Jak nainstalovat a nakonfigurovat konektor VMware Carbon Black Cloud Syslog

Summary: Zjistěte, jak nainstalovat a nakonfigurovat konektor syslog VMware Carbon Black Cloud na serveru se systémem CentOS nebo Red Hat Enterprise Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tento článek obsahuje průvodce instalací, konfigurací a ověření konektoru VMware Carbon Black Cloud Syslog v operačních systémech na bázi Red Hat Enterprise Linux.

Dotčené produkty:

  • Rozhraní VMware Carbon Black Cloud

Správa více produktů zabezpečení je usnadněna přenosem dat z platforem zabezpečení do centralizovaného řešení SIEM (Security Information and Event Management). Konzole Carbon Black umožňuje stahovat data prostřednictvím rozhraní API, převádět je do formátu syslog a poté je předávat libovolnému počtu řešení SIEM.

Software VMware Carbon Black Standard nebo vyšší umožňuje konfigurovat rozhraní API tak, že stáhne data do prostředí zákazníka, díky čemuž je možné použít sady pokročilých pravidel a spotřebu dat na vlastních ovládacích panelech.

Konektor Syslog konzole VMware Carbon Black podporuje operační systémy Linux na bázi RPM, například Red Hat Enterprise Linux nebo CentOS.

Chcete-li nainstalovat a nakonfigurovat konektor syslog, správce musí nejprve splnit předpoklady, nainstalovat konektor a poté konektor nakonfigurovat. Správce může poté konektor syslog ověřitautomatizovat. Další informace získáte po kliknutí na příslušný proces.

  1. Přihlaste se pomocí SSH k serveru Linux, na kterém je nainstalován konektor syslog.
    Poznámka: Informace o připojení přes SSH naleznete v článku Zabezpečení sítí Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies..
  2. Ověřte, zda je server aktuální, spuštěním příkazu sudo yum update.
  3. K instalaci PIP je nutné přidat úložiště, protože PIP nemusí být v úložištích základního operačního systému. Zadáním sudo yum install epel-release a poté stiskněte Enter.
    Přidání úložiště
    Poznámka: Když epel-release , přidejte úložiště spuštěním následujících příkazů:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Ujistěte se, že [VERSION] Odpovídá verzi systému Red Hat Enterprise Linux nebo CentOS, kterou používáte:
    • Pokud používáte systém Red Hat Enterprise Linux 8 nebo CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Pokud používáte systém Red Hat Enterprise Linux 7 nebo CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Zadáním Y a poté stiskněte Enter.
  5. Nainstalujte PIP zadáním příkazu sudo yum install python3 a stiskněte Enter.
    Instalace programu PIP
  6. Nainstalujte nástroje pro sestavení Python3 zadáním sudo yum install gcc python3-devel a stiskněte Enter.
    Instalace nástrojů sestavení Python3
  7. Aktualizujte všechny balíčky v hostitelském operačním systému zadáním příkazu sudo yum update a stiskněte Enter.
    Aktualizace všech balíčků
  1. Přihlaste se jako účet s přístupem sudo na serveru, na který se konektor instaluje.
  2. Otevřete Terminál.
  3. Zadáním pip3 install cbc-syslog a poté stiskněte Enter.
    Instalace konektoru
    Poznámka:
    • V příkladu je použit program PIP3 v systému CentOS 8. Příkaz se může mírně lišit v závislosti na verzi jazyka Python, a tudíž i na používané verzi programu PIP.
    • Pokud provádíte instalaci bez kořenového adresáře, výchozí umístění instalace bude:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Pokud provádíte instalaci s kořenovým adresářem, výchozí umístění instalace bude:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Správce musí konfigurovat jak konzoli VMware Carbon Black Cloud, tak i konektor Syslog. Další informace získáte po kliknutí na příslušný proces.

Rozhraní VMware Carbon Black Cloud

Aby bylo možné používat konektor syslog, je nutné nakonfigurovat službu VMware Carbon Black Cloud. Správce musí nejprve vygenerovat klíče API a SIEM a pak vygenerovat oznámení pro rozhraní API. Další informace získáte po kliknutí na příslušný proces.

Vygenerování klíčů API a SIEM

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlášení do konzole VMware Carbon Black Cloud
  3. V levém podokně rozbalte položku Settings a potom klikněte na položku API Access.
    API Access
  4. Vyberte možnost Add API Key.
    Add API Key
  5. V nabídce Add API Key :
    1. Do pole Name zadejte název.
    2. Do pole Description vyplňte popis.
    3. Do pole Access Level Type zadejte typ úrovně přístupu.
    4. Do pole Authorized IP Addresses zadejte externí autorizované IP adresy, které by měly vyžadovat informace z konzole VMware Carbon Black Cloud.
    5. Klikněte na tlačítko Uložit.
    Nabídka Add API Key
  6. Z přihlašovacích údajů rozhraní API:
    1. Klikněte na ikonu schránky vpravo od položky API ID a zkopírujte ID do schránky.
    2. Poznamenejte si ID rozhraní API.
    3. Klikněte na ikonu schránky vpravo od položky API Secret Key a zkopírujte klíč do schránky.
    4. Poznamenejte si tajný klíč rozhraní API.
    5. Klikněte na X v pravém horním rohu.
    Nabídka API Credentials
  7. Vyberte možnost Add API Key.
    Add API Key
  8. V nabídce Add API Key :
    1. Do pole Name zadejte název.
    2. Do pole Description vyplňte popis.
    3. Do pole Access Level Type zadejte typ úrovně přístupu.
    4. Do pole Authorized IP Addresses zadejte externí autorizované IP adresy, které by měly vyžadovat informace z konzole VMware Carbon Black Cloud.
    5. Klikněte na tlačítko Uložit.
    Nabídka Add API Key
  9. Z přihlašovacích údajů rozhraní API:
    1. Klikněte na ikonu schránky vpravo od položky API ID a zkopírujte ID do schránky.
    2. Poznamenejte si ID rozhraní API.
    3. Klikněte na ikonu schránky vpravo od položky API Secret Key a zkopírujte klíč do schránky.
    4. Poznamenejte si tajný klíč rozhraní API.
    5. Klikněte na X v pravém horním rohu.
    Nabídka API Credentials

Vygenerování oznámení pro rozhraní API

Informace se odešlou do dříve nakonfigurovaného rozhraní API prostřednictvím oznámení, která jsou nastavena v konzoli VMware Carbon Black Cloud.

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlášení do konzole VMware Carbon Black Cloud
  3. V levém podokně rozbalte položku Settings a potom klikněte na možnost Notifications.
    Oznámení
  4. Klikněte na možnost Add Notification.
    Add Notification
  5. V nabídce Add Notification :
    1. Do pole Name zadejte název.
    2. Určete, kdy chcete dostávat oznámení.
    3. V poli Policy vyberte příslušnou zásady, na které chcete obdržet oznámení.
    4. Do pole E-mail zadejte e-mail, na který chcete dostávat oznámení, a volitelně vyberte možnost Send only 1 email for each threat type per day.
    5. Do pole API Keys zadejte dříve vygenerované ID rozhraní API.
    6. Klikněte na tlačítko Add.
    Nabídka Add Notification
    Poznámka: Zákazníci s funkcí Carbon Black Enterprise EDR mohou také specifikovat kontrolní seznamy, které se odešlou prostřednictvím softwaru SIEM. To umožňuje cílenější přístup ke shromažďování informací.

Konektor syslog

  1. Pomocí SSH se připojte k serveru, který hostuje konektor Syslog.
    Poznámka:
  2. Zadáním příkazu vygenerujte záložní adresář pro výstup syslog. sudo mkdir /tmp/output/ a poté stiskněte Enter.
    Vytvoření adresáře záloh
  3. Vytvořte konfigurační soubor zadáním příkazu sudo touch /tmp/cbsyslog-config.txt a poté stiskněte Enter.
    Vytvoření souboru konfigurace
  4. Vytvořte soubor protokolu zadáním příkazu sudo touch /tmp/cbsyslog-log.log a poté stiskněte Enter.
    Vytvoření souboru protokolu
  5. Otevřete dříve vytvořený konfigurační soubor pomocí nano s oprávněními sudo zadáním sudo nano /tmp/cbsyslog-config.txt a poté stiskněte Enter.
    Otevření souboru konfigurace
  6. Zkopírujte následující text a vložte jej do textového editoru. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Chcete-li, aby byl výstup odeslán pomocí protokolu TCP, vyplňte hostitele a port příkazem output_type nastavit na TCP.
    Nastavení výstupu odeslaného na port TCP
    Poznámka: Ukázkový obrázek obsahuje revidované nastavení.
  8. Aktualizujte cestu api_connector_id a api_key podle ID rozhraní API typu API a tajného klíče rozhraní API typu API.
    Aktualizace api_connector_id a api_key
    Poznámka: Informace o tom, kde se vytvářejí klíče rozhraní API a SIEM, najdete v části Generování klíčů rozhraní API a SIEM výše.
  9. Aktualizujte cestu siem_connector_id a siem_api_key podle ID rozhraní API typu SIEM a tajného klíče rozhraní API typu SIEM.
    Aktualizace siem_connector_id a siem_api_key
    Poznámka: Informace o tom, kde se vytvářejí klíče rozhraní API a SIEM, najdete v části Generování klíčů rozhraní API a SIEM výše.
  10. Uložte soubor podržením klávesy CTRL a stisknutím klávesy X. Uložte soubor stisknutím klávesy Y.
    Uložení souboru
  11. Potvrďte název souboru stisknutím klávesy Enter.
    Potvrzení názvu souboru

Správci musí otestovata ověřit výstup z konektoru syslog. Další informace získáte po kliknutí na příslušný proces.

Test

  1. Na serveru Linux otevřete terminál.
  2. Zadáním sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] a poté stiskněte Enter.
    Poznámka:
    • [VER] = Verze Pythonu
    • [INSTALLDIRECTORY] = Adresář, kde je nainstalovaný konektor syslog
    • [LOGFILELOCATION] = Umístění souboru protokolu
    • [CONFIGFILELOCATION] = Umístění konfiguračního souboru

Příklad:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Testování výstupu
Tento příkaz provede jednorázové spuštění konektoru syslog, který je založen na definovaném souboru konfigurace a výstupech do definovaného souboru protokolů.

Po provedení zkušebního spuštění zkontrolujte výstup podle souboru protokolů, který se vygeneroval v možnostech testu. Zkontrolujte soubor protokolu a potvrďte úspěch nebo selhání připojení.

Ověření

  1. Na serveru Linux otevřete terminál.
  2. Zadáním cat [LOGFILELOCATION] a poté stiskněte Enter.
    Poznámka: [LOGFILELOCATION] = Umístění souboru protokolu

Příklad:

cat /tmp/cbsyslog-log.log

Úspěšné spuštění zobrazí odpověď podobnou této:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Ukázková odpověď

Příchozí instance SIEM nebo Syslog zobrazí všechny události, ke kterým došlo od vytvoření oznámení v konzoli VMware Carbon Black Cloud.

Ověřte v nakonfigurovaném serveru SIEM nebo Syslog, že informace byly správně zachyceny. To se liší v závislosti na každé aplikaci.

Automatizaci spouštění konektoru syslog za účelem pravidelného stahování informací lze provést pomocí úlohy cron.

  1. Zadáním příkazu vygenerujte skript, který se má použít pro automatizaci sudo nano /tmp/cbsyslogrun.sh a poté stiskněte Enter.
    Vygenerování skriptu k automatizaci
    Poznámka: Příklad vygeneruje skript prostředí /tmp/cbsyslogrun.sh.
  2. Zkopírujte ověřovací skript, který byl použit v části Ověřit , a pak tento skript vložte do textového editoru.
    Vložení skriptu
  3. Stisknutím kláves CTRL+X okno uzavřete.
  4. Po zobrazení výzvy k uložení pokračujte stisknutím klávesy Y a uložte změny.
    Uložení změn
  5. Aktualizujte skript, aby umožňoval spuštění jako skript zadáním příkazu sudo chmod a+x /tmp/cbsyslogrun.sh a poté stiskněte Enter.
    Aktualizace skriptu
  6. Otevřete soubor crontab a přidejte skript jako automatizovanou úlohu zadáním sudo crontab -e a poté stiskněte Enter.
  7. Crontab využívá syntaxi založenou na VI pro úpravu textu. Stisknutím klávesy Insert přidejte znaky.
  8. Zadáním */[MINUTES] * * * * /tmp/cbsyslogrun.sh a poté stisknutím klávesy ESC zrušte fázi vkládání textu.
    Přidávání znaků
    Poznámka:
    • [MINUTES] = Počet minut čekání před opětovným spuštěním příkazu
    • V ukázce dochází ke spuštění každých 15 minut.
  9. Stisknutím klávesy dvojtečky (:) zadejte příkaz.
  10. Zadáním wq a poté stiskněte Enter pro zápis a ukončení editoru crontab.
  11. Změnu potvrďte zadáním sudo crontab -l a poté stiskněte Enter.
  12. Ověřte, zda se v seznamu zobrazí naplánovaná úloha (krok 7). Pokud se úloha zobrazí, automatizace je nakonfigurovaná. Pokud se úloha nezobrazí, přejděte ke kroku 13.
    Ověření naplánované úlohy
  13. Zadáním sudo systemctl start crond.service a poté stiskněte Enter.
  14. Zadáním sudo systemctl enable crond.service a poté stiskněte Enter.
  15. Zadáním sudo crontab -l a poté stiskněte Enter.
    Druhé ověření naplánované úlohy
  16. Ověřte, zda se naplánovaná úloha zobrazí v seznamu.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.