Як встановити та налаштувати з'єднувач VMware Carbon Black Cloud Syslog

Summary: Дізнайтеся про те, як встановити та налаштувати системний з'єднувач VMware Carbon Black Cloud на сервері на базі CentOS або Red Hat Enterprise на базі Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

У цій статті описано процес встановлення, налаштування та перевірки конектора VMware Carbon Black Cloud Syslog в операційних системах Red Hat Enterprise на базі Linux.

Продукти, на які вплинули:

  • VMware Вуглецева Чорна Хмара

Адміністрування кількох продуктів безпеки полегшується за рахунок передачі даних із платформ безпеки в централізоване рішення для управління інформацією та подіями безпеки (SIEM). Carbon Black дозволяє завантажувати дані через API, перетворювати їх у формат syslog, а потім пересилати на будь-яку кількість SIEM-рішень.

VMware Carbon Black Standard або вище дозволяє налаштовувати API, перетягуючи ці дані в клієнтські середовища, що дозволяє використовувати розширені набори правил і споживання даних на спеціально створених інформаційних панелях.

Syslog Connector від VMware Carbon Black підтримує операційні системи Linux на основі RPM, такі як Red Hat Enterprise Linux або CentOS.

Щоб інсталювати та налаштувати з'єднувач системного журналу, адміністратор спочатку має звернутися до розділів «Передумови», «Встановити з'єднувач», а потім «Налаштувати з'єднувач». Після цього адміністратор може перевірити та автоматизувати з'єднувач системного журналу. Натисніть відповідний процес, щоб отримати додаткову інформацію.

  1. Увійдіть на сервер Linux, на який встановлюється з'єднувач syslog, за допомогою SSH.
    Примітка: Для отримання відомостей про підключення через SSH зверніться до розділу Захист мереж. За цим гіперпосиланням ви переходите на веб-сайт за межами Dell Technologies.
  2. Переконайтеся, що сервер оновлено, запустивши sudo yum update.
  3. Для інсталяції PIP необхідно додати репозиторій, оскільки PIP може не бути в репозиторіях основної операційної системи. Тип sudo yum install epel-release і натисніть клавішу Enter.
    Додавання репозиторію
    Примітка: Якщо epel-release не знайдено, додайте репозиторій, виконавши наступні команди:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Переконайтеся, що [VERSION] відповідає релізу Red Hat Enterprise Linux або CentOS, який ви використовуєте:
    • Якщо ви використовуєте Red Hat Enterprise Linux 8 або CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Якщо ви використовуєте Red Hat Enterprise Linux 7 або CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Тип Y і натисніть клавішу Enter.
  5. Встановіть PIP, ввівши текст sudo yum install python3 і натисніть клавішу Enter.
    Встановлення PIP
  6. Встановіть утиліти збірки Python3, вводячи sudo yum install gcc python3-devel і натисніть клавішу Enter.
    Встановлення утиліт збірки Python3
  7. Оновіть усі пакети в операційній системі хоста, ввівши команду sudo yum update і натисніть клавішу Enter.
    Оновлення всіх пакетів
  1. Увійдіть як обліковий запис із sudo доступом на сервері, на якому встановлюється конектор.
  2. Відкрийте Термінал.
  3. Тип pip3 install cbc-syslog і натисніть клавішу Enter.
    Встановлення роз'єму
    Примітка:
    • Цей приклад використовує PIP3 на CentOS 8. Команда може дещо відрізнятися залежно від версії Python, і як наслідок, версії PIP, яка використовується.
    • Якщо інсталяція здійснюється без root, за замовчуванням використовується таке розташування:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Якщо інсталяція здійснюється за допомогою root, за замовчуванням використовується таке розташування:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

Адміністратор повинен налаштувати як VMware Carbon Black Cloud , так і сам Syslog Connector . Натисніть відповідний процес, щоб отримати додаткову інформацію.

VMware Вуглецева Чорна Хмара

VMware Carbon Black Cloud має бути налаштована на використання з'єднувача syslog. Адміністратор повинен спочатку згенерувати API та SIEM-ключі, а потім згенерувати сповіщення для API. Натисніть відповідний процес, щоб отримати додаткову інформацію.

Генерація API та SIEM-ключів

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Вхід у VMware Carbon Black Cloud
  3. В області меню ліворуч розгорніть Налаштування , а потім виберіть Доступ до API.
    Доступ до API
  4. Виберіть Додати ключ API.
    Додайте ключ API
  5. У меню «Додати ключ API »:
    1. Введіть ім'я.
    2. Заповніть опис.
    3. Виберіть тип рівня доступу.
    4. Заповнюйте зовнішні авторизовані IP-адреси , які повинні запитувати інформацію з VMware Carbon Black Cloud.
    5. Натисніть Зберегти.
    Додати меню API Key
  6. З облікових даних API:
    1. Клацніть піктограму буфера обміну праворуч від ідентифікатора API , щоб скопіювати ідентифікатор у буфер обміну.
    2. Запишіть ідентифікатор API.
    3. Натисніть значок буфера обміну праворуч від секретного ключа API , щоб скопіювати ключ у буфер обміну.
    4. Запишіть секретний ключ API.
    5. Натисніть значок X у верхньому правому куті.
    Меню «Облікові дані API»
  7. Виберіть Додати ключ API.
    Додайте ключ API
  8. У меню «Додати ключ API »:
    1. Введіть ім'я.
    2. Заповніть опис.
    3. Виберіть тип рівня доступу.
    4. Заповнюйте зовнішні авторизовані IP-адреси , які повинні запитувати інформацію з VMware Carbon Black Cloud.
    5. Натисніть Зберегти.
    Додати меню API Key
  9. З облікових даних API:
    1. Клацніть піктограму буфера обміну праворуч від ідентифікатора API , щоб скопіювати ідентифікатор у буфер обміну.
    2. Запишіть ідентифікатор API.
    3. Натисніть значок буфера обміну праворуч від секретного ключа API , щоб скопіювати ключ у буфер обміну.
    4. Запишіть секретний ключ API.
    5. Натисніть значок X у верхньому правому куті.
    Меню «Облікові дані API»

Генерація сповіщень для API

Інформація надсилається на раніше налаштований API через повідомлення, які встановлюються в консолі VMware Carbon Black Cloud.

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Вхід у VMware Carbon Black Cloud
  3. В області меню ліворуч розгорніть розділ Настройки та натисніть Сповіщення.
    Сповіщення
  4. Натисніть Додати сповіщення.
    Додати сповіщення
  5. У меню «Додати сповіщення »:
    1. Введіть ім'я.
    2. Визначте , коли ви хочете отримувати сповіщення.
    3. Виберіть відповідну політику , про яку потрібно отримувати сповіщення.
    4. Заповніть електронний лист, на який потрібно отримати сповіщення, і за потреби виберіть Надсилати лише 1 електронний лист для кожного типу загрози на день.
    5. Заповніть ключі API раніше згенерованим ідентифікатором API.
    6. Натисніть Додати.
    Додати меню сповіщень
    Примітка: Клієнти з Carbon Black Enterprise EDR також можуть вказувати списки спостереження, які надсилаються через SIEM. Це дозволяє більш цілеспрямовано підходити до збору інформації.

З'єднувач Syslog

  1. Підключіться до сервера, на якому розміщено Syslog Connector через SSH.
    Примітка:
    • Для отримання інформації про підключення через SSH за допомогою CentOS 8 зверніться до розділу Захист мереж.За цим гіперпосиланням ви переходите на веб-сайт за межами Dell Technologies.
    • Для отримання інформації про підключення через SSH до CentOS 7 зверніться до ФайлівЗа цим гіперпосиланням ви переходите на веб-сайт за межами Dell Technologies. конфігурації.
  2. Створіть резервний каталог для виведення системного журналу, ввівши команду sudo mkdir /tmp/output/ і натисніть клавішу Enter.
    Генерація каталогу резервної копії
  3. Створіть файл конфігурації, ввівши команду sudo touch /tmp/cbsyslog-config.txt і натисніть клавішу Enter.
    Створення конфігураційного файлу
  4. Створіть файл журналу, ввівши sudo touch /tmp/cbsyslog-log.log і натисніть клавішу Enter.
    Створення файлу журналу
  5. Відкрийте раніше створений файл конфігурації за допомогою nano з привілеями sudo, ввівши команду sudo nano /tmp/cbsyslog-config.txt і натисніть клавішу Enter.
    Відкриття файлу конфігурації
  6. Скопіюйте наступний текст, а потім вставте його в текстовий редактор. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Щоб отримати вихідні дані за допомогою TCP, заповніть хост і порт за допомогою output_type встановлено на TCP.
    Налаштування вихідних даних, що надсилаються в TCP
    Примітка: На прикладі зображення налаштування змінено.
  8. Оновіть файл api_connector_id і api_key відповідно до ідентифікатора API типу API та секретного ключа API типу API.
    Оновлення api_connector_id та api_key
    Примітка: Для отримання відомостей про те, де створюються API та SIEM-ключі, зверніться до розділу Generate API та SIEM Keys вище.
  9. Оновіть файл siem_connector_id і siem_api_key відповідно до ідентифікатора API типу SIEM та секретного ключа API типу SIEM.
    Оновлення siem_connector_id та siem_api_key
    Примітка: Для отримання відомостей про те, де створюються API та SIEM-ключі, зверніться до розділу Generate API та SIEM Keys вище.
  10. Збережіть файл, утримуючи клавішу CTRL, а потім натисніть X. Підтвердьте, щоб зберегти файл, натиснувши Y.
    Збереження файлу
  11. Підтвердьте ім'я файлу, натиснувши Enter.
    Підтвердження імені файлу

Адміністратори повинні протестувати, а потім перевірити вихідні дані з з'єднувача syslog. Натисніть відповідний процес, щоб отримати додаткову інформацію.

Тест

  1. На сервері Linux відкрийте Термінал.
  2. Тип sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] і натисніть клавішу Enter.
    Примітка:
    • [VER] = Версія Python
    • [INSTALLDIRECTORY] = Каталог, де встановлено з'єднувач syslog
    • [LOGFILELOCATION] = Розташування файлу журналу
    • [CONFIGFILELOCATION] = Розташування файлу конфігурації

Приклад:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Тестування виводу
Ця команда виконує одноразовий запуск з'єднувача syslog, який базується на визначеному файлі конфігурації та виводить у визначений файл журналу.

Після виконання тестового запуску перевірте вихідні дані на основі файлу журналу, який генерується в параметрах тестування. Перевірте файл журналу, щоб підтвердити успіх або невдачу підключення.

Перевірити

  1. На сервері Linux відкрийте Термінал.
  2. Тип cat [LOGFILELOCATION] і натисніть клавішу Enter.
    Примітка: [LOGFILELOCATION] = Розташування файлу журналу

Приклад:

cat /tmp/cbsyslog-log.log

Успішний запуск повертає відповідь, подібну до такої:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Приклад відповіді

Приймаючий екземпляр SIEM або Syslog виводить будь-які події, що відбулися з моменту створення сповіщення в консолі VMware Carbon Black Cloud.

Перевірте на налаштованому сервері SIEM або Syslog, що інформація була отримана належним чином. Це залежить від кожного застосування.

Автоматизацію запуску конектора syslog для регулярного отримання інформації можна зробити за допомогою cron.

  1. Згенеруйте скрипт, який буде використовуватися для автоматизації, вводячи текст sudo nano /tmp/cbsyslogrun.sh і натисніть клавішу Enter.
    Генерація скрипта для автоматизації
    Примітка: У прикладі генерується скрипт командної оболонки з /tmp/cbsyslogrun.sh.
  2. Скопіюйте сценарій перевірки, який використовувався в розділі «Перевірка», а потім вставте цей сценарій у текстовий редактор.
    Вставка скрипту
  3. Натисніть CTRL+X, щоб вийти.
  4. Коли з'явиться запит на збереження, натисніть Y, щоб продовжити, зберігаючи зміни.
    Збереження змін
  5. Оновіть сценарій, щоб він міг працювати як сценарій, вводячи текст sudo chmod a+x /tmp/cbsyslogrun.sh і натисніть клавішу Enter.
    Оновлення сценарію
  6. Відкрийте файл crontab, щоб додати скрипт як автоматизоване завдання, ввівши sudo crontab -e і натисніть клавішу Enter.
  7. Crontab використовує синтаксис на основі VI для редагування тексту. Натисніть клавішу Insert, щоб додати символи.
  8. Тип */[MINUTES] * * * * /tmp/cbsyslogrun.sh і натисніть клавішу ESC, щоб скасувати етап вставки тексту.
    Додавання символів
    Примітка:
    • [MINUTES] = Кількість хвилин очікування перед повторним виконанням команди
    • На прикладі зображення приклад виконується кожні 15 хвилин.
  9. Натисніть двокрапку (клавіша :), щоб ввести команду.
  10. Тип wq а потім натисніть Enter, щоб записати та вийти з редактора crontab.
  11. Підтвердьте зміну, ввівши sudo crontab -l і натисніть клавішу Enter.
  12. Переконайтеся, що заплановане завдання (крок 7) відображається у списку. Якщо завдання з'являється, налаштовується автоматика. Якщо завдання не з'явилося, перейдіть до кроку 13.
    Перевірка запланованого завдання
  13. Тип sudo systemctl start crond.service і натисніть клавішу Enter.
  14. Тип sudo systemctl enable crond.service і натисніть клавішу Enter.
  15. Тип sudo crontab -l і натисніть клавішу Enter.
    Перевірка запланованого завдання вдруге
  16. Переконайтеся, що заплановане завдання відображається у списку.

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.