Come connettere VMware Carbon Black Cloud a Secureworks Taegis XDR mediante API

VMware Carbon Black Cloud consente la generazione di API per l'output di vari set di dati dall'infrastruttura ad applicazioni di terze parti. Secureworks ha introdotto la possibilità di utilizzare questi eventi tramite un ricevitore API all'interno della console Secureworks Taegis XDR (eXtended Detection and Response).

Prodotti interessati:

• VMware Carbon Black Cloud
• Rilevamento e risposta alle minacce Secureworks
• Secureworks Managed Detection and Response
• Secureworks XDR
• Secureworks ManagedXDR
• Dell MDR

La configurazione del server di inoltro eventi da VMware Carbon Black Cloud a Secureworks TDR richiede agli amministratori di creare un livello di accesso e una chiave API con Carbon Black. Una volta completata l'operazione, è possibile procedere con la creazione dell'integrazione all'interno di Secureworks Taegis XDR.

Creazione di un livello di accesso e di una chiave API con Carbon Black

1. Accedere all'istanza di Carbon Black Defense Console appropriata per l'ambiente in uso:
   • Americhe: https://defense-prod05.conferdeploy.net
   • Europa, Medio Oriente, Africa: https://defense-eu.conferdeploy.net
   • Asia, Pacifico: https://defense-prodnrt.conferdeploy.net
   Nota: tutte le connessioni a VMware Carbon Black Cloud avvengono sulla porta 443 (HTTPS) con TLS 1.2.
2. Espandere Settings e selezionare API Access.
   
3. È necessario:
   1. Creazione di un livello di accesso
   2. Creazione di una chiave API
   3. Individuazione della chiave dell'organizzazione

Per maggiori informazioni, cliccare sull'azione appropriata.

Crea l'integrazione all'interno di Secureworks Taegis XDR

1. Accedere alla console Secureworks XDR.
   Nota:

   • Secureworks - Accesso a Taegis XDR
   • gli amministratori necessitano del ruolo di Tenant Administrator per apportare queste modifiche.
2. Selezionare Integrations nel riquadro a sinistra, quindi Cloud APIs.
   
3. Selezionare Add API Integration in alto a destra.
   
4. Scorrere fino alla fine della pagina, quindi selezionare Set up Carbon Black.
   
5. Nel menu Set up Carbon Black :
   1. Selezionare un valore per Environment.
   2. Compilare il campo Org Key.
   3. Compilare il campo API ID.
   4. Compilare il campo API Secret Key.
   5. Cliccare su Done.
   
   Nota:

   • Ambiente: indica l'URL di accesso specifico utilizzato per l'ambiente Carbon Black da utilizzare per la comunicazione:
     • Prod01 - utilizzato per i clienti Carbon Black legacy in Nord America
     • Prod02 - utilizzato per i clienti Carbon Black legacy in Nord America
     • Prod05 - utilizzato per i clienti attuali e nuovi di Carbon Black in Nord America
   • Chiave organizzazione: ID organizzativo per l'ambiente Carbon Black
   • ID API: token generato dall'amministratore che si collega a un'API specifica fornita da Carbon Black
   • Chiave segreta API: token generato dalla console che si collega a un'API specifica fornita da Carbon Black, creata con il valore di API ID
6. Al termine, Cloud API Integrations mostra Healthy per Status. Ciò indica che lo stato della connessione è valido. In questo modo l'integrazione viene completata e tutti i dati dovrebbero provenire dagli endpoint.
   
   Nota: Eventuali problemi con la connessione aggiornano lo stato Status su uno stato di errore .

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.