« VMware Carbon Black Cloud VMware vSphere 集成 »
Elastic 文档 Elastic 集成 VMware

VMware Carbon Black EDR 集成

编辑

VMware Carbon Black EDR 集成

编辑

版本

1.19.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

VMware Carbon Black EDR 集成收集由 Carbon Black EDR Event Forwarder 导出的 EDR 服务器和原始端点事件。支持以下输出方法:httptcpudpfile

兼容性

编辑

此集成已使用 EDR Event Forwarder 的 3.7.4 版本进行测试。

配置

编辑

以下配置在 cb-event-forwarder.conf 中是必需的

  • output_format=json(默认)

对于 http 输出

  • output_type=http
  • http_post_template=[{{range .Events}}{{.EventText}}{{end}}]
  • content_type=application/json (默认)

对于 tcp 输出

  • output_type=tcp
  • tcpout=<Elastic Agent 的地址>:<端口>

对于 udp 输出

  • output_type=tcp
  • tcpout=<Elastic Agent 的地址>:<端口>

对于 file 输出

  • output_type=file
  • outfile=<Elastic Agent 可读取的文件路径>
示例

对于 log 的示例事件如下所示

{
    "@timestamp": "2014-04-11T19:21:33.682Z",
    "agent": {
        "ephemeral_id": "7bb86a18-d262-4348-b206-131e38d2d1c8",
        "id": "9cb9fa70-f3e9-45d8-b1cb-61425bd93e1a",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.0.0-beta1"
    },
    "carbonblack": {
        "edr": {
            "event_timestamp": 1397244093.682,
            "feed_id": 7,
            "feed_name": "dxmtest1",
            "ioc_attr": {},
            "md5": "506708142BC63DABA64F2D3AD1DCD5BF",
            "report_id": "dxmtest1_04",
            "sensor_id": 3321
        }
    },
    "data_stream": {
        "dataset": "carbonblack_edr.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "9cb9fa70-f3e9-45d8-b1cb-61425bd93e1a",
        "snapshot": false,
        "version": "8.0.0-beta1"
    },
    "event": {
        "action": "unknown",
        "agent_id_status": "verified",
        "dataset": "carbonblack_edr.log",
        "ingested": "2022-01-25T07:45:03Z",
        "kind": "event",
        "original": "{\"md5\":\"506708142BC63DABA64F2D3AD1DCD5BF\",\"report_id\":\"dxmtest1_04\",\"ioc_type\":\"md5\",\"ioc_value\":\"506708142bc63daba64f2d3ad1dcd5bf\",\"ioc_attr\":{},\"feed_id\":7,\"hostname\":\"FS-SEA-529\",\"sensor_id\":3321,\"cb_version\":\"4.2.1.140808.1059\",\"server_name\":\"localhost.localdomain\",\"feed_name\":\"dxmtest1\",\"event_timestamp\":1397244093.682}\n"
    },
    "host": {
        "name": "FS-SEA-529"
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "172.19.0.4:46263"
        }
    },
    "observer": {
        "name": "localhost.localdomain",
        "product": "Carbon Black EDR",
        "type": "edr",
        "vendor": "VMWare",
        "version": "4.2.1.140808.1059"
    },
    "tags": [
        "carbonblack_edr-log",
        "forwarded",
        "preserve_original_event"
    ],
    "threat": {
        "indicator": {
            "file": {
                "hash": {
                    "md5": "506708142bc63daba64f2d3ad1dcd5bf"
                }
            },
            "type": "file"
        }
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

date

carbonblack.edr.action

keyword

carbonblack.edr.actiontype

keyword

carbonblack.edr.alert_severity

double

carbonblack.edr.alert_type

keyword

carbonblack.edr.blocked

boolean

carbonblack.edr.blocked_event

keyword

carbonblack.edr.blocked_reason

keyword

carbonblack.edr.blocked_result

keyword

carbonblack.edr.cb_server

keyword

carbonblack.edr.cb_version

keyword

carbonblack.edr.child_command_line

keyword

carbonblack.edr.child_pid

long

carbonblack.edr.child_process_guid

keyword

carbonblack.edr.child_suppressed

boolean

carbonblack.edr.child_username

keyword

carbonblack.edr.childproc_count

long

carbonblack.edr.childproc_type

keyword

carbonblack.edr.command_line

keyword

carbonblack.edr.comms_ip

keyword

carbonblack.edr.compressed_size

long

carbonblack.edr.computer_name

keyword

carbonblack.edr.created

boolean

carbonblack.edr.created_time

keyword

carbonblack.edr.cross_process_type

keyword

carbonblack.edr.crossproc_count

long

carbonblack.edr.digsig.issuer_name

keyword

carbonblack.edr.digsig.program_name

keyword

carbonblack.edr.digsig.publisher

keyword

carbonblack.edr.digsig.result

keyword

carbonblack.edr.digsig.result_code

keyword

carbonblack.edr.digsig.sign_time

keyword

carbonblack.edr.digsig.subject_name

keyword

carbonblack.edr.direction

keyword

carbonblack.edr.doc

flattened

carbonblack.edr.domain

keyword

carbonblack.edr.emet_timestamp

long

carbonblack.edr.event_timestamp

double

carbonblack.edr.event_type

keyword

carbonblack.edr.expect_followon_w_md5

boolean

carbonblack.edr.feed_id

keyword

carbonblack.edr.feed_name

keyword

carbonblack.edr.feed_rating

double

carbonblack.edr.file_md5

keyword

carbonblack.edr.file_path

keyword

carbonblack.edr.file_sha256

keyword

carbonblack.edr.filemod_count

long

carbonblack.edr.filetype

keyword

carbonblack.edr.filetype_name

keyword

carbonblack.edr.filtering_known_dlls

boolean

carbonblack.edr.group

keyword

carbonblack.edr.host

keyword

carbonblack.edr.hostname

keyword

carbonblack.edr.icon

keyword

carbonblack.edr.image_file_header

keyword

carbonblack.edr.interface_ip

keyword

carbonblack.edr.ioc_attr

flattened

carbonblack.edr.ioc_confidence

double

carbonblack.edr.ioc_type

keyword

carbonblack.edr.ioc_value

keyword

carbonblack.edr.ipv4

keyword

carbonblack.edr.is_target

boolean

carbonblack.edr.ja3

keyword

carbonblack.edr.ja3s

keyword

carbonblack.edr.link_child

keyword

carbonblack.edr.link_md5

keyword

carbonblack.edr.link_parent

keyword

carbonblack.edr.link_process

keyword

carbonblack.edr.link_sensor

keyword

carbonblack.edr.link_target

keyword

carbonblack.edr.local_ip

keyword

carbonblack.edr.local_port

long

carbonblack.edr.log_id

keyword

carbonblack.edr.log_message

keyword

carbonblack.edr.md5

keyword

carbonblack.edr.mitigation

keyword

carbonblack.edr.modload_count

long

carbonblack.edr.netconn_count

long

carbonblack.edr.os_type

keyword

carbonblack.edr.parent_create_time

long

carbonblack.edr.parent_guid

keyword

carbonblack.edr.parent_md5

keyword

carbonblack.edr.parent_path

keyword

carbonblack.edr.parent_pid

long

carbonblack.edr.parent_process_guid

keyword

carbonblack.edr.parent_sha256

keyword

carbonblack.edr.path

keyword

carbonblack.edr.pid

long

carbonblack.edr.port

long

carbonblack.edr.process_guid

keyword

carbonblack.edr.process_id

keyword

carbonblack.edr.process_name

keyword

carbonblack.edr.process_path

keyword

carbonblack.edr.process_unique_id

keyword

carbonblack.edr.protocol

keyword

carbonblack.edr.proxy

boolean

carbonblack.edr.regmod_count

long

carbonblack.edr.remote_ip

keyword

carbonblack.edr.remote_port

long

carbonblack.edr.report_id

keyword

carbonblack.edr.report_score

long

carbonblack.edr.requested_access

long

carbonblack.edr.scores.alliance_score_srstrust

long

carbonblack.edr.scores.alliance_score_virustotal

long

carbonblack.edr.script

keyword

carbonblack.edr.script_sha256

keyword

carbonblack.edr.segment_id

keyword

carbonblack.edr.sensor_criticality

double

carbonblack.edr.sensor_id

keyword

carbonblack.edr.server_name

keyword

carbonblack.edr.sha256

keyword

carbonblack.edr.size

long

carbonblack.edr.status

keyword

carbonblack.edr.tamper

boolean

carbonblack.edr.tamper_sent

boolean

carbonblack.edr.tamper_type

keyword

carbonblack.edr.target_create_time

long

carbonblack.edr.target_md5

keyword

carbonblack.edr.target_path

keyword

carbonblack.edr.target_pid

long

carbonblack.edr.target_process_guid

keyword

carbonblack.edr.target_sha256

keyword

carbonblack.edr.timestamp

double

carbonblack.edr.type

keyword

carbonblack.edr.uid

keyword

carbonblack.edr.unique_id

keyword

carbonblack.edr.username

keyword

carbonblack.edr.utf8_comments

keyword

carbonblack.edr.utf8_company_name

keyword

carbonblack.edr.utf8_copied_module_length

long

carbonblack.edr.utf8_file_description

keyword

carbonblack.edr.utf8_file_version

keyword

carbonblack.edr.utf8_internal_name

keyword

carbonblack.edr.utf8_legal_copyright

keyword

carbonblack.edr.utf8_legal_trademark

keyword

carbonblack.edr.utf8_on_disk_filename

keyword

carbonblack.edr.utf8_original_file_name

keyword

carbonblack.edr.utf8_private_build

keyword

carbonblack.edr.utf8_product_description

keyword

carbonblack.edr.utf8_product_name

keyword

carbonblack.edr.utf8_product_version

keyword

carbonblack.edr.utf8_special_build

keyword

carbonblack.edr.watchlist_id

keyword

carbonblack.edr.watchlist_name

keyword

carbonblack.edr.watchlists.watchlist_1

keyword

carbonblack.edr.watchlists.watchlist_7

keyword

carbonblack.edr.watchlists.watchlist_9

keyword

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

boolean

host.os.build

操作系统构建信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

input.type

Filebeat 输入的类型。

keyword

log.flags

日志文件的标志。

keyword

log.offset

日志文件中条目的偏移量。

long

log.source.address

从中读取/发送日志事件的源地址。

keyword

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.19.0

增强 (查看拉取请求)
将“preserve_original_event”标签添加到 event.kind 设置为“pipeline_error”的文档。

8.13.0 或更高版本

1.18.1

Bug 修复 (查看拉取请求)
在提取管道中引用变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.18.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除由 ecs@mappings 组件模板造成的冗余 ECS 字段。

8.13.0 或更高版本

1.17.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.14.0 或更高版本
8.0.0 或更高版本

1.16.2

增强 (查看拉取请求)
更改了所有者

7.14.0 或更高版本
8.0.0 或更高版本

1.16.1

Bug 修复 (查看拉取请求)
修复 exclude_files 模式。

7.14.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
ECS 版本已更新至 8.11.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
将包 format_version 更新为 3.0.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.14.1

Bug 修复 (查看拉取请求)
删除未使用的 ECS 字段声明。

7.14.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
ECS 版本已更新至 8.10.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便集成的仪表板和保存的搜索都标记有“安全解决方案”,并在安全解决方案 UI 中显示。

7.14.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
将包更新到 ECS 8.9.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.14.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
将包更新到 ECS 8.8.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将包更新到 ECS 8.7.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.7.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.14.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将包更新到 ECS 8.6.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.5.1

增强 (查看拉取请求)
删除重复字段。

7.14.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0

7.14.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
添加 JA3/JA3S 解析

7.14.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新至 ECS 8.2

7.14.0 或更高版本
8.0.0 或更高版本

1.1.1

增强 (查看拉取请求)
添加多字段文档

7.14.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
更新至 ECS 8.0

7.14.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
GA 集成

7.14.0 或更高版本
8.0.0 或更高版本

0.3.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

0.3.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

0.2.2

增强 (查看拉取请求)
更新标题和描述。

0.2.1

错误修复 (查看拉取请求)
修复检查forwarded标记的逻辑

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

0.1.0

增强 (查看拉取请求)
初始版本

« VMware Carbon Black Cloud VMware vSphere 集成 »