VMWare Carbon Black Response Cloud インテグレーションガイド🔗
Secureworks® Taegis™ XDR は、Carbon Black (Cb) とのMSPパートナープログラムとして運用されています。イベント転送のインテグレーションをXDRで有効にするには、XDRが記録上のMSPとなり、データへのアクセスを有効にするようリクエストする必要があります。
注意
XDR は現在、Carbon Black Response Cloudからのnetflowおよびprocessデータのみをサポートしています。資産データやCarbon Blackが生成する検知は現在サポートされていません。
注意
Secureworks® Taegis™ MDR サービスはこのパートナーインテグレーションでは利用できません。
地域
XDRのEU1リージョンは、Carbon BlackのEUリージョンからのみデータを受け入れることができます。
Carbon Blackとのインテグレーションは以下の手順で行います。
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 発見事項 | テクニック発見事項 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| VMware Carbon Black Response Cloud | ✓ | ✓ |
A. XDR ドメイン🔗
XDRアカウントが作成されると、自動的にドメインが作成されます。これにより、Carbon BlackのデータをXDRに取り込むことができます。
B. Carbon Black の認可🔗
ドメインが作成された後、Carbon BlackはSecureworksのS3バケット(XDRが使用)へのイベント転送を許可する前に、お客様からの認可が必要です。
既存のCb Response Cloud実装がある場合🔗
-
Secureworksを、Carbon Blackに対してお客様に代わってチケットを開くことができる連絡先として追加し、Secureworks用の新しいユーザーアカウントをクラウドインスタンス内に作成します。
-
Cbに対して以下の内容でサポートケースを作成します。
“当社のCb Response Cloudインスタンスに対してSecureworks AETDサービスを購入しました。当社のインスタンス名は <
yourInstanceName>.my.carbonblack.io です。Secureworksが当社のアカウントに関連付けられ、当社に代わってケースの提出および対応ができるようにしてください。また、Cb Event Forwarderを設定し、すべてのデータをSecureworksのS3バケットに転送するようにしてください。Carbon Blackは、Event ForwarderをSecureworksと連携するためのすべての詳細情報をすでに保有しています。” -
Cb Response Cloud内で、アクセスレベルがAdministratorの新しいユーザーアカウントを、メールアドレス
3rdpartyvendoraccounts@secureworks.comで追加します。注意
クラウドインスタンスの管理インターフェースへのアクセスは、DCFで定義したIPに限定されることにご注意ください。このアクセス制限は本サービスの管理要件です。
-
上記の手順が完了したら、Secureworksの担当者にご連絡ください。
詳細については、Managed Carbon Black Response Cloud Setup and Operations Guide
をご参照ください。
C. 完了🔗
XDRクライアントアプリケーションで、Carbon Blackイベントが受信されていることを確認してください。