新しいデータ フォワーダを作成して構成するには、次の手順に従います。

注: API を使用してデータ フォワーダを構成する場合は、 イベント (データ) フォワーダ設定 API ドキュメントおよび Carbon Black Cloud フォワーダ データ マッピングを参照してください。

前提条件

この手順では、Carbon Black Cloud からバルク データを受信するようにバケット ポリシーが構成された既存の AWS S3 バケットが必要です。詳細については、AWS で S3 バケットを作成バケット ポリシーを構成を参照してください。

手順

  1. 左側のナビゲーション ペインで [設定] > [データ フォワーダ] の順にクリックします。
  2. [フォワーダを追加] をクリックします。
  3. [フォワーダを追加] 画面で [基本情報] を入力します。
    注: このセクションでは、すべてのフィールドが必須です。
    • [名前]: データ フォワーダの一意の名前を入力します。
    • [種類]: ドロップダウン リストから次のいずれかを選択します。
      • [アラート]
        アラート ドロップダウン メニューから、データ フォワーダのスキーマ出力を決定するバージョンを選択します。
        • 1.0.0
        • 2.0.0
        注: 詳細については、 データ フォワーダ フィールドサイトを参照してください。

        [アラート] オプションを選択した場合は、手順 5 に進みます。

      • [エンドポイント イベント]

        [エンドポイント イベント] オプションを選択した場合は、手順 4 に進みフィルタ データを定義します。

      • [ウォッチリスト ヒット]

        [ウォッチリスト ヒット] オプションを選択した場合は、手順 5 に進みます。

    • [S3 バケット名]: AWS で作成した S3 バケット名を入力します。
    • [S3 プリフィックス]: AWS S3 バケットで作成したフォルダの名前を入力します。
  4. 前の手順で[エンドポイント イベント]を選択した場合は、[フィルタ データ]の下の [追加] をクリックし、フィルタの詳細を指定する必要があります。
    [基本]フィルタまたは [カスタム クエリ]を使用できます。詳細については、 データ フォワーダ フィルタ を参照してください。
    オプション 説明
    基本 ドロップダウン リストを使用して、データのフィルタリング方法、データ要件、およびデータ値を指定します。詳細については、基本データ フィルタの作成 を参照してください。

    たとえば、以下に示すフィルタ設定では、アラート ID を持つ EDR イベントのみが配信されます。

    データのフィルタ基準 必須データ
    イベントの発生元 等しい EDR
    アラート ID あり N/A N/A
    カスタム クエリ フォワーダ データ スキーマを使用して、Lucene クエリ構文を記述します。クエリは、個別の Include ステートメントと Exclude ステートメントに整理してラベルを付けたり、1 つのステートメントとして記述したりできます。詳細については、カスタム クエリ データ フィルタの作成 を参照してください。

    例:

    フィルタ ラベル クエリ
    [含む]
    ウィンドウ サーバ process_path:(c:\\windows\\system32\\svchost.exe) AND (remote_port:30 OR remote_port:5353 OR remote_ip:10.* OR remote_ip:111.222.* OR remote_ip:123.4.5.6)
    Class A Filemods filemod_name:(*.tmp OR *.log OR *.lock OR *.dat OR *.dist OR *.olk15Message)
    [除外]
    サーバ X プロセス パスと親パスを除外 process_path:(/Library/CompanyName/Printing/** OR c:\\windows\\winsxs\\*\\tiworker.exe OR c:\\program files (x86)\\druva\\insync\\insyncagent.exe, /Library/CompanyName/cnDDNS/CompanyNameMacDDNS.sh) OR parent_name:(/Library/CompanyName/Printing/GlPr*.sh OR /Library/CompanyName/Printing/rollup-Uni.s OR /Library/CompanyName/Printing/CompanyName*.sh)
  5. フォワーダのステータスを [オン] または [オフ] に設定します。
    注: [オン] を選択した場合、指定した条件に一致するデータが定義した AWS S3 バケットへの転送を開始します。
  6. 変更を適用するには、[Save (保存)] をクリックします。

結果

これでデータ フォワーダが構成されます。

次のタスク

Carbon Black Cloud と AWS S3 バケット間の接続をテストする必要があります。「 新しいデータ フォワーダをテストする」を参照

また、データ フォワーダを作成して構成したら、S3 バケットからデータを取得したり、他のツールを接続してデータを処理したりできます。これには Splunk や QRadar などの SIEM ソリューションが含まれます。