VMware Carbon Black Cloud API を使用して、Carbon Black Cloud を他の SIEM またはダウンストリーム ツールと統合できます。
ヒント: 統合の詳細については、開発者のネットワーク上の
Carbon Black Cloud 統合を参照してください。
次に、最も一般的な 2 つの統合の使用事例と推奨事項を示します。
- スクリプトを使用して脅威ハンティングとインシデント レスポンス中に一連のタスクを自動化する。
-
- 推奨される統合:CBC Python SDK
- 説明:Carbon Black Cloud 製品と接続するための簡単なインターフェイスを提供します。この SDK を使用して、エンドポイントのクエリと管理、Python オブジェクトとしてのデータの操作、Carbon Black Cloud API の機能を最大限に活用します。
- SIEM または別のダウンストリーム ツールによって使用されるように Carbon Black Cloud データを AWS S3 バケットに送信する。
-
- 推奨される統合:データ フォワーダ
- 説明:Carbon Black Cloud プラットフォームに組み込まれ、アラート、イベント、ウォッチリスト ヒット データを AWS S3 バケットに提供し、サードパーティのソリューションで使用できます。
統合リファレンス ガイド
| 統合 | 説明 |
|---|---|
| バイナリ ツールキット | Carbon Black Cloud Enterprise EDR と YARA などのバイナリ解析エンジンの間で統合できます。 |
| CBC Python SDK | Carbon Black Cloud 製品と接続するための簡単なインターフェイスを提供します。この SDK を使用して、エンドポイントのクエリと管理、Python オブジェクトとしてのデータの操作、Carbon Black Cloud API の機能を最大限に活用します。 |
| データ フォワーダ | Carbon Black Cloud プラットフォームに組み込まれ、アラート、イベント、ウォッチリスト ヒット データを AWS S3 バケットに提供し、サードパーティのソリューションで使用できます。 |
| QRadar アプリ | データ フォワーダと API を使用してアラート、監査ログ、およびイベントを Carbon Black Cloud から IBM QRadar に取り込むには、QRadar で接続を構成します。QRadar で、デバイスの隔離やウォッチリストへの IOC の追加などのアクションを開始して、Carbon Black Cloud で有効にすることができます。 |
| Carbon Black Cloud から ServiceNow にアラートと脆弱性を取り込み、ServiceNow インシデントを自動的に作成して解決を追跡します。デバイスの隔離などの多数のアクション セットを ServiceNow で開始し、Carbon Black Cloud で有効にすることができます。 | |
| Splunk アプリ | 管理者は、アラート、イベント、監査ログ、または脆弱性データを Carbon Black Cloud から Splunk ダッシュボードに取り込めます。 |
| Splunk SOAR アプリ | REST API を使用して Carbon Black Cloud からアラートを取り込むには、Splunk SOAR で接続を構成します。Splunk SOAR でアクションを開始して、Carbon Black Cloud で有効にすることができます。 |
| Syslog コネクタ | 管理者は、Carbon Black Cloud インスタンスからローカルのオンプレミス システムにアラート通知と監査ログを転送できます。 |
| 脅威インテリジェンス コネクタ | TAXII サーバなどのさまざまなサードパーティ ソースから、または XML や JSON ファイルから直接 STIX コンテンツを取り込み、処理するための Python コネクタ |
| Zscaler サンドボックス コネクタ | エンドポイントに到達する前に、 Carbon Black Cloud Endpoint Standard または Enterprise EDR からネットワークを経由して送られてくるファイルをスキャンします。 |
