Article Number: 000129699
Comment connecter VMware Carbon Black Cloud à SecureWorks Taegis XDR avec une API ?
Summary: Découvrez comment connecter VMware Carbon Black Cloud à Secureworks Taegis XDR à l’aide de l’API en suivant ces instructions.
Article Content
Instructions
VMware Carbon Black Cloud permet de générer des API pour créer divers ensembles de données de l’infrastructure vers des applications tierces. Secureworks permet de consommer ces événements via un récepteur d'API dans la console Secureworks Taegis XDR (eXtended Detection and Response).
Produits concernés :
- VMware Carbon Black Cloud
- Détection et réponse aux menaces Secureworks
- Détection et réponse gérées par Secureworks
- Secureworks XDR
- Secureworks ManagedXDR
- DellMDR
La configuration du redirecteur d’événements de VMware Carbon Black Cloud vers Secureworks TDR nécessite que les administrateurs créent un niveau d’accès et une clé API avec Carbon Black. Une fois l’opération terminée, vous pouvez créer l’intégration dans Secureworks Taegis XDR.
Remarque :
- Dans VMware Carbon Black Cloud, l’administrateur a besoin d’autorisations pour gérer les niveaux d’accès et les clés d’API.
- Dans Secureworks TDR, l’administrateur a besoin des autorisations de l’administrateur client.
Création d’un niveau d’accès et d’une clé API avec Carbon Black
- Connectez-vous à la console Carbon Black Defense appropriée pour votre environnement :
- Amériques : https://defense-prod05.conferdeploy.net
- Europe, Moyen-Orient, Afrique : https://defense-eu.conferdeploy.net
- Asie, Pacifique : https://defense-prodnrt.conferdeploy.net
Remarque : Toutes les connexions à VMware Carbon Black Cloud se font sur le port 443 (https) à l’aide de TLS 1.2. - Amériques : https://defense-prod05.conferdeploy.net
- Développez Settings, puis sélectionnez API Access.
- Vous devez :
- Créer un niveau d’accès
- Créer une clé d’API
- Rechercher la clé d’organisation
Pour plus d’informations, cliquez sur l’action appropriée.
- Sélectionnez l'onglet Access Levels, puis Add Access Level pour créer un niveau d'accès.
- Dans le menu Edit Access Level :
- Saisissez un nom et une description pour le niveau d’accès.
- Recherchez puis activez les paramètres suivants :
Catégorie Autorisation Référence Cases à cocher Appareil Quarantaine device.quarantineExécuter Appareil Informations générales deviceRead Event Forwarding Settings (Paramètres) event-forwarder.settingsCreate, Read, Update, Delete - Cliquez sur Save.
Remarque : Le nom (SCWS_TDR) utilisée dans l’exemple de capture d’écran peut différer dans votre environnement.
- Cliquez sur Clés d’API.
- Cliquez sur Add API Key.
- Dans la boîte de dialogue Add API Key :
- Saisissez un nom.
- Définissez Access Level Type sur Custom en développant la liste déroulante et en sélectionnant l'option Custom.
- Définissez Custom Access Level en développant la liste déroulante et en sélectionnant le nom correspondant à Access Level.
- Vous pouvez, si vous le souhaitez, saisir une description.
- Cliquez sur Save (Enregistrer).
- Enregistrez l’ID D’API et la clé secrète d’API. Ils sont utilisés pour intégrer Secureworks TDR.
Remarque : l’icône Presse-papiers peut être utilisée pour enregistrer l’ID d’API et la clé secrète d’API. - Fermez la boîte de dialogue Informations d’identification de l’API pour continuer.
- Cliquez sur Clés d’API.
- La clé Org se trouve dans le coin supérieur gauche du volet de droite. Saisissez la clé d'organisation.
Remarque : L’image d’exemple montre une clé d’organisation floue pour maintenir la confidentialité de cette organisation.
Créer l’intégration dans Secureworks Taegis XDR
- Connectez-vous à votre console Secureworks XDR.
Remarque :
- Secureworks - Connexion à Taegis XDR
- les administrateurs ont besoin du rôle d’administrateur client pour effectuer ces modifications.
- Secureworks - Connexion à Taegis XDR
- Sélectionnez Integrations dans le volet de gauche, puis Cloud APIs.
- Sélectionnez Add API Integration en haut à droite.
- Faites défiler jusqu'au bas de la page, puis sélectionnez Set up Carbon Black.
- Dans le menu Configurer Carbon Black :
- Sélectionnez Environnement.
- Saisissez la clé d’organisation.
- Saisissez l’ID d’API.
- Saisissez la clé secrète d’API.
- Cliquez sur Done.
Remarque :- Environnement : décrit l'URL de connexion spécifique utilisée pour l'environnement Carbon Black servant à la communication :
Prod01- utilisé pour les anciens clients de Carbon Black en Amérique du NordProd02- utilisé pour les anciens clients de Carbon Black en Amérique du NordProd05- utilisé pour les clients actuels et nouveaux de Carbon Black en Amérique du Nord
- Clé d’organisation : ID organisationnel de l'environnement Carbon Black
- ID d’API : jeton généré par l’administrateur lié à une API spécifique fournie par Carbon Black
- Clé secrète de l’API : jeton généré par la console lié à une API spécifique fournie par Carbon Black, créé avec l'ID d'API
- Une fois l’opération terminée, la page Cloud API Integrations affiche les intégrations à l’état Intègre dans la colonne État. Cela indique que la connexion est bonne. L’intégration est terminée et toutes les données doivent être acheminées depuis les points de terminaison.
Remarque : Tout problème de connexion met à jour l’état Status sur Error .
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.
Article Properties
Affected Product
Secureworks, VMware Carbon Black
Last Published Date
10 Jun 2024
Version
10
Article Type
How To