炭黑
几个碳黑 DSM 可以与 JSA 集成。用于 Carbon Black 的 JSA DSM 从 Carbon Black 服务器收集端点保护事件。
下表介绍了炭黑 DSM 的规格:
| 规范 |
价值 |
|---|---|
| 制造商 |
炭黑 |
| DSM 名称 |
炭黑 |
| RPM 文件名 |
DSM-CarbonBlack CarbonBlack-JSA_version-build_number.noarch.rpm |
| 支持的版本 |
5.1 及更高版本 |
| 协议 |
Syslog |
| 记录的事件类型 |
关注列表命中数 |
| 自动发现? |
是的 |
| 包括身份信息? |
不 |
| 包括自定义属性? |
不 |
| 更多信息 |
Carbon Black 网站 (https://www.carbonblack.com/products/cb-response/) |
要将 Carbon Black 与 JSA 集成,请完成以下步骤:
-
如果未启用自动更新,请从 瞻博网络下载 文件将以下 RPM 的最新版本下载并安装到 JSA 控制台:
-
炭黑 DSM RPM
-
DSMCommon RPM
-
-
配置您的 Carbon Black 设备,将系统日志事件发送到 JSA。
-
如果 JSA 未自动检测到日志源,则可在 JSA 控制台上添加 Carbon Black 日志源。下表介绍了需要为 Carbon Black 事件收集提供特定值的参数:
表 2:炭黑对数源参数 参数
价值
日志源类型
炭黑
协议配置
Syslog
配置 Carbon Black 与 JSA 通信
要从 Carbon Black 收集事件,必须安装和配置 cb 事件转发器,以便将 Carbon Black 事件发送到 JSA。
安装 Carbon Black Enterprise RPM 并确保其运行。您可以在运行 CentOS 6.x 的任何 64 位 Linux 计算机上安装 cb 事件转发器。它可以与 Carbon Black 服务器安装在同一台电脑上,也可以安装在另一台电脑上。如果要将许多事件(例如,所有文件修改和/或注册表修改)转发到 JSA,请在单独的服务器上安装 cb 事件转发器 。如果您没有将许多事件转发到 JSA,则可以在 Carbon Black 服务器上安装 cb 事件转发器。
如果要在 Carbon Black 服务器以外的电脑上安装 cb 事件转发器,则必须配置 Carbon Black 服务器:
-
确保 TCP 端口 5004 通过 Carbon Black 服务器上的 iptables 防火墙打开。事件转发器连接到 Carbon Black 服务器上的 TCP 端口 5004,以连接到 Cb 消息总线。
-
从 Carbon Black 服务器上的 /etc/cb/cb/cb.conf 文件中获取 RabbitMQ 用户名和密码。搜索 RabbitMQUser 和 RabbitMQPassword 变量并记下其值。
您可以在 GitHub 网站 (https://github.com/carbonblack/cb-event-forwarder/ 上找到以下说明、源代码和快速入门指南。
-
如果尚未安装,请安装 CbOpenSource 存储库:
cd /etc/yum.repos.dcurl -O https://opensource.carbonblack.com/release/x86_64/ CbOpenSource.repo
-
为 cb 事件转发器安装 RPM:
yum 安装 cb 事件转发器
-
修改 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf 文件,以包括 udpout=<JSA_IP_address>:514,然后将 LEEF 指定为输出格式: output_format=leef。
-
如果您在 Carbon Black 服务器以外的计算机上安装,请将 RabbitMQ 用户名和密码复制到 /etc/cb/integrations/event-forwarder/cb-event-forwarder/cb-event-forwarder.conf 文件中的和rabbit_mq_username rabbit_mq_password变量中。在变量中cb_server_hostname,输入 Carbon Black 服务器的主机名或 IP 地址。
-
在检查模式下运行 cb 事件转发器,确保配置有效:
/usr/share/cb/integrations/event-forwarder/cb-event-forwarder -check。
如果有效,将显示消息
Initialized output。如果存在错误,这些错误将打印到您的屏幕上。 -
选择要记录的事件类型。
默认情况下,Carbon Black 会通过公共汽车发布所有源和观察列表事件。如果您想捕获原始传感器事件或所有二进制信息通知,则必须在 /etc/cb/cb.conf 文件中启用这些功能。
-
要捕获原始传感器事件,请编辑 /etc/cb/cb/cb.conf 文件中的“数据存储广播事件”选项,以便对要导出的原始传感器事件进行广播。
-
要捕获二进制观察到的事件,请编辑 /etc/cb/cb/cb.conf 文件中的启用SolrBinaryInfootifications 选项,并将其设置为True。
-
-
如果 /etc/cb/cb.conf 中发生了任何变数,请重新启动 Carbon Black 服务器:“service cb-enterprise 重启”。
-
使用 initctl 命令启动 cb 事件转发器服务:
initctl start cb-event-forwarder。注意:您可以使用 initctl 命令:
initctl stop cb-event-forwarder来停止 cb 事件转发器服务。
碳黑样本事件消息
使用这些示例事件消息验证是否与 JSA 成功集成。
由于格式问题,将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
Carbon Black 样本消息,当您使用 Syslog 协议时
示例 1:以下示例事件消息显示与流程匹配的观察列表查询。
LEEF:1.0|CB|CB|5.1|alert.watchlist.hit.query.process|alert_severity=50.625
alert_type=watchlist.hit.query.process alliance_score_srstrust=-100 cb_server=None
childproc_count=1 comms_ip=192.168.230.5 computer_name=W7-LOW
created_time=2015-10-29T04:33:06.713157Z crossproc_count=0 feed_id=-1
feed_name=My Watchlists feed_rating=3.0 filemod_count=0
group=Default Group hostname=W7-LOW interface_ip=192.168.230.5
ioc_attr={"highlights": ["PREPREPREacrord32.exePOSTPOSTPOST"]} ioc_confidence=0.5
ioc_type=query md5=AD7B9C14083B52BC532FBA5948342B98 modload_count=14
netconn_count=0 os_type=windows process_guid=00000016-0000-0804-01d1-17153be2e8cd
process_name=cmd.exe process_path=c:\windows\system32\cmd.exe regmod_count=0
report_score=75 segment_id=1 sensor_criticality=3.0 sensor_id=22
status=Unresolved timestamp=1446093201.95 type=alert.watchlist.hit.query.process
unique_id=3ee47556-3e8e-4232-b975-30ba7fbf0037 username=BIT9SEAD\user10
watchlist_id=11 watchlist_name=Unusual Parents
| JSA 字段名称 |
事件有效负载中突出显示的字段名称或值 |
|---|---|
| 事件 ID |
alert.watchlist.hit.查询.process |
| 活动类别 |
对于此 DSM,JSA 中的值始终为 CarbonBlack |
| 源 IP |
interface_ip |
| 用户 |
用户 |
| 设备时间 |
created_time |