Installera och konfigurera VMware Carbon Black Cloud Syslog-koppling

Summary: Lär dig mer om hur du installerar och konfigurerar en syslog-koppling för VMware Carbon Black Cloud på en CentOS- eller Red Hat Enterprise Linux-baserad server.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Den här artikeln vägleder processen för installation, konfiguration och validering av VMware Carbon Black Cloud Syslog-anslutningsappen på Red Hat Enterprise Linux-baserade operativsystem.

Berörda produkter:

  • VMware Carbon Black Cloud

Administration av flera säkerhetsprodukter underlättas genom överföring av data från säkerhetsplattformar till en centraliserad SIEM-lösning (Security Information and Event Management). Carbon Black gör det möjligt att ladda ner data via API:er, konvertera till syslog-format och sedan vidarebefordra till valfritt antal SIEM-lösningar.

VMware Carbon Black Standard eller högre gör det möjligt att konfigurera API:er, vilket hämtar dessa data till kundmiljöer, vilket möjliggör avancerade regeluppsättningar och förbrukning av data i specialbyggda instrumentpaneler.

VMware Carbon Blacks Syslog-anslutningsprogram stöder RPM-baserade Linux-operativsystem, till exempel Red Hat Enterprise Linux eller CentOS.

Om du vill installera och konfigurera syslog-anslutningsappen måste en administratör först ta itu med kraven, installera anslutningsappen och sedan konfigurera anslutningsappen. Därefter kan administratören validera och automatisera syslog-anslutningsappen. Klicka på avsnitten nedan för mer information.

  1. Logga in på Linux-servern som syslog-anslutningsappen installeras på med SSH.
    Obs! Information om hur du ansluter via SSH finns i Skydda nätverk Den här hyperlänken tar dig till en webbplats utanför Dell Technologies..
  2. Verifiera att servern är uppdaterad genom att köra sudo yum update.
  3. En lagringsplats måste läggas till för att installera PIP, eftersom PIP kanske inte finns i operativsystemets kärndata. Typ sudo yum install epel-release och tryck sedan på Enter.
    Lägga till en lagringsplats
    Obs! Om epel-release inte hittas lägger du till lagringsplatsen genom att köra följande kommandon:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Se till att [VERSION] matchar versionen av Red Hat Enterprise Linux eller CentOS som du kör:
    • Om du kör Red Hat Enterprise Linux 8 eller CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Om du kör Red Hat Enterprise Linux 7 eller CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Typ Y och tryck sedan på Enter.
  5. Installera PIP genom att skriva sudo yum install python3 och tryck sedan på Enter.
    Installera PIP
  6. Installera Python3-byggverktyg genom att skriva sudo yum install gcc python3-devel och tryck sedan på Enter.
    Installera Python3-byggverktyg
  7. Uppdatera alla paket i värdoperativsystemet genom att skriva sudo yum update och tryck sedan på Enter.
    Uppdaterar alla paket
  1. Logga in som ett konto med sudo-åtkomst på den server som anslutningsappen installeras på.
  2. Öppna Terminal.
  3. Typ pip3 install cbc-syslog och tryck sedan på Enter.
    Installera kontakten
    Obs!
    • I det här exemplet används PIP3 på CentOS 8. Kommandot kan variera något beroende på vilken version av Python och därför vilken version av PIP som används.
    • Om du installerar utan root är standardinstallationsplatsen:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Om du installerar med root är standardinstallationsplatsen:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

En administratör måste konfigurera både VMware Carbon Black Cloud och själva Syslog Connector . Klicka på avsnitten nedan för mer information.

VMware Carbon Black Cloud

VMware Carbon Black Cloud måste konfigureras för användning av syslog-anslutningsappen. En administratör måste först generera API- och SIEM-nycklaroch sedan generera meddelanden för API. Klicka på avsnitten nedan för mer information.

Generera API- och SIEM-nycklar

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in på VMware Carbon Black Cloud
  3. I det vänstra menyfönstret expanderar du Inställningar och klickar sedan på API-åtkomst.
    API-åtkomst
  4. Välj Lägg till API-nyckel.
    Lägg till API-nyckel
  5. På menyn Lägg till API-nyckel :
    1. Ange ett namn.
    2. Ange en beskrivning.
    3. Välj en typ av åtkomstnivå.
    4. Ange externa auktoriserade IP-adresser som ska begära information från VMware Carbon Black Cloud.
    5. Klicka på Save.
    Menyn Add API Key
  6. Från API-autentiseringsuppgifter:
    1. Klicka på urklippsikonen till höger om API-ID: t för att kopiera ID:t till Urklipp.
    2. Registrera API-ID:t.
    3. Klicka på urklippsikonen till höger om den hemliga API-nyckeln för att kopiera nyckeln till Urklipp.
    4. Registrera den hemliga API-nyckeln.
    5. Klicka på X i det övre högra hörnet.
    Menyn API-inloggningsuppgifter
  7. Välj Lägg till API-nyckel.
    Lägg till API-nyckel
  8. På menyn Lägg till API-nyckel :
    1. Ange ett namn.
    2. Ange en beskrivning.
    3. Välj en typ av åtkomstnivå.
    4. Ange externa auktoriserade IP-adresser som ska begära information från VMware Carbon Black Cloud.
    5. Klicka på Save.
    Menyn Add API Key
  9. Från API-autentiseringsuppgifter:
    1. Klicka på urklippsikonen till höger om API-ID: t för att kopiera ID:t till Urklipp.
    2. Registrera API-ID:t.
    3. Klicka på urklippsikonen till höger om den hemliga API-nyckeln för att kopiera nyckeln till Urklipp.
    4. Registrera den hemliga API-nyckeln.
    5. Klicka på X i det övre högra hörnet.
    Menyn API-inloggningsuppgifter

Generera meddelanden för API

Information skickas till det tidigare konfigurerade API:t via meddelanden som ställs in i VMware Carbon Black Cloud-konsolen.

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in på VMware Carbon Black Cloud
  3. I den vänstra menyrutan expanderar du Inställningar och klickar sedan på Meddelanden.
    Meddelanden
  4. Klicka på Add Notification.
    Lägg till meddelande
  5. På menyn Lägg till meddelande :
    1. Ange ett namn.
    2. Bestäm när du vill bli meddelad.
    3. Välj lämplig policy att bli meddelad om.
    4. Ange ett e-postmeddelande som ska meddelas och välj att endast skicka 1 e-postmeddelande för varje hottyp per dag.
    5. Fyll i API-nycklarna med det API-ID som genererades tidigare.
    6. Klicka på Add.
    Menyn Lägg till meddelande
    Obs! Kunder med Carbon Black Enterprise EDR kan också ange visningslistor som skickas via SIEM. Detta möjliggör en mer målinriktad strategi för informationsinsamling.

Syslog-anslutningsapp

  1. Anslut till servern som är värd för Syslog-anslutningsappen via SSH.
    Obs!
  2. Generera en säkerhetskopieringskatalog för syslog-utdata genom att skriva sudo mkdir /tmp/output/ och tryck sedan på Enter.
    Generera en säkerhetskopieringskatalog
  3. Skapa konfigurationsfilen genom att skriva sudo touch /tmp/cbsyslog-config.txt och tryck sedan på Enter.
    Skapa en konfigurationsfil
  4. Skapa loggfilen genom att skriva sudo touch /tmp/cbsyslog-log.log och tryck sedan på Enter.
    Skapa en loggfil
  5. Öppna den tidigare skapade konfigurationsfilen med nano med sudo-privilegier genom att skriva sudo nano /tmp/cbsyslog-config.txt och tryck sedan på Enter.
    Öppna konfigurationsfilen
  6. Kopiera följande text och klistra sedan in den i textredigeraren. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Om du vill att utdata ska skickas med TCP fyller du i värden och porten med output_type inställd på TCP.
    Ställa in utdata som skickas till TCP
    Obs! I exempelbilden har inställningarna redigerade.
  8. Uppdatera api_connector_id och api_key enligt API-typens API-ID och API-typens API-hemliga nyckel.
    Uppdatera api_connector_id och api_key
    Obs! Information om var API- och SIEM-nycklarna skapas finns i avsnittet Generera API- och SIEM-nycklar ovan.
  9. Uppdatera siem_connector_id och siem_api_key enligt SIEM-typens API-ID och SIEM-typens API-hemliga nyckel.
    Uppdatera siem_connector_id och siem_api_key
    Obs! Information om var API- och SIEM-nycklarna skapas finns i avsnittet Generera API- och SIEM-nycklar ovan.
  10. Spara filen genom att hålla ned CTRL och tryck sedan på X. Bekräfta att du vill spara filen genom att trycka på Y.
    Spara filen
  11. Bekräfta filnamnet genom att trycka på Enter.
    Bekräfta filnamnet

Administratörer måste testa och sedan verifiera utdata från syslog-anslutningsappen. Klicka på avsnitten nedan för mer information.

Test

  1. Från Linux-servern öppnar du Terminal.
  2. Typ sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] och tryck sedan på Enter.
    Obs!
    • [VER] = Version av Python
    • [INSTALLDIRECTORY] = Katalog där syslog-anslutningsappen är installerad
    • [LOGFILELOCATION] = Loggfilens plats
    • [CONFIGFILELOCATION] = Plats för konfigurationsfilen

Exempel:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Testa utdata
Det här kommandot utför en engångskörning av syslog-anslutningsappen som baseras på den definierade konfigurationsfilen och matar ut till den definierade loggfilen.

När en testkörning har utförts kontrollerar du utdata baserat på loggfilen som genereras i testalternativen. Granska loggfilen för att bekräfta att anslutningen lyckades eller misslyckades.

Validera

  1. Från Linux-servern öppnar du Terminal.
  2. Typ cat [LOGFILELOCATION] och tryck sedan på Enter.
    Obs! [LOGFILELOCATION] = Loggfilens plats

Exempel:

cat /tmp/cbsyslog-log.log

En lyckad körning returnerar ett svar som liknar:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Exempel på svar

Den mottagande SIEM- eller Syslog-instansen matar ut alla händelser som har inträffat sedan meddelandet skapades i VMware Carbon Black Cloud-konsolen.

Verifiera i den konfigurerade SIEM- eller Syslog-servern att informationen har samlats in korrekt. Detta varierar med varje applikation.

Automatisering av körning av syslog-anslutningsappen för att regelbundet hämta information kan göras med cron.

  1. Generera ett skript som ska användas för automatiseringen genom att skriva sudo nano /tmp/cbsyslogrun.sh och tryck sedan på Enter.
    Generera ett skript för automatisering
    Obs! Exemplet genererar ett skalskript med /tmp/cbsyslogrun.sh.
  2. Kopiera valideringsskriptet som användes i avsnittet Validera och klistra sedan in skriptet i textredigeraren.
    Klistra in skriptet
  3. Tryck på CTRL + X för att avsluta.
  4. När du uppmanas att spara, tryck på Y för att fortsätta och spara ändringarna.
    Spara ändringarna
  5. Uppdatera skriptet så att det kan köras som ett skript genom att skriva sudo chmod a+x /tmp/cbsyslogrun.sh och tryck sedan på Enter.
    Uppdaterar skriptet
  6. Öppna crontab-filen för att lägga till skriptet som en automatiserad uppgift genom att skriva sudo crontab -e och tryck sedan på Enter.
  7. Crontab använder en VI-baserad syntax för att redigera text. Tryck på Insert-tangenten för att lägga till tecken.
  8. Typ */[MINUTES] * * * * /tmp/cbsyslogrun.sh och tryck sedan på ESC för att avbryta infogningsfasen.
    Lägga till tecken
    Obs!
    • [MINUTES] = Antal minuter att vänta innan kommandot körs igen
    • I exempelbilden körs exemplet var 15:e minut.
  9. Tryck på kolon (:)tangenten för att ange ett kommando.
  10. Typ wq och tryck sedan på Enter för att skriva och avsluta crontab-redigeraren.
  11. Bekräfta ändringen genom att skriva sudo crontab -l och tryck sedan på Enter.
  12. Kontrollera att den schemalagda aktiviteten (steg 7) visas i listan. Om uppgiften visas är automatiseringen konfigurerad. Om uppgiften inte visas går du till steg 13.
    Verifiera den schemalagda aktiviteten
  13. Typ sudo systemctl start crond.service och tryck sedan på Enter.
  14. Typ sudo systemctl enable crond.service och tryck sedan på Enter.
  15. Typ sudo crontab -l och tryck sedan på Enter.
    Verifiera den schemalagda aktiviteten en andra gång
  16. Kontrollera att den schemalagda aktiviteten visas i listan.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.