VMware Carbon Black Cloud Syslog Connectorin asentaminen ja määrittäminen

1. Kirjaudu SSH-komennolla Linux-palvelimeen, johon syslog-yhdistin asennetaan.
   Huomautus: Lisätietoja yhteyden muodostamisesta SSH:n kautta on artikkelissa Verkkojen suojaaminen.
2. Varmista, että palvelin on ajan tasalla, suorittamalla sudo yum update.
3. PIP:n asentamista varten on lisättävä säilö, koska PIP ei välttämättä ole käyttöjärjestelmän ydinsäilöissä. Kirjoita sudo yum install epel-release ja paina sitten Enter-näppäintä.
   
   Huomautus: Jos epel-release ei löydy, lisää säilö seuraavilla komennoilla:

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   Varmista, että [VERSION] Vastaa käytössä olevan Red Hat Enterprise Linuxin tai CentOS:n julkaisua:

   • Jos käytössä on Red Hat Enterprise Linux 8 tai CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • Jos käytössä on Red Hat Enterprise Linux 7 tai CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. Kirjoita Y ja paina sitten Enter-näppäintä.
5. Asenna PIP kirjoittamalla sudo yum install python3 ja paina sitten Enter.
   
6. Asenna Python3-koontiapuohjelmat kirjoittamalla sudo yum install gcc python3-devel ja paina sitten Enter.
   
7. Päivitä kaikki isäntäkäyttöjärjestelmän paketit kirjoittamalla sudo yum update ja paina sitten Enter.
   

1. Kirjaudu sisään sudo-käyttäjänä palvelimelle, johon yhdistin asennetaan.
2. Avaa pääte.
3. Kirjoita pip3 install cbc-syslog ja paina sitten Enter-näppäintä.
   
   Huomautus:

   • Tämä esimerkki hyödyntää PIP3:a CentOS 8:ssa. Komento voi hieman vaihdella Pythonin version ja sen seurauksena käytettävän PIP-version mukaan.
   • Jos asennus tehdään ilman pääkäyttäjää, oletusasennussijainti on:
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • Jos asennus tehdään pääkäyttäjänä, oletusasennussijainti on seuraava:
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

Järjestelmänvalvojan on määritettävä sekä VMware Carbon Black Cloud että itse Syslog Connector . Katso lisätietoja valitsemalla asianmukainen prosessi.

VMware Carbon Black Cloud

VMware Carbon Black Cloud on määritettävä käyttämään syslog-liitintä. Järjestelmänvalvojan on ensin luotava API- ja SIEM-avaimet ja sitten API-ilmoitukset. Katso lisätietoja valitsemalla asianmukainen prosessi.

Luo API- ja SIEM-avaimet

1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
   Huomautus: [REGION] = vuokralaisen alue

   • Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
   • Eurooppa = https://defense-eu.conferdeploy.net/
   • Aasia ja Tyynenmeren alue = https://defense-prodnrt.conferdeploy.net/
   • Australia ja Uusi-Seelanti = https://defense-prodsyd.conferdeploy.net
2. Kirjaudu VMware Carbon Black Cloudiin.
   
3. Laajenna vasemmassa valikkoruudussa Settings ja valitse API Access.
   
4. Valitse Add API Key (Lisää API-avain).
   
5. Add API Key -valikossa:
   1. Kirjoita Name.
   2. Lisää Description.
   3. Valitse Access Level -tyyppi.
   4. Kirjoita ulkoiset valtuutetut IP-osoitteet , joiden pitäisi pyytää tietoja VMware Carbon Black Cloudista.
   5. Valitse Save.
   
6. API-tunnistetiedoista:
   1. Napsauta API-tunnuksen oikealla puolella olevaa leikepöydän kuvaketta kopioidaksesi tunnuksen leikepöydälle.
   2. Tallenna ohjelmointirajapinnan tunnus.
   3. Napsauta leikepöydän kuvaketta API:n salaisen avaimen oikealla puolella kopioidaksesi avaimen leikepöydälle.
   4. Tallenna API-salainen avain.
   5. Klikkaa oikeassa yläkulmassa olevaa X-merkkiä .
   
7. Valitse Add API Key (Lisää API-avain).
   
8. Add API Key -valikossa:
   1. Kirjoita Name.
   2. Lisää Description.
   3. Valitse Access Level -tyyppi.
   4. Kirjoita ulkoiset valtuutetut IP-osoitteet , joiden pitäisi pyytää tietoja VMware Carbon Black Cloudista.
   5. Valitse Save.
   
9. API-tunnistetiedoista:
   1. Napsauta API-tunnuksen oikealla puolella olevaa leikepöydän kuvaketta kopioidaksesi tunnuksen leikepöydälle.
   2. Tallenna ohjelmointirajapinnan tunnus.
   3. Napsauta leikepöydän kuvaketta API:n salaisen avaimen oikealla puolella kopioidaksesi avaimen leikepöydälle.
   4. Tallenna API-salainen avain.
   5. Klikkaa oikeassa yläkulmassa olevaa X-merkkiä .
   

Luo ilmoituksia API:lle

Tiedot lähetetään aiemmin määritettyyn ohjelmointirajapintaan VMware Carbon Black Cloud -konsolissa määritettyjen ilmoitusten kautta.

1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
   Huomautus: [REGION] = vuokralaisen alue

   • Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
   • Eurooppa = https://defense-eu.conferdeploy.net/
   • Aasia ja Tyynenmeren alue = https://defense-prodnrt.conferdeploy.net/
   • Australia ja Uusi-Seelanti = https://defense-prodsyd.conferdeploy.net
2. Kirjaudu VMware Carbon Black Cloudiin.
   
3. Laajenna vasemmassa valikkoruudussa Settings ja valitse Notifications.
   
4. Valitse Add Notification.
   
5. Add Notification -valikossa:
   1. Kirjoita Name.
   2. Määritä , milloin haluat saada ilmoituksen.
   3. Valitse käytäntö , josta haluat ilmoittaa.
   4. Kirjoita Sähköposti, johon ilmoitus lähetetään, ja valitse halutessasi Lähetä vain 1 sähköpostiviesti kutakin uhkatyyppiä kohden päivässä.
   5. Lisää API-avaimiin aiemmin luotu API-tunnus.
   6. Valitse Add.
   
   Huomautus: Asiakkaat, joilla on Carbon Black Enterprise EDR, voivat myös määrittää SIEM:n kautta lähetettävät tarkkailulistat. Tämä mahdollistaa kohdennetumman lähestymistavan tiedonkeruuseen.

Syslog-liitäntä

1. Muodosta SSH-yhteys Syslog-liitäntää isännöivään palvelimeen.
   Huomautus:

   • Lisätietoja SSH-yhteyden muodostamisesta CentOS 8:n avulla on artikkelissa Verkkojen suojaaminen.
   • Lisätietoja SSH-yhteyden muodostamisesta CentOS 7:ään on kohdassa Configuration Files.
2. Luo varmuuskopiohakemisto syslog-tulosteelle kirjoittamalla sudo mkdir /tmp/output/ ja paina sitten Enter-näppäintä.
   
3. Luo määritystiedosto kirjoittamalla sudo touch /tmp/cbsyslog-config.txt ja paina sitten Enter-näppäintä.
   
4. Luo lokitiedosto kirjoittamalla sudo touch /tmp/cbsyslog-log.log ja paina sitten Enter-näppäintä.
   
5. Avaa aiemmin luotu kokoonpanotiedosto nano-komennolla sudo-oikeuksilla kirjoittamalla sudo nano /tmp/cbsyslog-config.txt ja paina sitten Enter-näppäintä.
   
6. Kopioi seuraava teksti ja liitä se sitten tekstieditoriin.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. Jos haluat, että tulos lähetetään TCP:n kautta, lisää isäntään ja porttiin output_type Valitse arvoksi TCP.
   
   Huomautus: Esimerkkikuvan asetukset on poistettu.
8. Päivitä api_connector_id ja api_key API-tyypin API-tunnuksen ja API-tyypin API-salaisen avaimen mukaan.
   
   Huomautus: Lisätietoja API- ja SIEM-avainten luontipaikasta on edellä kohdassa API- ja SIEM-avainten luominen .
9. Päivitä siem_connector_id ja siem_api_key SIEM-tyypin API-tunnuksen ja SIEM-tyypin API-salaisen avaimen mukaan.
   
   Huomautus: Lisätietoja API- ja SIEM-avainten luontipaikasta on edellä kohdassa API- ja SIEM-avainten luominen .
10. Tallenna tiedosto pitämällä CTRL-näppäintä painettuna ja painamalla sitten X. Vahvista tiedoston tallennus painamalla Y.
    
11. Vahvista tiedostonimi painamalla Enter.
    

Järjestelmänvalvojien on testattavaja tarkistettava tulos syslog-yhdistimestä. Katso lisätietoja valitsemalla asianmukainen prosessi.

Testi

1. Avaa Linux-palvelimessa Pääte.
2. Kirjoita sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] ja paina sitten Enter-näppäintä.
   Huomautus:

   • [VER] = Pythonin versio
   • [INSTALLDIRECTORY] = Hakemisto, johon syslog-liitin on asennettu
   • [LOGFILELOCATION] = Lokitiedoston sijainti
   • [CONFIGFILELOCATION] = Konfiguraatiotiedoston sijainti

Esimerkki:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Tämä komento suorittaa syslog-yhdistimen kerran määritetyn määritystiedoston ja tuloksen perusteella.

Kun testi on suoritettu, tarkista tulos testivaihtoehdoissa luodun lokitiedoston perusteella. Tarkista lokitiedosto ja varmista, onnistuiko vai epäonnistuiko yhteys.

Vahvistaa

1. Avaa Linux-palvelimessa Pääte.
2. Kirjoita cat [LOGFILELOCATION] ja paina sitten Enter-näppäintä.
   Huomautus: [LOGFILELOCATION] = Lokitiedoston sijainti

Esimerkki:

cat /tmp/cbsyslog-log.log

Onnistunut suoritus palauttaa seuraavanlaisen tuloksen:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Vastaanottava SIEM- tai Syslog-esiintymä tulostaa kaikki tapahtumat, jotka ovat tapahtuneet sen jälkeen, kun ilmoitus luotiin VMware Carbon Black Cloud -konsolissa.

Sen varmistaminen määritetyssä SIEM- tai Syslog-palvelimessa, että tiedot on kerätty oikein Tämä vaihtelee sovelluksen mukaan.

Syslog-liittimen automatisointi tietojen säännöllistä hakemista varten voidaan tehdä cronilla.

1. Luo automaatiossa käytettävä komentosarja kirjoittamalla sudo nano /tmp/cbsyslogrun.sh ja paina sitten Enter-näppäintä.
   
   Huomautus: Esimerkki luo komentotulkkikomentosarjan /tmp/cbsyslogrun.sh.
2. KopioiVahvista-osiossa käytetty vahvistuskomentosarja ja liitä se tekstieditoriin.
   
3. Sulje näppäinyhdistelmällä CTRL+X.
4. Jatka tallentamalla painamalla Y ja tallenna muutokset.
   
5. Päivitä komentosarja, jotta se voidaan suorittaa komentosarjana kirjoittamalla sudo chmod a+x /tmp/cbsyslogrun.sh ja paina sitten Enter-näppäintä.
   
6. Avaa crontab-tiedosto ja lisää komentosarja automaattisena tehtävänä kirjoittamalla sudo crontab -e ja paina sitten Enter-näppäintä.
7. Crontab käyttää VI-pohjaista syntaksia tekstin muokkaamiseen. Lisää merkkejä painamalla Insert-näppäintä.
8. Kirjoita */[MINUTES] * * * * /tmp/cbsyslogrun.sh ja peruuta sitten tekstin lisäysvaihe painamalla ESC-näppäintä.
   
   Huomautus:

   • [MINUTES] = Minuuttimäärä, joka on odotettava ennen komennon suorittamista uudelleen
   • Esimerkkikuvassa esimerkki suoritetaan 15 minuutin välein.
9. Kirjoita komento kaksoispisteellä (:)).
10. Kirjoita wq ja paina sitten Enter kirjoittaaksesi ja poistuaksesi crontab-editorista.
11. Vahvista muutos kirjoittamalla sudo crontab -l ja paina sitten Enter-näppäintä.
12. Varmista, että ajoitettu tehtävä (vaihe 7) näkyy luettelossa. Jos tehtävä tulee näkyviin, automaatio määritetään. Jos tehtävä ei näy, siirry vaiheeseen 13.
    
13. Kirjoita sudo systemctl start crond.service ja paina sitten Enter-näppäintä.
14. Kirjoita sudo systemctl enable crond.service ja paina sitten Enter-näppäintä.
15. Kirjoita sudo crontab -l ja paina sitten Enter-näppäintä.
    
16. Varmista, että ajoitettu tehtävä näkyy luettelossa.