VMware Carbon Black Cloud Syslogコネクターをインストールして設定する方法

Summary: CentOSまたはRed Hat Enterprise LinuxベースのサーバーにVMware Carbon Black Cloud Syslogコネクターをインストールして設定する方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

この記事では、Red Hat Enterprise Linuxベースのオペレーティング システムでVMware Carbon Black Cloud Syslogコネクターをインストール、設定、検証するプロセスについて説明します。

対象製品:

  • VMware Carbon Black Cloud

セキュリティ プラットフォームから一元化されたSecurity Information and Event Management (SIEM)ソリューションにデータを転送することで、複数のセキュリティ製品の管理が簡素化されます。Carbon Blackを使用すると、APIを介してデータをダウンロードし、Syslog形式に変換してから、任意の数のSIEMソリューションに転送できます。

VMware Carbon Black Standard以降では、APIを構成し、このデータをお客様の環境に取り込むことで、カスタム構築されたダッシュボードで高度なルールセットとデータ消費を可能にします。

VMware Carbon BlackのSyslogコネクターは、Red Hat Enterprise LinuxやCentOSなどのRPMベースのLinuxオペレーティング システムをサポートします。

Syslogコネクターをインストールして設定するには、まず管理者は前提条件に対処し、コネクターをインストールしてから設定する必要があります。その後、管理者はSyslogコネクターの検証自動化を行います。詳細については、適切なプロセスをクリックしてください。

  1. SSHを使用してSyslogコネクターがインストールされているLinuxサーバーにログインします。
    注:SSHを介した接続の詳細については、「 ネットワークの保護 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。」を参照してください。
  2. 次のコマンドを実行して、サーバーが最新であることを確認します。 sudo yum updateが連携しない場合があります。
  3. PIPをインストールするには、PIPがコア オペレーティング システム リポジトリーにない可能性があるため、リポジトリーを追加する必要があります。コマンド sudo yum install epel-release と入力して、Enterを押します。
    リポジトリーの追加
    注:「Fusion」 epel-release が見つからない場合は、次のコマンドを実行してリポジトリーを追加します。
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    次のことを確認します。 [VERSION] は、実行中のRed Hat Enterprise LinuxまたはCentOSのリリースと一致します。
    • Red Hat Enterprise Linux 8またはCentOS 8を実行している場合: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Red Hat Enterprise Linux 7またはCentOS 7を実行している場合: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. コマンド Y と入力して、Enterを押します。
  5. 次のように入力してPIPをインストールします sudo yum install python3 をクリックし、Enter キーを押します。
    PIPのインストール
  6. 次のように入力して、Python3ビルドユーティリティをインストールします。 sudo yum install gcc python3-devel をクリックし、Enter キーを押します。
    Python3ビルド ユーティリティーのインストール
  7. 次のように入力して、ホスト オペレーティング システム内のすべてのパッケージを更新します。 sudo yum update をクリックし、Enter キーを押します。
    すべてのパッケージの更新
  1. コネクターがインストールされているサーバーで、sudoアクセス権を持つアカウントとしてログインします。
  2. ターミナルを開きます。
  3. コマンド pip3 install cbc-syslog と入力して、Enterを押します。
    コネクターのインストール
    注:
    • この例では、CentOS 8でPIP3を利用します。このコマンドは、Pythonのバージョン、つまり使用されているPIPのバージョンによって若干異なる場合があります。
    • rootなしでインストールする場合、デフォルトのインストール場所は次のとおりです。
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • rootありでインストールする場合、デフォルトのインストール場所は次のとおりです。
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

管理者は、VMware Carbon Black CloudSyslogコネクター自体の両方を設定する必要があります。詳細については、適切なプロセスをクリックしてください。

VMware Carbon Black Cloud

Syslogコネクターを使用するようにVMware Carbon Black Cloudを設定する必要があります。管理者は、まずAPIキーとSIEMキーを生成してから、APIへの通知を生成する必要があります。詳細については、適切なプロセスをクリックしてください。

APIキーとSIEMキーの生成

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    VMware Carbon Black Cloudへのサインイン
  3. 左側のメニュー ペインで[Settings]を展開し、次に[API Access]をクリックします。
    [API Access]
  4. Add API Key]を選択します。
    [Add API Key]
  5. [Add API Key]メニューから、次の手順を実行します。
    1. Name]に名前を入力します。
    2. [説明]を入力します。
    3. Access Level Type]でアクセス レベル タイプを選択します。
    4. Authorized IP Addresses]にVMware Carbon Black Cloudから情報を要求する外部の認証済みIPアドレスを入力します。
    5. Save(保存)」をクリックします。
    [Add API Key]メニュー
  6. [API Credentials]で、次の手順を実行します。
    1. API ID]の右側にあるクリップボード アイコンをクリックして、IDをクリップボードにコピーします。
    2. API ID を記録します。
    3. API Secret Key]の右側にあるクリップボード アイコンをクリックして、キーをクリップボードにコピーします。
    4. APIシークレット キーを記録します。
    5. 右上隅の[X]をクリックします。
    [API Credentials]メニュー
  7. Add API Key]を選択します。
    [Add API Key]
  8. [Add API Key]メニューから、次の手順を実行します。
    1. Name]に名前を入力します。
    2. [説明]を入力します。
    3. Access Level Type]でアクセス レベル タイプを選択します。
    4. Authorized IP Addresses]にVMware Carbon Black Cloudから情報を要求する外部の認証済みIPアドレスを入力します。
    5. Save(保存)」をクリックします。
    [Add API Key]メニュー
  9. [API Credentials]で、次の手順を実行します。
    1. API ID]の右側にあるクリップボード アイコンをクリックして、IDをクリップボードにコピーします。
    2. API ID を記録します。
    3. API Secret Key]の右側にあるクリップボード アイコンをクリックして、キーをクリップボードにコピーします。
    4. APIシークレット キーを記録します。
    5. 右上隅の[X]をクリックします。
    [API Credentials]メニュー

APIへの通知の生成

情報は、VMware Carbon Black Cloudコンソール内で設定された通知を介して、以前に設定されたAPIに送信されます。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    VMware Carbon Black Cloudへのサインイン
  3. 左側のメニュー ペインで[Settings]を展開し、次に[Notifications]をクリックします。
    通知
  4. Add Notification]をクリックします。
    [Add Notification]
  5. [Add Notification]メニューから、次の操作を実行します。
    1. Name]に名前を入力します。
    2. When do you want to be notified?]で通知を受け取るタイミングを選択します。
    3. Policy]で通知する際の適切なポリシーを選択します。
    4. Email]に通知を受け取るEメールを入力し、必要に応じて[Send only 1 email for each threat type per day]を選択します。
    5. API Keys]に、以前に生成されたAPI IDを入力します。
    6. [Add](追加)をクリックします。
    [Add Notification]メニュー
    注:Carbon Black Enterprise EDRをお持ちのお客様は、SIEM経由で送信されるウォッチリストを指定することもできます。これにより、情報収集でよりターゲットを絞ったアプローチが可能になります。

Syslogコネクター

  1. SSHを介してSyslogコネクターをホストしているサーバーに接続します。
    注:
    • CentOS 8を使用してSSH経由で接続する方法の詳細については、「 ネットワークの保護このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。」を参照してください。
    • CentOS 7でSSHを介して接続する方法の詳細については、「 構成ファイルこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。」を参照してください。
  2. 次のように入力して、Syslog出力のバックアップ ディレクトリーを生成します。 sudo mkdir /tmp/output/ と入力して、Enterを押します。
    バックアップ ディレクトリーの生成
  3. 次のように入力して、構成ファイルを作成します。 sudo touch /tmp/cbsyslog-config.txt と入力して、Enterを押します。
    設定ファイルの作成
  4. 次のコマンドを入力してログ ファイルを作成します。 sudo touch /tmp/cbsyslog-log.log と入力して、Enterを押します。
    ログ ファイルの作成
  5. 次のように入力して、sudo権限でnanoを使用して以前に作成した構成ファイルを開きます sudo nano /tmp/cbsyslog-config.txt と入力して、Enterを押します。
    設定ファイルを開く
  6. 次のテキストをコピーして、テキスト エディターに貼り付けます。 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. 出力をTCPを使用して送信するには、 ホストポートoutput_type に設定 TCPが連携しない場合があります。
    TCPに送信される出力の設定
    注:この例のイメージの設定は編集されています。
  8. をアップデートします。 api_connector_idapi_key APIタイプの API ID とAPIタイプの APIシークレットキーに従います。
    api_connector_idとapi_keyのアップデート
    注:API キーと SIEM キーが作成される場所の詳細については、上記の 「API キーと SIEM キーの生成 」セクションを参照してください。
  9. をアップデートします。 siem_connector_idsiem_api_key SIEMタイプの API IDとSIEMタイプの APIシークレットキーに従ってください。
    siem_connector_idとsiem_api_keyのアップデート
    注:API キーと SIEM キーが作成される場所の詳細については、上記の 「API キーと SIEM キーの生成 」セクションを参照してください。
  10. CTRLを押しながらXを押してファイルを保存します。を押してファイルの保存を確定します Yが連携しない場合があります。
    ファイルの保存
  11. Enterを押して、ファイル名を確認します。
    ファイル名の確認

管理者は Syslogコネクターからの出力をテストして 検証 する必要があります。詳細については、適切なプロセスをクリックしてください。

テスト

  1. Linuxサーバーから、ターミナルを開きます。
  2. コマンド sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] と入力して、Enterを押します。
    注:
    • [VER] = Pythonのバージョン
    • [INSTALLDIRECTORY] = Syslogコネクターがインストールされているディレクトリー
    • [LOGFILELOCATION] = ログ ファイルの場所
    • [CONFIGFILELOCATION] = 設定ファイルの場所

Example:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

出力のテスト
このコマンドは、定義された設定ファイルに基づいてSyslogコネクターの1回限りの実行を行い、定義されたログ ファイルに出力します。

テスト実行が実行されたら、テスト オプションで生成されたログ ファイルに基づいて出力を検査します。ログ ファイルを調べて、接続が成功したか失敗したかを確認します。

検証

  1. Linuxサーバーから、ターミナルを開きます。
  2. コマンド cat [LOGFILELOCATION] と入力して、Enterを押します。
    注: [LOGFILELOCATION] = ログ ファイルの場所

Example:

cat /tmp/cbsyslog-log.log

正常に実行されると、次のような応答が返されます。

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

応答の例

受信したSIEMまたはSyslogインスタンスは、VMware Carbon Black Cloudコンソール内で通知が作成されてから発生したイベントを出力します。

構成済みのSIEMまたはSyslogサーバー内で、情報が適切に収集されたことを確認します。これは、アプリケーションごとに異なります。

Syslogコネクターを実行して定期的に情報を取得するプロセスを自動化するには、cronを使用できます。

  1. 次のように入力して、オートメーションに使用するスクリプトを生成します。 sudo nano /tmp/cbsyslogrun.sh と入力して、Enterを押します。
    自動化のためのスクリプトの生成
    注:この例では、次のシェルスクリプトを生成します。 /tmp/cbsyslogrun.shが連携しない場合があります。
  2. [検証]セクションで使用した検証スクリプトをコピーし、そのスクリプトをテキスト エディター内に貼り付けます。
    スクリプトの貼り付け
  3. CTRL+Xを押して終了します。
  4. 保存を求めるプロンプトが表示されたら、Yを押して続行し、変更を保存します。
    変更の保存
  5. 次のように入力して、スクリプトをスクリプトとして実行できるようにします。 sudo chmod a+x /tmp/cbsyslogrun.sh と入力して、Enterを押します。
    スクリプトの更新
  6. crontabファイルを開き、次のように入力してスクリプトを自動タスクとして追加します。 sudo crontab -e と入力して、Enterを押します。
  7. Crontabは、VIベースのシンタックスを使用してテキストを編集します。Insertキーを押して、文字を追加します。
  8. コマンド */[MINUTES] * * * * /tmp/cbsyslogrun.sh をクリックし、Esc キーを押してテキスト挿入フェーズをキャンセルします。
    文字の追加
    注:
    • [MINUTES] = コマンドを再度実行するまでの待機時間(分)
    • この例のイメージでは、15分ごとに実行されます。
  9. コロン(:)キーを押してコマンドを入力します。
  10. コマンド wq 次に、Enterキーを押してcrontabエディターを書き込み、終了します。
  11. 次のように入力して変更を確認します sudo crontab -l と入力して、Enterを押します。
  12. スケジュール済みタスク(手順7)がリストに表示されていることを確認します。タスクが表示されている場合は、自動化が設定されています。タスクが表示されていない場合は、手順13に進みます。
    スケジュール設定されたタスクの確認
  13. コマンド sudo systemctl start crond.service と入力して、Enterを押します。
  14. コマンド sudo systemctl enable crond.service と入力して、Enterを押します。
  15. コマンド sudo crontab -l と入力して、Enterを押します。
    スケジュール設定されたタスクの2回目の確認
  16. スケジュール済みタスクがリストに表示されていることを確認します。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.