炭黑EDR功能

Carbon Black EDR事件源收集由Carbon Black EDR事件转发器转发的警报。请按说明下载及安装:https://github.com/carbonblack/cb-event-forwarder#cb-response-event-forwarder

如何设置此事件源

在配置炭黑EDR事件转发器之前，必须首先设置此事件源。

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当数据收集页面出现时，单击设置事件源下拉选择添加事件源．
3. 从“第三方通知”部分，单击炭黑反应图标。“添加事件源”面板出现。
4. 选择收集器和事件源。如果你愿意，你也可以命名你的事件源。
5. 如果您正在发送警报之外的其他事件，请检查未经过滤的日志．
6. 配置您的默认域设置和任何高级事件源设置．
7. 在采集器上指定一个未使用的端口，该端口可以接收转发的Carbon Black事件。建议使用TCP作为您的协议。
8. 点击保存．

配置炭黑EDR

要成功地从Carbon Black EDR服务器接收事件，请按照事件转发器页面上的安装说明安装和配置事件转发器软件。

您必须安装和配置这里找到的炭黑EDR事件转发器:https://github.com/carbonblack/cb-event-forwarder#cb-response-event-forwarder

然后，在安装了事件转发器的同一系统上，打开/etc/cb/integrations/event-forwarder/cb-event-forwarder.conf文件来修改它。完成以下步骤:

1. 找到这些线:
   • tcp或udp output_type = < >
   • output_format = json
   • tcpout=<采集器IP>:<事件源端口>或udpout=<采集器IP>:<事件源端口>
2. 将输出类型更改为tcp或udp。
3. 找到以下行并将其修改为以下值:
   • events_raw_sensor = 0
   • events_watchlist = 0
   • events_feed = 0
   • events_alert =所有
   • events_binary_observed = 0
   • events_binary_upload = 0
   • events_storage_partition = 0
4. 保存文件并关闭它。
5. 重新启动炭黑EDR事件转发器，以确保/etc/cb/cb.conf的更改通过执行被推送服务cb-enterprise重启．

如果您正在Cb EDR集群上配置Cb -event-forwarder，那么DatastoreBroadcastEventTypes和/或enablesolrbinaryinfonotification设置必须分发到所有minion节点的/etc/ Cb / Cb .conf配置文件中，并且集群使用/usr/share/cb/cbcluster stop && /usr/share/cb/cbcluster start命令。

发送额外的事件

如果您想将额外的Carbon Black EDR事件类型发送到InsightIDR，您可以修改上面的行以在Log Search中接收未解析的数据。

如果您想发送额外的事件，请在InsightIDR中配置此事件源时勾选“发送未经过滤的日志”选项。

请注意，这些额外的事件可能会增加事件量，从而影响Black EDR服务器和InsightIDR收集器，从而影响日志搜索中的数据限制。

验证您的配置

保存并关闭配置文件后，在终端窗口中使用如下命令验证配置的更改:/usr/share/cb/integrations / event-forwarder / cb-event-forwarder—如果更改成功，您将看到一条以“initialized output”开头的消息。

如果有任何错误，您将在输出中看到它们。

有关事件转发器与事件源之间连接的运行状况的详细信息，请参阅/var/log/cb/integrations / cb-event-forwarder目录中。

验证集成

为了验证InsightIDR的集成，在运行Carbon Black Sensor的系统上执行一个触发Carbon Black EDR警报的测试操作。在InsightIDR中，同样的警报应该像第三方警报一样触发。