炭黑EDR功能

炭黑EDR事件源收集炭黑EDR事件转发器转发的警报。按照说明下载和安装在这里:https://github.com/carbonblack/cb-event-forwarder#cb-response-event-forwarder

如何设置事件源

在配置Carbon Black EDR事件转发器之前，必须首先设置此事件源。

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“第三方提醒”部分，单击炭黑反应图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 如果您正在发送警报之外的其他事件，请查看未经过滤的日志．
6. 配置您的默认域设置和任何高级事件源设置．
7. 在Collector上指定一个未使用的端口，该端口可以接收转发的炭黑事件。建议您使用TCP作为协议。
8. 点击保存．

配置Carbon Black EDR

要成功接收来自Carbon Black EDR服务器的事件，请按照“事件转发器”页面上的安装说明安装和配置事件转发器软件。

您必须安装和配置Carbon Black EDR事件转发器在这里找到:https://github.com/carbonblack/cb-event-forwarder#cb-response-event-forwarder

然后，在安装事件转发器的同一个系统上，打开/etc/cb/integration /event-forwarder/cb-event-forwarder.conf文件来修改它。完成以下步骤:

1. 找到这些线:
   • tcp或udp output_type = < >
   • output_format = json
   • tcpout=<采集器IP>:<事件源端口>或udpout=<采集器IP>:<事件源端口>
2. 将输出类型修改为tcp或udp。
3. 找到以下行并将其修改为以下值:
   • events_raw_sensor = 0
   • events_watchlist = 0
   • events_feed = 0
   • events_alert =所有
   • events_binary_observed = 0
   • events_binary_upload = 0
   • events_storage_partition = 0
4. 保存文件并关闭它。
5. 重启Carbon Black EDR事件转发器，确保/etc/cb/cb.conf的修改通过执行服务cb-enterprise重启．

如果在Cb -event- forwarding集群上配置Cb -event- forwarding, DatastoreBroadcastEventTypes和/或enablesolrbinaryinfonotification配置必须分发到所有小节点的/etc/ Cb / Cb .conf配置文件中，集群使用/usr/share/cb/cbcluster stop && /usr/share/cb/cbcluster start命令。

发送额外的事件

如果你想发送额外的Carbon Black EDR事件类型到InsightIDR，你可以修改上面的行，在Log Search中接收未解析的数据。

如果需要发送其他事件，请在InsightIDR中配置该事件源时勾选“发送未过滤日志”选项。

注意，这些额外的事件可能会通过增加事件量影响Carbon Black EDR服务器和InsightIDR收集器，从而影响日志搜索中的数据限制。

验证您的配置

保存并关闭配置文件后，在终端窗口中使用如下命令验证修改结果:/usr/share/cb/integrations / event-forwarder / cb-event-forwarder—如果更改成功，您将看到一条以“initialized output”开头的消息。

如果有任何错误，您将看到它们打印在输出中。

有关事件转发器和事件源之间连接运行状况的其他详细信息，请参阅/var/log/cb/integrations / cb-event-forwarder目录中。

验证集成

为了验证InsightIDR集成，执行一个测试动作，在运行炭黑传感器的系统上触发炭黑EDR警报。相同的警报应作为InsightIDR中的第三方警报触发。