Geben Sie für den CB Defense Agent Daten ein, die sich auf Ihren Carbon Black Connector beziehen, damit Workspace ONE Intelligence auf Intelligence-Daten für Bedrohungen zugreifen und sie zur Analyse anzeigen kann.

Um Carbon Black mit Workspace ONE Intelligence zu registrieren, geben Sie die Schlüssel und IDs für Ihren Carbon Black-API-Connector und Ihren Carbon Black SIEM Connector ein.

Um Informationen zum Generieren von API-Schlüsseln zu erhalten, abonnieren Sie Carbon Black-Ereignisbenachrichtigungen und rufen Sie unter der API-Endpoint-URL Ihrer Carbon Black-Instanz das Thema API-Zugriff auf der Seite Carbon Black/Entwickler auf.

Voraussetzungen

Verwenden Sie die aufgeführten Versionen des CB Defense-Agents.
  • CB Defense-Agent für Windows Version 3.4.0.1016 oder höher
  • CB Defense-Agent für macOS Version 3.3.1.1.2 oder höher

Prozedur

  1. Wechseln Sie in der Workspace ONE Intelligence-Konsole zu Einstellungen > Integrationen > Carbon Black > Einrichten > Erste Schritte.
    Um auf die zuvor eingegebenen Anmeldedaten zuzugreifen, wählen Sie Carbon Black Bearbeiten aus.
  2. Geben Sie im Bereich Anmeldedaten bereitstellen die Informationen für eine erfolgreiche Verbindung ein.
    Einstellungen Beschreibungen
    Basis-URL Geben Sie die API-Endpoint-URL für Ihre Carbon Black-Instanz ein, damit Workspace ONE Intelligence darauf zugreifen kann. Diese Zeichenfolge beginnt mit https://.
    API-Schlüssel

    Geben Sie den Wert ein, der Workspace ONE Intelligence die Berechtigung für die Authentifizierung bei Ihrer Carbon Black-Instanz erteilt. Dieser Schlüssel mit der ID bietet Zugriff auf Carbon Black-APIs außer Benachrichtigungs-APIs.
    SIEM-Schlüssel

    Geben Sie den Wert ein, der Workspace ONE Intelligence die Berechtigung zum Senden von Benachrichtigungen und Warnungen an Geräte erteilt, die Teil von SIEM-Systemen sind. Dieser Schlüssel bietet Zugriff auf alle Carbon Black-Benachrichtigungs-APIs.
    API-Connector-ID Geben Sie den Wert ein, der mit dem API-Schlüssel verwendet wird, um sich bei Ihrer Carbon Black-Instanz zu authentifizieren. Diese ID mit dem Schlüssel bietet Zugriff auf Carbon Black-APIs außer Benachrichtigungs-APIs.
    SIEM-Connector-ID Geben Sie den Wert ein, der mit dem SIEM-Schlüssel verwendet wird, um Workspace ONE Intelligence Zugriff auf die Carbon Black-APIs für Benachrichtigungen zu gewähren.
  3. Um die Konfiguration abzuschließen, wählen Sie Autorisieren aus.

Nächste Maßnahme

Um Daten für diesen Dienst anzuzeigen, können Sie entweder Widgets auf Meine Dashboards verwenden oder Daten im Modul Bedrohungszusammenfassung in Sicherheitsrisiko > Bedrohungen anzeigen. Sie können eine Automatisierung für Workflows erstellen, um auf Trust Network-Daten zu reagieren.