Настройка соединения с источником данных CB Response

Carbon Black CB Response - это хорошо масштабируемое решение для выявления угроз в режиме реального времени и реагирования на инциденты, которое обеспечивает полную осведомленность специалистов по реагированию на инциденты и мониторингу безопасности.

Прежде чем начать

Обратитесь к администратору, который умеет устанавливать ПО CB Response, и соберите информацию о маркерах защиты, IP-адресе и прочую необходимую информацию.

Об этой задаче

Коннектор IBM Cloud Pak® for Security для CB Response предназначен для использования с CB Response версии 7.3.0.

Процедура

  1. Войдите в IBM Cloud Pak for Security.
  2. На панели навигации щелкните на значке Параметры.
  3. Выберите Соединения > Источники данных.
  4. На вкладке Источники данных выберите Подключиться к источнику данных.
  5. Выберите тип источника данных и нажмите Далее.
  6. Настройте соединение, чтобы IBM Cloud Pak for Security мог подключаться к источнику данных.
    Доступны следующие поля.
    Имя соединения
    Обязательный
    Укажите имя, однозначно идентифицирующее соединение с источником данных. С одним источником данных можно создать несколько соединений, и их нужно уметь отличать друг от друга по имени. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    Описание соединения
    Обязательный
    Введите описание, отражающее предназначение соединения с источником данных. С одним источником данных можно создать несколько соединений, поэтому каждое из них рекомендуется сопроводить описанием того, для чего оно используется. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    App Host
    Необязательный

    Для того чтобы разместить контейнеры, необходимые для взаимодействия между источниками данных и IBM Cloud Pak for Security, в Edge Gateway App Host выберите соответствующий App Host. Выбранный Edge Gateway App Host должен иметь версию 1.6 или выше. Дополнительную информацию о компоненте Edge Gateway App Host можно найти в разделе Edge Gateway App Host.

    Включить события процесса?
    Необязательно.
    Если параметр выбран, то результаты содержат события процессов. Когда он не выбран, включаются только метаданные процессов.
    IP-адрес хоста
    Обязательный
    Укажите IP-адрес и имя хоста источника данных, чтобы IBM Cloud Pak for Security мог обращаться к нему.
    Порт хоста
    Необязательный
    Укажите или выберите номер порта, связанный с хостом источника данных. По умолчанию применяется порт 443.
  7. Укажите параметры запроса, управляющие выполнением запроса поиска в источнике данных.
    Доступны следующие поля:
    Максимальное значение одновременно выполняемых операций поиска
    Число одновременных соединений между Cloud Pak for Security и источником данных. По умолчанию максимальное число соединений равно 4.
    Предельное значение тайм-аута запроса
    Максимальное время выполнения запроса в источнике данных в минутах. По умолчанию максимальное время равно 30. Если значение равно нулю, время не ограничено. Если время выполнения запроса составляет более 1 минуты, то это как правило свидетельствует о неполадке.
    Максимальный размер результатов
    Максимальное число записей или объектов, возвращаемых одним запросом поиска. Значение по умолчанию равно 10 000. Допустимы значения от 1 до 10 000.
    Диапазон времени запроса
    Диапазон времени поиска в минутах, определяющий последние X минут. Значение по умолчанию равно 5 минутам.
  8. Необязательно: Если в CB Response настроен собственный сертификат SSL, добавьте сертификат соединения.
    1. Для того чтобы убедиться в том, что вы имеете дело с собственным сертификатом, выполните поиск в Интернете по ключевым словам 'ssl decode', а затем скопируйте и вставьте сертификат в инструмент раскодирования сертификата.
      Если в поле Common Name указано значение localhost.localdomain, значит это собственный сертификат. В противном случае это может быть сертификат, подписанный открытым ключом.
    2. Если имя хоста или IP-адрес не соответствуют полю Common Name, то необходимо указать индикатор имени сервера (SNI). SNI позволяет задать отдельное имя хоста при выполнении согласования TLS для соединения с ресурсом.
    3. Скопируйте сведения о сертификате и вставьте их в соответствующее поле, а затем нажмите Готово.
  9. Нажмите Добавить конфигурацию.
  10. Настройте идентификационные данные и доступ.
    1. В поле Имя конфигурации укажите имя, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    2. В поле Описание конфигурации укажите описание, однозначно определяющее конфигурацию доступа и позволяющее отличить ее от других конфигураций доступа, которые могут быть настроены для данного соединения с источником данных. Разрешено использовать только буквы, цифры и следующие специальные символы: - . _
    3. Укажите уникальный идентификатор источника данных, с которым необходимо установить соединение, в поле Маркер API. Он используется для идентификации запроса на подключение.
      Для получения маркера API:
      1. Откройте веб-сайт CB Response и войдите в систему с использованием своих учетных данных. Обычно адрес веб-сайта имеет следующий формат: example.my.carbonblack.io.
      2. Щелкните на стрелке рядом с именем вашей учетной записи в правом верхнем углу страницы и выберите в выпадающем меню пункт Мой профайл.
      3. В меню слева выберите Маркер API.
      4. Скопируйте маркер API.
    4. Нажмите Изменить права доступа и выберите, каким пользователям разрешено подключаться к источнику данных и какой доступ им должен быть предоставлен.
    5. Нажмите Добавить.
    6. Введите имя и пароль пользователя, которому предоставлен доступ к API поиска.
    7. Для того чтобы сохранить конфигурацию и установить соединение, нажмите Готово.
    Добавленная конфигурация соединения с источником данных будет показана в списке Соединения на странице параметров источника данных. Соединение с источником данных указано в сообщении на карточке.

    При необходимости можно добавить другие конфигурации соединения с тем же источником данных для других пользователей с другими правами доступа.

  11. Протестируйте соединение, отправив запрос через IBM Security Data Explorer.

    Продукт IBM Cloud Pak for Security отображает данные, которые он получает из источника данных. Например, для использования Data Explorer должны быть установлены соединения с источниками данных, для того чтобы приложение могло выполнять запросы и получать результаты из универсального набора источников данных. Поиск будет давать разные результаты в зависимости от данных, содержащихся в настроенных источниках данных.

    За дополнительной информацией о создании запроса в Data Explorer обратитесь к разделу Создание запроса.