Article Number: 000129699
So verbinden Sie VMware Carbon Black Cloud mittels API mit Secureworks Taegis XDR
Summary: Befolgen Sie diese Anleitung, um zu erfahren, wie Sie VMware Carbon Black Cloud über die API mit Secureworks Taegis XDR verbinden.
Article Content
Instructions
Mit VMware Carbon Black Cloud können APIs erzeugt werden, um verschiedene Datensätze aus der Infrastruktur an Anwendungen von Drittanbietern auszugeben. Secureworks hat Funktionen eingeführt, mit denen diese Ereignisse über einen API-Empfänger in Secureworks Taegis XDR (eXtended Detection and Response) genutzt werden können.
Betroffene Produkte:
- VMware Carbon Black Cloud
- Secureworks – Bedrohungserkennung und -reaktion
- Secureworks Managed Detection & Response
- Secureworks XDR
- Secureworks ManagedXDR
- Dell MDR
Für die Konfiguration der Ereignisweiterleitung von VMware Carbon Black Cloud an Secureworks TDR müssen Administratoren eine Zugriffsebene und einen API-Schlüssel mit Carbon Black erstellen. Sobald der Vorgang abgeschlossen ist, können Sie die Integration in Secureworks Taegis XDR erstellen.
Hinweis:
- Innerhalb von VMware Carbon Black Cloud benötigt der Administrator Berechtigungen zum Managen von Zugriffsebenen und API-Schlüsseln.
- Innerhalb von Secureworks TDR benötigt der Administrator Mandantenadministrator-Berechtigungen.
Erstellen einer Zugriffsebene und eines API-Schlüssels mit Carbon Black
- Melden Sie sich bei der entsprechenden Carbon Black Defense-Konsole für Ihre Umgebung an:
- Nord- und Lateinamerika: https://defense-prod05.conferdeploy.net
- Europa, Naher Osten, Afrika: https://defense-eu.conferdeploy.net
- Asien und Pazifik: https://defense-prodnrt.conferdeploy.net
Hinweis: Alle Verbindungen zur VMware Carbon Black Cloud erfolgen über 443 (https) mit TLS 1.2. - Nord- und Lateinamerika: https://defense-prod05.conferdeploy.net
- Erweitern Sie Settings und wählen Sie dann API Access aus.
- Sie müssen Folgendes tun:
- Erstellen einer Zugriffsebene
- Erstellen eines API-Schlüssels
- Suchen des Org-Schlüssels
Klicken Sie für weitere Informationen auf die entsprechende Aktion.
- Wählen Sie die Registerkarte Access Levels und dann Add Access Level aus, um eine Zugriffsebene zu erstellen.
- Im Menü "Zugriffsebene bearbeiten ":
- Geben Sie einen Namen und eine Beschreibung für die Zugriffsebene ein.
- Suchen und aktivieren Sie dann die folgenden Einstellungen:
Kategorie Berechtigung Bezeichnung Auswahlfelder zum Aktivieren Device Quarantäne device.quarantineAusführen Device Allgemeine Informationen deviceRead Event Forwarding Einstellungen event-forwarder.settingsCreate, Read, Update, Delete - Klicken Sie auf Save.
Hinweis: Der Name (SCWS_TDR), die im Beispiel-Screenshot verwendet werden, können in Ihrer Umgebung abweichen.
- Klicken Sie auf API Keys.
- Klicken Sie auf Add API Key.
- Im Dialogfeld Add API Key:
- Geben Sie einen Namen ein.
- Legen Sie Access Level Type auf Custom fest, indem Sie das Drop-down-Menü erweitern und die Option Custom auswählen.
- Legen Sie das Custom Access Level fest, indem Sie das Drop-down-Menü erweitern und den Namen der Zugriffsebene auswählen.
- Geben Sie optional eine Beschreibung ein.
- Klicken Sie auf Save.
- Notieren Sie sich die API ID und den API Secret Key. Diese werden für die Integration von Secureworks TDR verwendet.
Hinweis: Das Symbol für die Zwischenablage kann verwendet werden, um die API ID und den API Secret Key zu kopieren. - Schließen Sie das Dialogfeld API-Zugangsdaten, um fortzufahren.
- Klicken Sie auf API Keys.
- Der Organisationsschlüssel befindet sich in der oberen linken Ecke des rechten Fensterbereichs. Notieren Sie sich den Org-Schlüssel.
Hinweis: Das Beispielbild zeigt einen unscharfen Organisationsschlüssel , um den Datenschutz dieser Organisation zu wahren.
Erstellen der Integration in Secureworks Taegis XDR
- Melden Sie sich bei Ihrer Secureworks XDR-Konsole an.
Hinweis:
- Secureworks – Melden Sie sich bei Taegis XDR an
- Administratoren müssen über die Rolle Mandantenadministrator verfügen, um diese Änderungen vorzunehmen.
- Secureworks – Melden Sie sich bei Taegis XDR an
- Wählen Sie im linken Fensterbereich Integrations und dann Cloud APIs aus.
- Wählen Sie oben rechts Add API Integration aus.
- Scrollen Sie zum Ende der Seite und wählen Sie dann Set up Carbon Black aus.
- Im Menü "Carbon Black einrichten ":
- Wählen Sie die Umgebung aus.
- Geben Sie den Org-Schlüssel ein.
- Geben Sie die API-ID ein.
- Geben Sie den geheimen API-Schlüssel ein.
- Klicken Sie auf Done.
Hinweis:- Umwelt: Dies gibt die spezifische Anmelde-URL an, die für die Carbon Black-Umgebung für die Kommunikation verwendet wird:
Prod01- wird für Legacy-Carbon-Black-Kunden in Nordamerika verwendetProd02- wird für Legacy-Carbon-Black-Kunden in Nordamerika verwendetProd05- wird für bestehende und neue Carbon Black-Kunden in Nordamerika verwendet
- Organisationsschlüssel: Unternehmenskennung für die Carbon Black-Umgebung
- API-ID: Vom Administrator generiertes Token, das mit einer bestimmten API verknüpft ist, die von Carbon Black bereitgestellt wird
- Geheimer API-Schlüssel: Von der Konsole generiertes Token, das mit einer bestimmten API verknüpft ist, die von Carbon Black bereitgestellt wird und mit der API-ID erstellt wurde
- Sobald der Vorgang abgeschlossen ist, zeigen die Cloud-API-Integrationen den Status Healthy an. Dies weist darauf hin, dass sich die Verbindung in einem guten Zustand befindet. Damit ist die Integration abgeschlossen und alle Daten sollten von den Endpunkten fließen.
Hinweis: Bei Problemen mit der Verbindung wird der Status in einen Fehlerstatus geändert.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.
Article Properties
Affected Product
Secureworks, VMware Carbon Black
Last Published Date
10 Jun 2024
Version
10
Article Type
How To