Sådan installerer og konfigurerer du VMware Carbon Black Cloud Syslog Connector

Summary: Få mere at vide om, hvordan du installerer og konfigurerer en VMware Carbon Black Cloud-syslog-connector på en CentOS- eller Red Hat Enterprise Linux-baseret server.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Denne artikel beskriver processen med installation, konfiguration og validering af VMware Carbon Black Cloud Syslog-connectoren på Red Hat Enterprise Linux-baserede operativsystemer.

Berørte produkter:

  • VMware Carbon Black Cloud

Administration af flere sikkerhedsprodukter lettes ved at overføre data fra sikkerhedsplatforme til en centraliseret SIEM-løsning (Security Information and Event Management). Med Carbon Black kan data downloades via API'er, konverteres til syslog-format og derefter videresendes til et vilkårligt antal SIEM-løsninger.

VMware Carbon Black Standard eller nyere gør det muligt at konfigurere API'er, hvilket trækker disse data ind i kundemiljøer, hvilket muliggør avancerede regelsæt og forbrug af data i specialbyggede dashboards.

VMware Carbon Blacks Syslog Connector understøtter RPM-baserede Linux-operativsystemer som f.eks. Red Hat Enterprise Linux eller CentOS.

Hvis du vil installere og konfigurere syslog-connectoren, skal en administrator først adressere Forudsætninger, Installer connectoren og derefter Konfigurer connectoren. Derefter kan administratoren validere og automatisere syslog-connectoren. Klik på den relevante proces for at få flere oplysninger.

  1. Log på den Linux-server, som syslog-stikket installeres på, ved hjælp af SSH.
    Bemærk: Du kan finde oplysninger om tilslutning via SSH under Sikring af netværk Dette hyperlink fører dig til et websted uden for Dell Technologies..
  2. Bekræft, at serveren er opdateret ved at køre sudo yum update.
  3. Der skal tilføjes et lager for at installere PIP, da PIP muligvis ikke findes i kerneoperativsystemlagrene. Skriv sudo yum install epel-release og derefter trykke på Enter.
    Tilføjelse af et lager
    Bemærk: Hvis epel-release ikke findes, skal du tilføje lageret ved at køre følgende kommandoer:
    • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
    • sudo rpm -ql epel-release
    Sørg for, at [VERSION] matcher udgivelsen af Red Hat Enterprise Linux eller CentOS, som du kører:
    • Hvis du kører Red Hat Enterprise Linux 8 eller CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
    • Hvis du kører Red Hat Enterprise Linux 7 eller CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  4. Skriv Y og derefter trykke på Enter.
  5. Installer PIP ved at skrive sudo yum install python3 og derefter trykke på Enter.
    Installation af PIP
  6. Installer Python3 build-hjælpeprogrammer ved at skrive sudo yum install gcc python3-devel og derefter trykke på Enter.
    Installation af Python3 build-hjælpeprogrammer
  7. Opdater alle pakker i værtens operativsystem ved at skrive sudo yum update og derefter trykke på Enter.
    Opdatering af alle pakker
  1. Log ind som en konto med sudo-adgang på den server, som stikket installeres på.
  2. Åbn Terminal.
  3. Skriv pip3 install cbc-syslog og derefter trykke på Enter.
    Sådan monteres stikket
    Bemærk:
    • Dette eksempel udnytter PIP3 på CentOS 8. Kommandoen kan variere lidt afhængigt af versionen af Python, og som følge heraf den version af PIP, der bruges.
    • Hvis du installerer uden rod, er standardinstallationsplaceringen:
      • /usr/lib/python{version}/site-packages/cbc_syslog
    • Hvis du installerer med rod, er standardinstallationsplaceringen:
      • /usr/local/lib/python{version}/site-packages/cbc_syslog

En administrator skal konfigurere både VMware Carbon Black Cloud og selve Syslog Connector . Klik på den relevante proces for at få flere oplysninger.

VMware Carbon Black Cloud

VMware Carbon Black Cloud skal konfigureres til at bruge syslog-connectoren. En administrator skal først generere API- og SIEM-nøgler og derefter generere meddelelser til API. Klik på den relevante proces for at få flere oplysninger.

Generer API- og SIEM-nøgler

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Sådan logger du på VMware Carbon Black Cloud
  3. Udvid Indstillinger i venstre menurude, og klik derefter på API-adgang.
    API-adgang
  4. Vælg Tilføj API-nøgle.
    Tilføj API-nøgle
  5. I menuen Tilføj API-nøgle :
    1. Udfyld et navn.
    2. Indtast en Description (Beskrivelse).
    3. Vælg en adgangsniveautype.
    4. Udfyld eksterne autoriserede IP-adresser, der skal anmode om oplysninger fra VMware Carbon Black Cloud.
    5. Klik på Gem.
    Menuen Tilføj API-nøgle
  6. Fra API-legitimationsoplysninger:
    1. Klik på udklipsholderikonet til højre for API-id'et for at kopiere id'et til udklipsholderen.
    2. Registrer API-id et.
    3. Klik på udklipsholderikonet til højre for API-hemmelig nøgle for at kopiere nøglen til udklipsholderen.
    4. Optag API's hemmelige nøgle.
    5. Klik på X i øverste højre hjørne.
    Menuen API-legitimationsoplysninger
  7. Vælg Tilføj API-nøgle.
    Tilføj API-nøgle
  8. I menuen Tilføj API-nøgle :
    1. Udfyld et navn.
    2. Indtast en Description (Beskrivelse).
    3. Vælg en adgangsniveautype.
    4. Udfyld eksterne autoriserede IP-adresser, der skal anmode om oplysninger fra VMware Carbon Black Cloud.
    5. Klik på Gem.
    Menuen Tilføj API-nøgle
  9. Fra API-legitimationsoplysninger:
    1. Klik på udklipsholderikonet til højre for API-id'et for at kopiere id'et til udklipsholderen.
    2. Registrer API-id et.
    3. Klik på udklipsholderikonet til højre for API-hemmelig nøgle for at kopiere nøglen til udklipsholderen.
    4. Optag API's hemmelige nøgle.
    5. Klik på X i øverste højre hjørne.
    Menuen API-legitimationsoplysninger

Generer meddelelser til API

Oplysninger sendes til den tidligere konfigurerede API via meddelelser, der er indstillet i VMware Carbon Black Cloud-konsollen.

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Sådan logger du på VMware Carbon Black Cloud
  3. Udvid Indstillinger i venstre menurude, og klik derefter på Meddelelser.
    Meddelelser
  4. Klik på Tilføj notifikation.
    Tilføj notifikation
  5. Fra menuen Tilføj meddelelse :
    1. Udfyld et navn.
    2. Bestem , hvornår du vil have besked.
    3. Vælg den relevante politik , der skal underrettes om.
    4. Udfyld en e-mail , der skal underrettes på, og vælg eventuelt kun at sende 1 e-mail for hver trusselstype pr. dag.
    5. Udfyld API-nøglerne med det API-id, der tidligere blev genereret.
    6. Klik på Tilføj.
    Tilføj meddelelsesmenu
    Bemærk: Kunder med Carbon Black Enterprise EDR kan også angive overvågningslister, der sendes via SIEM. Dette giver mulighed for en mere målrettet tilgang til informationsindsamling.

Syslog-stik

  1. Opret forbindelse til den server, der er vært for Syslog Connector via SSH.
    Bemærk:
    • Du kan finde oplysninger om oprettelse af forbindelse via SSH ved hjælp af CentOS 8 under Sikring af netværkDette hyperlink fører dig til et websted uden for Dell Technologies..
    • Du kan finde oplysninger om tilslutning via SSH med CentOS 7 i KonfigurationsfilerDette hyperlink fører dig til et websted uden for Dell Technologies..
  2. Opret en sikkerhedskopimappe til syslog-outputtet ved at skrive sudo mkdir /tmp/output/ og derefter trykke på Enter.
    Oprettelse af en sikkerhedskopimappe
  3. Opret konfigurationsfilen ved at skrive sudo touch /tmp/cbsyslog-config.txt og derefter trykke på Enter.
    Oprettelse af en konfigurationsfil
  4. Opret logfilen ved at skrive sudo touch /tmp/cbsyslog-log.log og derefter trykke på Enter.
    Oprettelse af en logfil
  5. Åbn den tidligere oprettede konfigurationsfil ved hjælp af nano med sudo-privilegier ved at skrive sudo nano /tmp/cbsyslog-config.txt og derefter trykke på Enter.
    Åbning af konfigurationsfilen
  6. Kopier følgende tekst, og indsæt den derefter i teksteditoren. 
    [general]
# Template for syslog output.
# This is a jinja 2 template
# NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}

#Location of the Backup Directory
#This will be the location of back up files in the event that results fail to send to Syslog
back_up_dir = /tmp/output/

# This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
# 0 - Emergency: System is unusable.
# 1 - Alert: Action must be taken immediately.
# 2 - Critical: Critical conditions.
# 3 - Error: Error conditions.
# 4 - Warning: Warning conditions.
# 5 - Notice: Normal but significant condition.
# 6 - Informational: Informational messages.
# 7 - Debug: Debug-level messages.
policy_action_severity = 4

# Output format of the data sent. Currently support json or cef formats
# Warning: if using json output_format, we recommend NOT using UDP output_type
output_format=cef

# Configure the specific output.
# Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
#  udp     - Have the events sent over a UDP socket
#  tcp     - Have the events sent over a TCP socket
#  tcp+tls - Have the events sent over a TLS+TCP socket
#  http    - Have the events sent over a HTTP connection
output_type=tcp
# tcpout=IP:port - ie 1.2.3.5:514
tcp_out=
# udpout=IP:port - ie 1.2.3.5:514
#udp_out=
# httpout=http/https endpoint - ie https://server.company.com/endpoint
# http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
# https_ssl_verify = True or False
#http_out=
#http_headers= {'content-type': 'application/json'}
#https_ssl_verify=True
# Override ca file for self signed certificates when using https
# This is typically a .pem file
#requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem

[tls]
# Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
#ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
# Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
# If cert is specified, key is a required parameter
#cert = /etc/cb/integrations/cbc-syslog/cert.pem
# Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
# If key is specified, cert is a required parameter
#key = /etc/cb/integrations/cbc-syslog/cert.key
# Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
#key_password = p@ssw0rd1
# Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
#tls_verify = true

[CarbonBlackCloudServer1]
# Carbon Black Cloud API Connector ID
api_connector_id = EXAMP13
# Carbon Black Cloud API Key
api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud SIEM Connector ID
siem_connector_id = EXAMP131234
# Carbon Black Cloud SIEM Key
siem_api_key = EXAMP13EXAMP13EXAMP13
# Carbon Black Cloud Server URL
# NOTE: this is not the url to the web ui, but to the API URL
# For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
#[CarbonBlackCloudServer2]
#api_connector_id = KJARWBZ111
#api_key = CQF35EIH2WDF69PTWKGC4111
#server_url = https://defense-prod05.conferdeploy.net
  7. Hvis outputtet skal sendes ved hjælp af TCP, skal du udfylde værten og porten med output_type Indstil til TCP.
    Indstilling af output sendt til TCP
    Bemærk: Indstillingerne er redigeret i eksempelbilledet.
  8. Opdater api_connector_id og api_key i henhold til API-typens API-id og API-typens API-hemmelige nøgle.
    Opdatering af api_connector_id og api_key
    Bemærk: Du kan finde oplysninger om, hvor API- og SIEM-nøglerne oprettes, i afsnittet Generer API og SIEM-nøgler ovenfor.
  9. Opdater siem_connector_id og siem_api_key i henhold til SIEM-typens API-id og SIEM-typens API-hemmelige nøgle.
    Opdatering af siem_connector_id og siem_api_key
    Bemærk: Du kan finde oplysninger om, hvor API- og SIEM-nøglerne oprettes, i afsnittet Generer API og SIEM-nøgler ovenfor.
  10. Gem filen ved at holde CTRL nede, og tryk derefter på X. Bekræft for at gemme filen ved at trykke på Y.
    Gemmer filen
  11. Bekræft filnavnet ved at trykke på Enter.
    Bekræftelse af filnavnet

Administratorer skal teste og derefter validere outputtet fra syslog-connectoren. Klik på den relevante proces for at få flere oplysninger.

Test

  1. Åbn Terminal fra Linux-serveren.
  2. Skriv sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] og derefter trykke på Enter.
    Bemærk:
    • [VER] = Version af Python
    • [INSTALLDIRECTORY] = Mappe, hvor syslog-stikket er installeret
    • [LOGFILELOCATION] = Logfilens placering
    • [CONFIGFILELOCATION] = Placering af konfigurationsfilen

Eksempel:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

Test af output
Denne kommando udfører en engangskørsel af syslog-connectoren, der er baseret på den definerede konfigurationsfil og sendes til den definerede logfil.

Når der er udført en testkørsel, skal du kontrollere outputtet baseret på den logfil, der genereres i testindstillingerne. Undersøg logfilen for at bekræfte, om forbindelsen blev oprettet eller mislykkedes.

Bekræfte

  1. Åbn Terminal fra Linux-serveren.
  2. Skriv cat [LOGFILELOCATION] og derefter trykke på Enter.
    Bemærk: [LOGFILELOCATION] = Logfilens placering

Eksempel:

cat /tmp/cbsyslog-log.log

En vellykket kørsel returnerer et svar, der ligner:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Eksempel på svar

Den modtagende SIEM- eller Syslog-instans registrerer alle hændelser, der er sket, siden meddelelsen blev oprettet, i VMware Carbon Black Cloud-konsollen.

Valider i den konfigurerede SIEM- eller Syslog-server, at oplysningerne blev registreret korrekt. Dette varierer fra applikation til applikation.

Automatisering af kørsel af syslog-stikket til regelmæssigt at trække information kan udføres med cron.

  1. Opret et script, der skal bruges til automatiseringen, ved at skrive sudo nano /tmp/cbsyslogrun.sh og derefter trykke på Enter.
    Generering af et script til automatisering
    Bemærk: Eksemplet genererer et shell-script på /tmp/cbsyslogrun.sh.
  2. Kopier det valideringsscript, der blev brugt i afsnittet Valider , og indsæt derefter scriptet i teksteditoren.
    Indsættelse af scriptet
  3. Tryk på Ctrl+X for at afslutte.
  4. Når du bliver bedt om at gemme, skal du trykke på Y for at fortsætte og gemme ændringerne.
    Lagring af ændringerne
  5. Opdater scriptet, så det kan køre som et script ved at skrive sudo chmod a+x /tmp/cbsyslogrun.sh og derefter trykke på Enter.
    Opdatering af scriptet
  6. Åbn crontab-filen for at tilføje scriptet som en automatiseret opgave ved at skrive sudo crontab -e og derefter trykke på Enter.
  7. Crontab udnytter en VI-baseret syntaks til redigering af tekst. Tryk på Indsæt-tasten for at tilføje tegn.
  8. Skriv */[MINUTES] * * * * /tmp/cbsyslogrun.sh og derefter trykke på ESC for at annullere tekstindsættelsesfasen.
    Tilføjelse af tegn
    Bemærk:
    • [MINUTES] = Antal minutter at vente, før kommandoen køres igen
    • I eksempelbilledet kører eksemplet hvert 15. minut.
  9. Tryk på kolon (:) tast for at indtaste en kommando.
  10. Skriv wq og tryk derefter på Enter for at skrive og afslutte crontab-editoren.
  11. Bekræft ændringen ved at skrive sudo crontab -l og derefter trykke på Enter.
  12. Kontroller, at den planlagte opgave (trin 7) vises på listen. Hvis opgaven vises, er automatiseringen konfigureret. Hvis opgaven ikke vises, skal du gå til trin 13.
    Kontrollere den planlagte opgave
  13. Skriv sudo systemctl start crond.service og derefter trykke på Enter.
  14. Skriv sudo systemctl enable crond.service og derefter trykke på Enter.
  15. Skriv sudo crontab -l og derefter trykke på Enter.
    Bekræfte den planlagte opgave endnu en gang
  16. Kontroller, at den planlagte opgave vises på listen.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000193497
Article Type: How To
Last Modified: 01 Aug 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.