VMware Carbon Black Cloud Endpoint Standard および Enterprise EDR インテグレーションガイド🔗
以下は次の製品に適用されます:
- VMware Carbon Black Cloud Endpoint Standard
- VMware Carbon Black Cloud Enterprise EDR
VMware Carbon Black Cloud サブスクリプションをインテグレーションするには、Carbon Black ドメインで Secureworks ユーザーアカウントを設定する必要があります。このアカウントの詳細はインテグレーションページで取得され、Enterprise EDR イベントを Secureworks® Taegis™ XDR にインテグレーションできるようになります。
地域
XDRのEU1リージョンは、Carbon BlackのEUリージョンからのみデータを受け入れることができます。
XDR を VMware Carbon Black Cloud と連携するには、Carbon Black Enterprise EDR ダッシュボードから次の4つの情報が必要です:
-
どの 環境 を選択すべきか
-
VMware Carbon Black Cloud アカウントの Org Key
-
Secureworks ユーザーアカウント作成時に Carbon Black ダッシュボードで作成される API Secret Key
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 発見事項 | テクニック発見事項 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| VMware Carbon Black Cloud Endpoint™ Standard | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||
| VMware Carbon Black Cloud Enterprise EDR | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
注意
Carbon Black Cloud Endpoint Standard によって提供されるアラート以外のテレメトリーは、Observations に関連するイベントのみに限定されます。生のイベント量が限られているため、多くの Secureworks® Taegis™ XDR 検知機は Carbon Black Cloud Endpoint Standard では動作しない場合があります。より豊富な生テレメトリーを取得し、より良い検知結果を得るために、Secureworks では Carbon Black Cloud Enterprise EDR の利用を推奨します。
環境の選択🔗
Carbon Black Cloud の設定時にどの環境を選択すべきかを確認するには:
-
Super Admin ロールを持つユーザーで Carbon Black ダッシュボードにログインします。URL の最初の部分 を確認してください。
Carbon Black Dashboard URL -
次の表に記載されている環境と URL を照合します:
Carbon Black Dashboard URL Carbon Black 用 XDR 環境 https://defense-prod05.conferdeploy.net/ prod05 https://dashboard.confer.net/ prod01 https://defense.conferdeploy.net/ prod02 たとえば、URL が https://defense-prod05.conferdeploy.net/ で始まる場合は、環境として
prod05を選択してください。
Org Key の取得🔗
Carbon Black ダッシュボードから Org Key を取得するには:
-
Carbon Black ダッシュボードで Settings→API Access に移動し、API Keys タブから ORG KEY を安全にコピーします。
Carbon Black API Keys
API ID および API Secret Key の取得🔗
-
Access Levels タブに移動し、+ Add Access Level ボタンを選択します。
Carbon Black Add Access Level -
次の設定を行います:
- Name: Secureworks API Access
- Description: Secureworks Access Levels needed for TDR Integration
- Device, Quarantine: Execute を選択
- Device, General Information: Read を選択
- Data Forwarder, Settings: Create, Read, Update, Delete を選択
-
完了したら Save ボタンを選択します。
Carbon Black Access Level Permissions -
API Keys タブに戻り、+ Add API Key ボタンを選択します。
Carbon Black Add API Key -
次の設定を行います:
- Name: Secureworks API Integration Access
- Access Level type: Custom
- Custom Access Level: Secureworks API Access
-
完了したら Save ボタンを選択します。
API Key Creation -
同じ API Keys タブから、右側の Actions のドロップダウンメニューを使用して API ID および API Secret Key を表示し、安全に記録します。
注意
この情報はパスワードと同様に厳重に保護してください。
API Credentials -
API ID および API Secret Key を記録したら、Carbon Black Cloud コレクターの追加 により XDR でインテグレーションを完了します。
ヒント
インテグレーションが成功すると、XDR → 管理 → インテグレーション ページで Carbon Black エントリの横に緑色のチェックマークが表示されます。
Auth イベント収集🔗
要件🔗
- VMware Carbon Black Cloud Enterprise EDR
- Auth イベント収集が有効化されたポリシーの割り当て
- Windows エンドポイント(Carbon Black Cloud Windows Sensor 3.9.1+、Windows 10.0.15063+ でサポート)
Auth イベント収集の有効化🔗
センサーで Auth イベントを収集したい各ポリシーについて、以下の手順を実施してください。
-
左側のナビゲーションペインで Enforce > Policies をクリックし、変更するポリシーを選択します。
-
Sensor タブをクリックし、Enable Auth Event Collection のチェックボックスを選択します。
Carbon Black Enable Auth Events Collection -
Save をクリックします。左側のナビゲーションペインで Investigate をクリックし、Auth Events タブを選択して Auth イベントを表示します。
Carbon Black Investigate Auth Events