Installation et configuration d’un connecteur syslog VMware Carbon Black Cloud

1. Connectez-vous au serveur Linux sur lequel le connecteur syslog est installé à l’aide de SSH.
   Remarque : Pour plus d’informations sur la connexion via SSH, reportez-vous à la section Sécurisation des réseaux .
2. Vérifiez que le serveur est à jour en exécutant sudo yum update.
3. Un référentiel doit être ajouté pour installer PIP, car PIP peut ne pas se trouver dans les référentiels principaux du système d’exploitation. Saisissez sudo yum install epel-release puis appuyez sur Entrée.
   
   Remarque : Si la demande epel-release est introuvable, ajoutez le référentiel en exécutant les commandes suivantes :

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   Assurez-vous que l’option [VERSION] correspond à la version de Red Hat Enterprise Linux ou CentOS que vous exécutez :

   • Si vous exécutez Red Hat Enterprise Linux 8 ou CentOS 8 : sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • Si vous exécutez Red Hat Enterprise Linux 7 ou CentOS 7 : sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. Saisissez Y puis appuyez sur Entrée.
5. Installez PIP en saisissant sudo yum install python3 , puis appuyez sur Entrée.
   
6. Installez les utilitaires de compilation Python3 en saisissant sudo yum install gcc python3-devel , puis appuyez sur Entrée.
   
7. Mettez à jour tous les packages du système d’exploitation hôte en saisissant : sudo yum update , puis appuyez sur Entrée.
   

1. Connectez-vous avec un compte avec un accès sudo sur le serveur sur lequel le connecteur est en cours d’installation.
2. Ouvrez le Terminal.
3. Saisissez pip3 install cbc-syslog puis appuyez sur Entrée.
   
   Remarque :

   • Cet exemple utilise PIP3 sur CentOS 8. La commande peut légèrement varier en fonction de la version de Python et, par conséquent, de la version de PIP utilisée.
   • Si vous effectuez l’installation sans root, l’emplacement d’installation par défaut est le suivant :
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • Si vous effectuez l’installation avec root, l’emplacement d’installation par défaut est le suivant :
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

Un administrateur doit configurer VMware Carbon Black Cloud ainsi que le connecteur syslog. Cliquez sur le processus approprié pour obtenir plus d’informations.

VMware Carbon Black Cloud

VMware Carbon Black Cloud doit être configuré pour utiliser le connecteur syslog. Un administrateur doit d’abord générer des clés API et SIEM, puis générer des notifications pour l’API. Cliquez sur le processus approprié pour obtenir plus d’informations.

Générer des clés API et SIEM

1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
   Remarque : [REGION] = Zone géographique du client

   • Amérique = https://defense-prod05.conferdeploy.net/
   • Europe = https://defense-eu.conferdeploy.net/
   • Asie Pacifique = https://defense-prodnrt.conferdeploy.net/
   • Australie et Nouvelle-Zélande = https://defense-prodsyd.conferdeploy.net
2. Connectez-vous à VMware Carbon Black Cloud.
   
3. Dans le volet du menu de gauche, développez Settings, puis cliquez sur API Access.
   
4. Sélectionnez Add API Key.
   
5. Dans le menu Add API Key :
   1. Saisissez un nom.
   2. Saisissez une description.
   3. Sélectionnez un type de niveau d’accès.
   4. Renseignez les adresses IP autorisées externes qui doivent demander des informations auprès de VMware Carbon Black Cloud.
   5. Cliquez sur Save (Enregistrer).
   
6. Informations d’identification de l’API :
   1. Cliquez sur l’icône du presse-papiers à droite de l’ID d’API pour copier l’ID dans le presse-papiers.
   2. Enregistrez l’ID d’API.
   3. Cliquez sur l’icône du presse-papiers à droite de la clé secrète de l’API pour copier la clé dans le presse-papiers.
   4. Enregistrez la clé secrète de l’API.
   5. Cliquez sur la croix X dans l'angle supérieur droit.
   
7. Sélectionnez Add API Key.
   
8. Dans le menu Add API Key :
   1. Saisissez un nom.
   2. Saisissez une description.
   3. Sélectionnez un type de niveau d’accès.
   4. Renseignez les adresses IP autorisées externes qui doivent demander des informations auprès de VMware Carbon Black Cloud.
   5. Cliquez sur Save (Enregistrer).
   
9. Informations d’identification de l’API :
   1. Cliquez sur l’icône du presse-papiers à droite de l’ID d’API pour copier l’ID dans le presse-papiers.
   2. Enregistrez l’ID d’API.
   3. Cliquez sur l’icône du presse-papiers à droite de la clé secrète de l’API pour copier la clé dans le presse-papiers.
   4. Enregistrez la clé secrète de l’API.
   5. Cliquez sur la croix X dans l'angle supérieur droit.
   

Générer des notifications pour l’API

Les informations sont envoyées à l’API précédemment configurée via des notifications définies dans la console VMware Carbon Black Cloud.

1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
   Remarque : [REGION] = Zone géographique du client

   • Amérique = https://defense-prod05.conferdeploy.net/
   • Europe = https://defense-eu.conferdeploy.net/
   • Asie Pacifique = https://defense-prodnrt.conferdeploy.net/
   • Australie et Nouvelle-Zélande = https://defense-prodsyd.conferdeploy.net
2. Connectez-vous à VMware Carbon Black Cloud.
   
3. Dans le volet du menu de gauche, développez Settings, puis cliquez sur Notifications.
   
4. Cliquez sur Add Notification.
   
5. Dans le menu Add Notification :
   1. Saisissez un nom.
   2. Déterminez quand vous souhaitez être informé.
   3. Sélectionnez la stratégie correspondant à la notification.
   4. Saisissez une adresse e-mail à laquelle être informé et sélectionnez éventuellement Send only 1 email for each threat type per day.
   5. Renseignez les clés d’API avec l’ID d’API généré précédemment.
   6. Cliquez sur Ajouter.
   
   Remarque : Les clients disposant de Carbon Black Enterprise EDR peuvent également spécifier des listes de surveillance envoyées via SIEM. Cela permet d’adopter une approche plus ciblée de la collecte d’informations.

Connecteur syslog

1. Connectez-vous au serveur hébergeant le connecteur syslog via SSH.
   Remarque :

   • Pour plus d’informations sur la connexion via SSH à l’aide de CentOS 8, reportez-vous à la section Sécurisation des réseaux.
   • Pour plus d’informations sur la connexion via SSH avec CentOS 7, reportez-vous à la section Fichiers de configuration.
2. Générez un répertoire de sauvegarde pour la sortie syslog en saisissant sudo mkdir /tmp/output/ puis appuyez sur Entrée.
   
3. Créez le fichier de configuration en saisissant sudo touch /tmp/cbsyslog-config.txt puis appuyez sur Entrée.
   
4. Créez le fichier journal en saisissant : sudo touch /tmp/cbsyslog-log.log puis appuyez sur Entrée.
   
5. Ouvrez le fichier de configuration précédemment créé à l’aide de nano avec privilèges sudo en saisissant sudo nano /tmp/cbsyslog-config.txt puis appuyez sur Entrée.
   
6. Copiez le texte suivant, puis collez-le dans l’éditeur de texte.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. Pour que la sortie soit envoyée à l’aide de TCP, renseignez l’hôte et le port avec output_type se mettre à TCP.
   
   Remarque : Les paramètres sont supprimés dans l’exemple d’image.
8. Mettez à jour le api_connector_id et api_key en fonction de l’ID d’API du type d’API et de la clé secrète de l’API du type d’API.
   
   Remarque : Pour plus d’informations sur l’emplacement de création des clés API et SIEM, consultez la section Générer des clés API et SIEM ci-dessus.
9. Mettez à jour le siem_connector_id et siem_api_key en fonction de l’ID API du type SIEM et de la clé secrète API du type SIEM.
   
   Remarque : Pour plus d’informations sur l’emplacement de création des clés API et SIEM, consultez la section Générer des clés API et SIEM ci-dessus.
10. Enregistrez le fichier en maintenant la touche CTRL enfoncée, puis appuyez sur X. Confirmez l’enregistrement du fichier en appuyant sur Y.
    
11. Pour confirmer le nom de fichier, appuyez sur Enter.
    

Les administrateurs doivent tester, puis valider la sortie à partir du connecteur syslog. Cliquez sur le processus approprié pour obtenir plus d’informations.

Test

1. À partir du serveur Linux, ouvrez le Terminal.
2. Saisissez sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] puis appuyez sur Entrée.
   Remarque :

   • [VER] = Version de Python
   • [INSTALLDIRECTORY] = Répertoire dans lequel le connecteur syslog est installé
   • [LOGFILELOCATION] = Emplacement du fichier journal
   • [CONFIGFILELOCATION] = Emplacement du fichier de configuration

Exemple :

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Cette commande exécute une exécution unique du connecteur syslog en fonction du fichier de configuration défini et des sorties vers le fichier journal défini.

Une fois l'exécution de test effectuée, inspectez la sortie en fonction du fichier journal généré dans les options de test. Consultez le fichier journal pour confirmer la réussite ou l’échec de la connexion.

Valider

1. À partir du serveur Linux, ouvrez le Terminal.
2. Saisissez cat [LOGFILELOCATION] puis appuyez sur Entrée.
   Remarque : [LOGFILELOCATION] = Emplacement du fichier journal

Exemple :

cat /tmp/cbsyslog-log.log

Une exécution réussie renvoie une réponse semblable à la suivante :

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

L’instance SIEM ou Syslog réceptrice génère tous les événements qui se sont produits depuis la création de la notification dans la console VMware Carbon Black Cloud.

Dans le serveur SIEM ou Syslog configuré, vérifiez que les informations ont été correctement capturées. Cela varie en fonction de chaque application.

L’automatisation de l’exécution du connecteur syslog permettant d’extraire régulièrement des informations peut être effectuée avec cron.

1. Générez un script à utiliser pour l’automatisation en saisissant sudo nano /tmp/cbsyslogrun.sh puis appuyez sur Entrée.
   
   Remarque : L’exemple génère un script shell de /tmp/cbsyslogrun.sh.
2. Copiez le script de validation utilisé dans la section Valider , puis collez-le dans l’éditeur de texte.
   
3. Appuyez sur la combinaison de touches CTRL + X pour quitter.
4. Lorsque vous êtes invité à enregistrer, appuyez sur Y pour continuer et enregistrer les modifications.
   
5. Mettez à jour le script pour qu’il puisse s’exécuter en tant que script en saisissant sudo chmod a+x /tmp/cbsyslogrun.sh puis appuyez sur Entrée.
   
6. Ouvrez le fichier crontab pour ajouter le script en tant que tâche automatisée en saisissant sudo crontab -e puis appuyez sur Entrée.
7. Crontab utilise une syntaxe basée sur VI pour l’édition de texte. Appuyez sur la touche Inser pour ajouter des caractères.
8. Saisissez */[MINUTES] * * * * /tmp/cbsyslogrun.sh puis appuyez sur Echap pour annuler la phase d’insertion de texte.
   
   Remarque :

   • [MINUTES] = Nombre de minutes à attendre avant d’exécuter à nouveau la commande
   • Dans l’exemple d’image, l’exemple s’exécute toutes les 15 minutes.
9. Appuyez sur la touche deux-points (:) pour saisir une commande.
10. Saisissez wq puis appuyez sur Entrée pour écrire et quitter l’éditeur crontab.
11. Confirmez la modification en saisissant sudo crontab -l puis appuyez sur Entrée.
12. Vérifiez que la tâche planifiée (Étape 7) s'affiche dans la liste. Si la tâche s’affiche, l’automatisation est configurée. Si la tâche ne s’affiche pas, passez à l’étape 13.
    
13. Saisissez sudo systemctl start crond.service puis appuyez sur Entrée.
14. Saisissez sudo systemctl enable crond.service puis appuyez sur Entrée.
15. Saisissez sudo crontab -l puis appuyez sur Entrée.
    
16. Vérifiez que la tâche planifiée s’affiche dans la liste.