Jak zainstalować i skonfigurować łącznik dziennika systemowego VMware Carbon Black Cloud

1. Zaloguj się do serwera Linux, na którym jest instalowany łącznik dziennika systemowego, za pomocą protokołu SSH.
   Uwaga: Aby uzyskać informacje na temat nawiązywania połączenia przez SSH, zapoznaj się z tematem Zabezpieczanie sieci .
2. Sprawdź, czy serwer jest aktualny, uruchamiając polecenie sudo yum update.
3. Aby zainstalować, należy dodać repozytorium, ponieważ może nie znajdować się w repozytoriach głównego systemu operacyjnego. Wpisz sudo yum install epel-release i naciśnij klawisz Enter.
   
   Uwaga: Jeśli epel-release nie można znaleźć, dodaj repozytorium, uruchamiając następujące polecenia:

   • sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-[VERSION].noarch.rpm
   • sudo rpm -ql epel-release

   Upewnij się, że [VERSION] odpowiada wersji systemu Red Hat Enterprise Linux lub CentOS, z którego korzystasz:

   • W przypadku korzystania z systemu Red Hat Enterprise Linux 8 lub CentOS 8: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
   • W przypadku korzystania z systemu Red Hat Enterprise Linux 7 lub CentOS 7: sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
4. Wpisz Y i naciśnij klawisz Enter.
5. Zainstaluj, wpisując sudo yum install python3 , a następnie naciskając Enter.
   
6. Zainstaluj narzędzia kompilacji Python3, wpisując sudo yum install gcc python3-devel , a następnie naciskając Enter.
   
7. Zaktualizuj wszystkie pakiety w systemie operacyjnym hosta, wpisując sudo yum update , a następnie naciskając Enter.
   

1. Zaloguj się jako konto z dostępem sudo na serwerze, na którym łącznik jest instalowany.
2. Otwórz Terminal.
3. Wpisz pip3 install cbc-syslog i naciśnij klawisz Enter.
   
   Uwaga:

   • W tym przykładzie wykorzystano PIP3 w systemie CentOS 8. Polecenie może się nieco różnić w zależności od wersji Python, a w rezultacie używanej wersji PIP.
   • W przypadku instalacji bez katalogu głównego domyślna lokalizacja instalacji to:
     • /usr/lib/python{version}/site-packages/cbc_syslog
   • W przypadku instalacji z katalogiem głównym domyślna lokalizacja instalacji to:
     • /usr/local/lib/python{version}/site-packages/cbc_syslog

Administrator musi skonfigurować zarówno VMware Carbon Black Cloud, jak i sam łącznik dziennika systemowego. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

VMware Carbon Black Cloud

Oprogramowanie VMware Carbon Black Cloud musi być skonfigurowane do korzystania z łącznika dziennika systemowego. Administrator musi najpierw wygenerować klucze API i SIEM, a następnie wygenerować powiadomienia dla interfejsu API. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Generowanie kluczy API i SIEM

1. W przeglądarce internetowej przejdź do strony [REGION].conferdeploy.net.
   Uwaga: [REGION] = region najemcy

   • Ameryka Północna i Południowa = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Azja i Pacyfik = https://defense-prodnrt.conferdeploy.net/
   • Australia i Nowa Zelandia: https://defense-prodsyd.conferdeploy.net
2. Zaloguj się do VMware Carbon Black Cloud.
   
3. W lewym okienku menu rozwiń pozycję Settings, a następnie kliknij pozycję API Access.
   
4. Wybierz pozycję Add API Key.
   
5. W menu Add API Key :
   1. Wypełnij pole Name.
   2. Podaj opis.
   3. Określ ustawienie dla opcji Access Level type.
   4. Wypełnij zewnętrzne autoryzowane adresy IP (Authorized IP addresses), które powinny wymagać informacji z VMware Carbon Black Cloud.
   5. Wybierz przycisk Save.
   
6. Z poziomu poświadczeń interfejsu API:
   1. Kliknij ikonę schowka po prawej stronie identyfikatora interfejsu API, aby skopiować identyfikator do schowka.
   2. Zapisz identyfikator interfejsu API.
   3. Kliknij ikonę schowka po prawej stronie klucza tajnego API, aby skopiować klucz do schowka.
   4. Zapisz tajny klucz API.
   5. Kliknij X w prawym górnym rogu.
   
7. Wybierz pozycję Add API Key.
   
8. W menu Add API Key :
   1. Wypełnij pole Name.
   2. Podaj opis.
   3. Określ ustawienie dla opcji Access Level type.
   4. Wypełnij zewnętrzne autoryzowane adresy IP (Authorized IP addresses), które powinny wymagać informacji z VMware Carbon Black Cloud.
   5. Wybierz przycisk Save.
   
9. Z poziomu poświadczeń interfejsu API:
   1. Kliknij ikonę schowka po prawej stronie identyfikatora interfejsu API, aby skopiować identyfikator do schowka.
   2. Zapisz identyfikator interfejsu API.
   3. Kliknij ikonę schowka po prawej stronie klucza tajnego API, aby skopiować klucz do schowka.
   4. Zapisz tajny klucz API.
   5. Kliknij X w prawym górnym rogu.
   

Generowanie powiadomień o interfejsie API

Informacje są wysyłane do skonfigurowanego wcześniej interfejsu API za pośrednictwem powiadomień ustawionych w konsoli VMware Carbon Black Cloud.

1. W przeglądarce internetowej przejdź do strony [REGION].conferdeploy.net.
   Uwaga: [REGION] = region najemcy

   • Ameryka Północna i Południowa = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Azja i Pacyfik = https://defense-prodnrt.conferdeploy.net/
   • Australia i Nowa Zelandia: https://defense-prodsyd.conferdeploy.net
2. Zaloguj się do VMware Carbon Black Cloud.
   
3. W lewym okienku menu rozwiń pozycję Settings, a następnie kliknij pozycję Notifications.
   
4. Kliknij przycisk Dodaj powiadomienie.
   
5. W menu Add Notification (Dodaj powiadomienie ):
   1. Wypełnij pole Name.
   2. Określ, kiedy chcesz otrzymywać powiadomienia.
   3. Wybierz odpowiednią zasadę, o której chcesz otrzymywać powiadomienia.
   4. Wypełnij adres e-mail, na który chcesz otrzymywać powiadomienia, i opcjonalnie wybierz opcję Send only 1 email for each threat type per day.
   5. Wypełnij pole API Keys identyfikatorem interfejsu API, który został wcześniej wygenerowany.
   6. Kliknij przycisk Add.
   
   Uwaga: Klienci z Carbon Black Enterprise EDR mogą również określać listy kontrolne wysyłane za pośrednictwem SIEM. Pozwala to na bardziej ukierunkowane podejście do gromadzenia informacji.

Łącznik dziennika systemowego

1. Połącz się z serwerem, na którym zainstalowany jest łącznik dziennika systemowego, za pośrednictwem protokołu SSH.
   Uwaga:

   • Aby uzyskać informacje na temat nawiązywania połączenia przez SSH przy użyciu systemu CentOS 8, zapoznaj się z artykułem Zabezpieczanie sieci.
   • Aby uzyskać informacje na temat łączenia się przez SSH z systemem CentOS 7, zapoznaj się z sekcją Pliki konfiguracyjne.
2. Wygeneruj katalog kopii zapasowych dla danych wyjściowych syslogu, wpisując sudo mkdir /tmp/output/ i naciśnij klawisz Enter.
   
3. Utwórz plik konfiguracyjny, wpisując sudo touch /tmp/cbsyslog-config.txt i naciśnij klawisz Enter.
   
4. Utwórz plik dziennika, wpisując sudo touch /tmp/cbsyslog-log.log i naciśnij klawisz Enter.
   
5. Otwórz wcześniej utworzony plik konfiguracyjny za pomocą polecenia nano z uprawnieniami sudo, wpisując sudo nano /tmp/cbsyslog-config.txt i naciśnij klawisz Enter.
   
6. Skopiuj poniższy tekst, a następnie wklej go do edytora tekstu.

   [general]
   # Template for syslog output.
   # This is a jinja 2 template
   # NOTE: The source variable corresponds to the Carbon Black Cloud Server used to retrieve results
   template = {{source}} {{version}}|{{vendor}}|{{product}}|{{dev_version}}|{{signature}}|{{name}}|{{severity}}|{{extension}}
   
   #Location of the Backup Directory
   #This will be the location of back up files in the event that results fail to send to Syslog
   back_up_dir = /tmp/output/
   
   # This sets the default severity level for POLICY_ACTION notifications.  By default it is 4.
   # 0 - Emergency: System is unusable.
   # 1 - Alert: Action must be taken immediately.
   # 2 - Critical: Critical conditions.
   # 3 - Error: Error conditions.
   # 4 - Warning: Warning conditions.
   # 5 - Notice: Normal but significant condition.
   # 6 - Informational: Informational messages.
   # 7 - Debug: Debug-level messages.
   policy_action_severity = 4
   
   # Output format of the data sent. Currently support json or cef formats
   # Warning: if using json output_format, we recommend NOT using UDP output_type
   output_format=cef
   
   # Configure the specific output.
   # Valid options are: 'udp', 'tcp', 'tcp+tls', 'http'
   #  udp     - Have the events sent over a UDP socket
   #  tcp     - Have the events sent over a TCP socket
   #  tcp+tls - Have the events sent over a TLS+TCP socket
   #  http    - Have the events sent over a HTTP connection
   output_type=tcp
   # tcpout=IP:port - ie 1.2.3.5:514
   tcp_out=
   # udpout=IP:port - ie 1.2.3.5:514
   #udp_out=
   # httpout=http/https endpoint - ie https://server.company.com/endpoint
   # http_headers= {'key1': 'value1', 'key2': 'value2'} - ie {'content-type': 'application/json'}
   # https_ssl_verify = True or False
   #http_out=
   #http_headers= {'content-type': 'application/json'}
   #https_ssl_verify=True
   # Override ca file for self signed certificates when using https
   # This is typically a .pem file
   #requests_ca_cert=/usr/share/cb/integrations/cbc-syslog/cert.pem
   
   [tls]
   # Specify a file containing PEM-encoded CA certificates for verifying the peer server when using TLS+TCP syslog
   #ca_cert = /etc/cb/integrations/cbc-syslog/ca.pem
   # Optionally specify a file containing PEM-encoded client certificate for verifying this client when using TLS+TCP syslog
   # If cert is specified, key is a required parameter
   #cert = /etc/cb/integrations/cbc-syslog/cert.pem
   # Optionally specify a file containing PEM-encoded private key for verifying this client when using TLS+TCP syslog
   # If key is specified, cert is a required parameter
   #key = /etc/cb/integrations/cbc-syslog/cert.key
   # Optionally specify the password to decrypt the given private key when using TLS+TCP syslog
   #key_password = p@ssw0rd1
   # Uncomment tls_verify and set to "false" in order to disable verification of the peer server certificate
   #tls_verify = true
   
   [CarbonBlackCloudServer1]
   # Carbon Black Cloud API Connector ID
   api_connector_id = EXAMP13
   # Carbon Black Cloud API Key
   api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud SIEM Connector ID
   siem_connector_id = EXAMP131234
   # Carbon Black Cloud SIEM Key
   siem_api_key = EXAMP13EXAMP13EXAMP13
   # Carbon Black Cloud Server URL
   # NOTE: this is not the url to the web ui, but to the API URL
   # For more than one Carbon Black Cloud Server, add another server using the following template including the stanza
   #[CarbonBlackCloudServer2]
   #api_connector_id = KJARWBZ111
   #api_key = CQF35EIH2WDF69PTWKGC4111
   #server_url = https://defense-prod05.conferdeploy.net
   

7. Aby dane wyjściowe zostały wysłane za pomocą protokołu TCP, wypełnij host i port następującymi output_type ustaw na TCP.
   
   Uwaga: Na widocznym przykładzie przedstawiono ustawienia zredagowane.
8. Zaktualizuj api_connector_id i api_key zgodnie z identyfikatorem API typu API i tajnym kluczem API typu API.
   
   Uwaga: Aby uzyskać informacje o tym, gdzie są tworzone klucze interfejsu API i SIEM, zapoznaj się z sekcją Generowanie kluczy interfejsu API i SIEM powyżej.
9. Zaktualizuj siem_connector_id i siem_api_key zgodnie z identyfikatorem interfejsu API typu SIEM i tajnym kluczem interfejsu API typu SIEM.
   
   Uwaga: Aby uzyskać informacje o tym, gdzie są tworzone klucze interfejsu API i SIEM, zapoznaj się z sekcją Generowanie kluczy interfejsu API i SIEM powyżej.
10. Zapisz plik, przytrzymując CTRL, a następnie naciśnij X. Potwierdź, aby zapisać plik, naciskając Y.
    
11. Potwierdź nazwę pliku, naciskając klawisz Enter.
    

Administratorzy muszą przetestować, a następnie zweryfikować dane wyjściowe z łącznika syslog. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Test

1. Na serwerze Linux otwórz aplikację Terminal.
2. Wpisz sudo python[VER] [INSTALLDIRECTORY]/cbc_syslog.py -l [LOGFILELOCATION] -c [CONFIGFILELOCATION] i naciśnij klawisz Enter.
   Uwaga:

   • [VER] = Wersja Pythona
   • [INSTALLDIRECTORY] = Katalog, w którym jest zainstalowany łącznik syslog
   • [LOGFILELOCATION] = Lokalizacja pliku dziennika
   • [CONFIGFILELOCATION] = Lokalizacja pliku konfiguracyjnego

Przykład:

sudo python3 /usr/local/lib/python3.6/site-packages/cbc_syslog/cbc_syslog.py -l /tmp/cbsyslog-log.log -c /tmp/cbsyslog-config.txt

To polecenie wykonuje jednorazowe uruchomienie łącznika dziennika systemowego, które jest oparte na zdefiniowanym pliku konfiguracyjnym i danych wyjściowych do zdefiniowanego pliku dziennika.

Po przeprowadzeniu testu sprawdź dane wyjściowe na podstawie pliku dziennika wygenerowanego w opcjach testów. Sprawdź plik dziennika, aby potwierdzić pomyślne lub niepomyślne nawiązanie połączenia.

Weryfikacja

1. Na serwerze Linux otwórz aplikację Terminal.
2. Wpisz cat [LOGFILELOCATION] i naciśnij klawisz Enter.
   Uwaga: [LOGFILELOCATION] = Lokalizacja pliku dziennika

Przykład:

cat /tmp/cbsyslog-log.log

Pomyślne uruchomienie zwraca odpowiedź podobną do następującej:

Carbon Black Cloud Syslog 2.0
Carbon Black Cloud Syslog 2.0
Found 1 Carbon Black Cloud Servers in config file
Handling notifications for https://defense-prod05.conferdeploy.net
Sending Notifications
Done Sending Notifications
Sending Audit Logs
Done Sending Audit Logs

Instancja odbierania SIEM lub dziennika systemowego wyświetla wszystkie zdarzenia, które wystąpiły od momentu utworzenia powiadomienia w konsoli VMware Carbon Black Cloud.

Sprawdź w skonfigurowanym serwerze SIEM lub serwerze dziennika systemowego, czy informacje zostały prawidłowo przechwycone. Różni się to w zależności od aplikacji.

Automatyzację uruchamiania łącznika dziennika systemowego w celu regularnego prowadzenia informacji można przeprowadzić za pomocą cron.

1. Wygeneruj skrypt, który będzie używany do automatyzacji, wpisując sudo nano /tmp/cbsyslogrun.sh i naciśnij klawisz Enter.
   
   Uwaga: Przykład generuje skrypt powłoki /tmp/cbsyslogrun.sh.
2. Skopiuj skrypt walidacji, który został użyty w sekcji Weryfikuj , a następnie wklej ten skrypt do edytora tekstu.
   
3. Naciśnij klawisze CTRL+X, aby wyjść.
4. Po wyświetleniu monitu o zapisanie naciśnij klawisz Y, aby kontynuować po zapisaniu zmian.
   
5. Zaktualizuj skrypt, aby umożliwić jego uruchamianie jako skryptu, wpisując sudo chmod a+x /tmp/cbsyslogrun.sh i naciśnij klawisz Enter.
   
6. Otwórz plik crontab, aby dodać skrypt jako zadanie automatyczne, wpisując sudo crontab -e i naciśnij klawisz Enter.
7. Crontab wykorzystuje składnię opartą na VI do edycji tekstu. Naciśnij klawisz Insert, aby dodać znaki.
8. Wpisz */[MINUTES] * * * * /tmp/cbsyslogrun.sh , a następnie naciśnij ESC, aby anulować fazę wstawiania tekstu.
   
   Uwaga:

   • [MINUTES] = Liczba minut oczekiwania przed ponownym uruchomieniem polecenia
   • W podanym przykładzie przykład polecenie jest uruchamiane co 15 minut.
9. Naciśnij klawisz dwukropka (:), aby wprowadzić polecenie.
10. Wpisz wq a następnie naciśnij Enter, aby zapisać i wyjść z edytora crontab.
11. Potwierdź zmianę, wpisując sudo crontab -l i naciśnij klawisz Enter.
12. Sprawdź, czy zaplanowane zadanie (krok 7) jest wyświetlane na liście. Jeśli zadanie jest widoczne, automatyzacja została skonfigurowana. Jeśli zadanie nie jest widoczne, przejdź do kroku 13.
    
13. Wpisz sudo systemctl start crond.service i naciśnij klawisz Enter.
14. Wpisz sudo systemctl enable crond.service i naciśnij klawisz Enter.
15. Wpisz sudo crontab -l i naciśnij klawisz Enter.
    
16. Sprawdź, czy zaplanowane zadanie jest wyświetlane na liście.