Carbon Black Cloud データ フォワーダを使用して、Amazon Web Services (AWS) S3 バケットなどの外部の宛先に、アラート、エンドポイント イベント、ウォッチリスト ヒットに関するバルク データを送信できます。
また、複数のデータ フォワーダを作成して、同じ AWS S3 バケット内のさまざまなサブフォルダに特定のデータを送信できます。
注:
- 現時点では、サポートされている宛先オプションは AWS S3 バケットのみです。
- データ フォワーダでは、データ フォワーダで使用されるプリンシパル ロールに必要な権限を付与するバケット ポリシーを使用して S3 バケットを作成する必要があります。このポリシーはリソースベースのポリシーです。詳細については、User Exchange の記事「Carbon Black Cloud イベント フォワーダの S3 バケット ポリシーの書き込み」を参照してください。
[高度な手順:]
- AWS S3 バケットを作成し、バケット ポリシーを構成して、Carbon Black Cloud からデータを受信します。
- Carbon Black Cloud コンソール内でデータ フォワーダを作成して構成します。
[ヒント]: データ フォワーダを構成し、S3 バケットに送信される特定のデータを制御するには、次の 3 つの方法があります。
- コンソール内で構造化されたフォーム入力を使用する (基本データ フィルタ)
- コンソール内でカスタム Lucene クエリ構文を使用する (カスタム クエリ データ フィルタ)
- API を使用してカスタム Lucene クエリ構文を使用する
- データ フォワーダを作成して構成したら、S3 バケットからデータを取得するか、Splunk や QRadar などの SIEM ソリューションを含む他のツールを接続してデータを処理できます。
