. Сначала администратор должен создать ключи API и SIEM, а затем уведомления для API. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Создание ключей API и SIEM

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание.: [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    Вход в VMware Carbon Black Cloud
  3. На левой панели меню разверните Settings и нажмите API Access.
    API Access
  4. Выберите Add API Key.
    Add API Key
  5. В меню «Add API Key » выполните следующие действия.
    1. Заполните поле Name.
    2. Заполните поле Description.
    3. Выберите Access Level type.
    4. Заполните внешние авторизованные IP-адреса, которые должны запрашивать информацию из VMware Carbon Black Cloud.
    5. Нажмите Save.
    Меню «Add API Key»
  6. Из учетных данных API:
    1. Нажмите на значок буфера обмена справа от поля API ID, чтобы скопировать идентификатор в буфер обмена.
    2. Запишите идентификатор API.
    3. Нажмите на значок буфера обмена справа от поля API Secret Key, чтобы скопировать ключ в буфер обмена.
    4. Запишите секретный ключ API.
    5. Нажмите на значок Х в правом верхнем углу.
    Меню «API Credentials»
  7. Выберите Add API Key.
    Add API Key
  8. В меню «Add API Key » выполните следующие действия.
    1. Заполните поле Name.
    2. Заполните поле Description.
    3. Выберите Access Level type.
    4. Заполните внешние авторизованные IP-адреса, которые должны запрашивать информацию из VMware Carbon Black Cloud.
    5. Нажмите Save.
    Меню «Add API Key»
  9. Из учетных данных API:
    1. Нажмите на значок буфера обмена справа от поля API ID, чтобы скопировать идентификатор в буфер обмена.
    2. Запишите идентификатор API.
    3. Нажмите на значок буфера обмена справа от поля API Secret Key, чтобы скопировать ключ в буфер обмена.
    4. Запишите секретный ключ API.
    5. Нажмите на значок Х в правом верхнем углу.
    Меню «API Credentials»

Создание уведомлений для API

Информация отправляется в ранее настроенный API с помощью уведомлений, заданных в консоли VMware Carbon Black Cloud.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание.: [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    Вход в VMware Carbon Black Cloud
  3. На левой панели меню разверните Settings и нажмите Notifications.
    Уведомления
  4. Нажмите Add Notification.
    Add Notification
  5. В меню «Add Notification » выполните следующие действия.
    1. Заполните поле Name.
    2. Определите, когда вы хотите получать уведомления.
    3. Выберите соответствующую политику для уведомления.
    4. Заполните адрес электронной почты, на который будет отправлено уведомление, и при необходимости выберите Send only 1 email for each threat type per day.
    5. В поле API Keys введите идентификатор API, который был создан ранее.
    6. Нажмите Add.
    Меню «Add Notification»
    Примечание.: Заказчики с решением Carbon Black Enterprise EDR могут также указать списки наблюдения, которые отправляются через SIEM. Это позволяет использовать более целевой подход к сбору информации.

Коннектор syslog

  1. Через SSH подключитесь к серверу, на котором размещается коннектор syslog.
    Примечание.:
    • Для получения информации о подключении через SSH с помощью CentOS 8 см. раздел Защита сетейЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..
    • Для получения информации о подключении по SSH с CentOS 7 см. ФайлыЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. конфигурации.
  2. Создайте каталог резервной копии для выходных данных syslog, введя команду sudo mkdir /tmp/output/ и затем нажмите клавишу Enter.
    Создание каталога резервного копирования
  3. Создайте файл конфигурации, введя sudo touch /tmp/cbsyslog-config.txt и затем нажмите клавишу Enter.
    Создание файла конфигурации
  4. Создайте файл журнала, введя sudo touch /tmp/cbsyslog-log.log и затем нажмите клавишу Enter.
    Создание файла журнала
  5. Откройте ранее созданный файл конфигурации с помощью nano с привилегиями sudo, введя sudo nano /tmp/cbsyslog-config.txt и затем нажмите клавишу Enter.
    Открытие файла конфигурации
  6. Скопируйте следующий текст и вставьте его в текстовый редактор. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Для отправки выходных данных по протоколу TCP заполните хост и порт output_type Установите значение TCP.
    Настройка выходных данных, отправляемых по TCP
    Примечание.: На примере изображены отредактированные настройки.
  8. Обновите api_connector_id и api_key в соответствии с идентификатором API типа API и секретным ключом API типа API.
    Обновление api_connector_id и api_key
    Примечание.: Сведения о том, где создаются ключи API и SIEM, см. в разделе Создание ключей API и SIEM выше.
  9. Обновите siem_connector_id и siem_api_key в соответствии с идентификатором API типа SIEM и секретным ключом API типа SIEM.
    Обновление siem_connector_id и siem_api_key
    Примечание.: Сведения о том, где создаются ключи API и SIEM, см. в разделе Создание ключей API и SIEM выше.
  10. Сохраните файл, удерживая клавишу CTRL, затем нажмите клавишу X. Подтвердите сохранение файла, нажав клавишу Y.
    Сохранение файла
  11. Подтвердите имя файла, нажав Enter.
    Подтверждение имени файла

Администраторы должны протестировать, а затем проверить выходные данные соединителя syslog. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Тест

  1. На сервере Linux откройте Terminal.
  2. Введите sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] и затем нажмите клавишу Enter.
    Примечание.:
    • [VER] = Версия Python
    • [INSTALLDIRECTORY] = Каталог, в который установлен разъем syslog
    • [LOGFILELOCATION] = Местоположение файла журнала
    • [CONFIGFILELOCATION] = Расположение файла конфигурации

Пример.

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Тестирование выходных данных
Эта команда однократно запускает коннектор syslog на базе определенного файла конфигурации и выводит данные в заданный файл журнала.

После тестового запуска проверьте выходные данные на основе файла журнала, созданного в параметрах тестирования. Проверьте файл журнала, чтобы убедиться в успешности или сбое подключения.

Проверить

  1. На сервере Linux откройте «Terminal».
  2. Введите cat [LOGFILELOCATION] и затем нажмите клавишу Enter.
    Примечание.: [LOGFILELOCATION] = Местоположение файла журнала

Пример.

cat /tmp/cbsyslog-log.log

При успешном запуске возвращается ответ, аналогичный следующему:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Пример ответа

Принимающий экземпляр SIEM или syslog выводит все события, произошедшие с момента создания уведомления в консоли VMware Carbon Black Cloud.

На настроенном сервере SIEM или syslog убедитесь, чтобы информация была записана надлежащим образом. Это зависит от приложения.

Автоматизация запуска коннектора syslog для регулярного извлечения информации может быть выполнена с помощью cron.

  1. Создайте сценарий, который будет использоваться для автоматизации, введя sudo nano /tmp/cbsyslogrun.sh и затем нажмите клавишу Enter.
    Создание сценария для автоматизации
    Примечание.: В данном примере создается сценарий оболочки /tmp/cbsyslogrun.sh.
  2. Скопируйте сценарий проверки, который использовался в разделе «Проверить », затем вставьте этот сценарий в текстовый редактор.
    Вставка сценария
  3. Нажмите клавиши CTRL+X, чтобы выйти.
  4. При появлении запроса на сохранение нажмите Y, чтобы продолжить, и сохраните изменения.
    Сохранение изменений
  5. Обновите сценарий, чтобы разрешить его запуск в качестве сценария, введя sudo chmod a+x /tmp/cbsyslogrun.sh и затем нажмите клавишу Enter.
    Обновление сценария
  6. Откройте файл crontab, чтобы добавить сценарий в качестве автоматизированной задачи, введя sudo crontab -e и затем нажмите клавишу Enter.
  7. Crontab использует синтаксис на основе VI для редактирования текста. Нажмите клавишу Insert, чтобы добавить символы.
  8. Введите */[MINUTES] * * * * /tmp/cbsyslogrun.sh а затем нажмите клавишу ESC, чтобы отменить этап вставки текста.
    Добавление символов
    Примечание.:
    • [MINUTES] = Количество минут ожидания перед повторным выполнением команды
    • На примере показан запуск каждые 15 минут.
  9. Нажмите двоеточие (:), чтобы ввести команду.
  10. Введите wq а затем нажмите клавишу Enter, чтобы написать и выйти из редактора crontab.
  11. Подтвердите изменение, введя sudo crontab -l и затем нажмите клавишу Enter.
  12. Убедитесь, что запланированная задача (шаг 7) отображается в списке. Если задача отображается, выполняется настройка автоматизации. Если задача не отображается, перейдите к шагу 13.
    Проверка запланированной задачи
  13. Введите sudo systemctl start crond.service и затем нажмите клавишу Enter.
  14. Введите sudo systemctl enable crond.service и затем нажмите клавишу Enter.
  15. Введите sudo crontab -l и затем нажмите клавишу Enter.
    Повторная проверка запланированной задачи
  16. Убедитесь, что запланированная задача отображается в списке.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.