Come connettere VMware Carbon Black Cloud a Secureworks Taegis XDR mediante API
Summary: Scopri come connettere VMware Carbon Black Cloud a Secureworks Taegis XDR utilizzando l'API seguendo queste istruzioni.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
VMware Carbon Black Cloud consente la generazione di API per l'output di vari set di dati dall'infrastruttura ad applicazioni di terze parti. Secureworks ha introdotto la possibilità di utilizzare questi eventi tramite un ricevitore API all'interno della console Secureworks Taegis XDR (eXtended Detection and Response).
Prodotti interessati:
- VMware Carbon Black Cloud
- Rilevamento e risposta alle minacce Secureworks
- Secureworks Managed Detection and Response
- Secureworks XDR
- Secureworks ManagedXDR
- Dell MDR
La configurazione del server di inoltro eventi da VMware Carbon Black Cloud a Secureworks TDR richiede agli amministratori di creare un livello di accesso e una chiave API con Carbon Black. Una volta completata l'operazione, è possibile procedere con la creazione dell'integrazione all'interno di Secureworks Taegis XDR.
Nota:
- All'interno di VMware Carbon Black Cloud, l'amministratore richiede le autorizzazioni per gestire livelli di accesso e chiavi API.
- All'interno di Secureworks TDR, l'amministratore richiede le autorizzazioni di amministratore tenant.
Creazione di un livello di accesso e di una chiave API con Carbon Black
- Accedere all'istanza di Carbon Black Defense Console appropriata per l'ambiente in uso:
- Americhe: https://defense-prod05.conferdeploy.net
- Europa, Medio Oriente, Africa: https://defense-eu.conferdeploy.net
- Asia, Pacifico: https://defense-prodnrt.conferdeploy.net
Nota: tutte le connessioni a VMware Carbon Black Cloud avvengono sulla porta 443 (HTTPS) con TLS 1.2. - Americhe: https://defense-prod05.conferdeploy.net
- Espandere Settings e selezionare API Access.
- È necessario:
- Creazione di un livello di accesso
- Creazione di una chiave API
- Individuazione della chiave dell'organizzazione
Per maggiori informazioni, cliccare sull'azione appropriata.
- Selezionare la scheda Access Levels e selezionare Add Access Level per creare un livello di accesso.
- Nel menu Edit Access Level :
- Compilare i campi Name e Description per il livello di accesso.
- Individuare e quindi abilitare le seguenti impostazioni:
Categoria Autorizzazione Notazione Caselle di selezione da abilitare Dispositivo Quarantine device.quarantineExecute Dispositivo Informazioni generali deviceRead Event Forwarding Impostazioni event-forwarder.settingsCreate, Read, Update, Delete - Cliccare su Save.
Nota: Il nome (SCWS_TDR) utilizzato nello screenshot di esempio può variare nell'ambiente in uso.
- Cliccare su API Keys.
- Cliccare su Add API Key.
- Nella finestra di dialogo Add API Key:
- Compilare il campo Name.
- Impostare Access Level Type su Custom espandendo l'elenco a discesa e selezionando l'opzione Custom.
- Impostare Custom Access Level espandendo l'elenco a discesa e selezionando il nome di Access Level.
- Se si desidera, compilare il campo Description.
- Cliccare su Save.
- Registrare i valori API ID e API Secret Key. Questi vengono utilizzati per integrare Secureworks TDR.
Nota: l'icona degli appunti può essere utilizzata per registrare i valori API ID e API Secret Key. - Chiudere la finestra di dialogo API Credentials per procedere.
- Cliccare su API Keys.
- La chiave dell'organizzazione è presente nell'angolo in alto a sinistra del riquadro destro. Registrare il valore di Org Key.
Nota: L'immagine di esempio mostra un tasto organizzazione sfocato per mantenere la privacy di questa organizzazione.
Crea l'integrazione all'interno di Secureworks Taegis XDR
- Accedere alla console Secureworks XDR.
Nota:
- Secureworks - Accesso a Taegis XDR
- gli amministratori necessitano del ruolo di Tenant Administrator per apportare queste modifiche.
- Secureworks - Accesso a Taegis XDR
- Selezionare Integrations nel riquadro a sinistra, quindi Cloud APIs.
- Selezionare Add API Integration in alto a destra.
- Scorrere fino alla fine della pagina, quindi selezionare Set up Carbon Black.
- Nel menu Set up Carbon Black :
- Selezionare un valore per Environment.
- Compilare il campo Org Key.
- Compilare il campo API ID.
- Compilare il campo API Secret Key.
- Cliccare su Done.
Nota:- Ambiente: indica l'URL di accesso specifico utilizzato per l'ambiente Carbon Black da utilizzare per la comunicazione:
Prod01- utilizzato per i clienti Carbon Black legacy in Nord AmericaProd02- utilizzato per i clienti Carbon Black legacy in Nord AmericaProd05- utilizzato per i clienti attuali e nuovi di Carbon Black in Nord America
- Chiave organizzazione: ID organizzativo per l'ambiente Carbon Black
- ID API: token generato dall'amministratore che si collega a un'API specifica fornita da Carbon Black
- Chiave segreta API: token generato dalla console che si collega a un'API specifica fornita da Carbon Black, creata con il valore di API ID
- Al termine, Cloud API Integrations mostra Healthy per Status. Ciò indica che lo stato della connessione è valido. In questo modo l'integrazione viene completata e tutti i dati dovrebbero provenire dagli endpoint.
Nota: Eventuali problemi con la connessione aggiornano lo stato Status su uno stato di errore .
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
Affected Products
Secureworks, VMware Carbon BlackArticle Properties
Article Number: 000129699
Article Type: How To
Last Modified: 10 Jun 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.