こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、主に VMware EUC製品 を担当しております。

今回は、VMware Workspace ONE とVMware Carbon Black Cloud Endpointの連携についてご紹介します。

※以下、VMware Workspace ONE はWorkspace ONE、VMware Carbon Black Cloud EndpointはCarbon Blackと記載します。

Workspace ONEとCarbon Blackの連携機能

VMwareのエンドポイント関連ソリューションとして、統合エンドポイント管理(Unified Endpoint Management)機能を提供する「Workspace ONE」、エンドポイントを監視し攻撃の検出や被害の可視化を行うEDR（Endpoint Detection and Response）機能を提供する「Carbon Black」があります。
Workspace ONEとCarbon Blackは別々のソリューションですが、同じ"VMwareのソリューション"として連携機能が提供されています。この2つの製品を連携することで、より高度なエンドポイント管理・セキュリティを実現します。

本ブログではWorkspace ONEとCarbon Blackの連携機能について、３つの活用方法をご紹介致します。

1. Carbon Black Sensorの配信・管理
2. デバイスのリスク分析・ダッシュボード
3. Carbon Blackのアラートをトリガーにした自動アクション

１．Carbon Black Sensorの配信・管理

デバイスをCarbon Blackの管理対象にするためには、Carbon Blackの管理エージェント「Carbon Black Sensor(以下、CB Sensorと記載します)」をインストールする必要があります。CB Sensorのインストール方法は、ユーザー自身がウィザードに従ってインストールする方式（Attended Install）と、コマンドラインベースでインストールを行う方式（Unattended Install）があります。

多くのケースではユーザーにアプリケーションをインストールする権限を割り当てていないため、IT管理者の方がコマンドラインベースでインストールを実行すると思いますが、デバイス数が多いとインストール作業も大変です。また、昨今のコロナ禍でリモートワークを行っている場合は、社外に持ち出したデバイスに追加インストールをする作業が難しい場合もあるかと思います。

Workspace ONEのWorkspace ONE UEMには、管理しているデバイスに対しアプリケーションを配信する機能があり、この機能を使用してCB Censorの配信・管理が可能です。

■CB Sensorの配信設定(Windows 10)

どのような手順でCB Sensorの配信ができるのか、概要手順をご紹介します。
※Windows 10の場合について記載します。手順は異なりますがmacOSも同様に配信が可能です。

まず、Carbon Blackの管理コンソールで、CB Sensorをダウンロードします。また、お客様の契約しているCarbon Black環境を識別するための会社コードがインストール時に必要になるため、合わせて確認します。

次にダウンロードしたCB SensorのインストーラーをWorkspace ONE UEMに社内アプリケーションとしてアップロードします。

アップロード後にCB Sensorのアプリケーション情報を設定します。CB Sensor のWindows用インストーラーは.msi形式のため、インストールに必要な設定のほとんどは自動的に読み込まれますが、追加で会社コードの指定が必要です。

[展開オプション]タブのインストールコマンドを指定する項目で、インストールコマンドの末尾(/qnの後)に[COMPANY_CODE="会社コード(登録コード)"]を追記します。また、インストール時にCarbon Blackのポリシーを指定したい場合も末尾に"GROUP_NAME=グループ名"を追記することで割り当て可能です。

・インストールコマンド例
msiexec /i "installer_vista_win7_win8-64-(バージョン).msi" /qn COMPANY_CODE="12345XXXXXX6789"

次に、CB Sensorをインストールするデバイスを割り当てます。割り当て設定時に、アプリ配信方法の設定を[自動]にすることで、割り当てられたデバイスは自動的にCB Sensorがインストールされるようになります。

また、割り当て設定時に[制限]の[望ましい状態の管理]を有効にすることで、もしユーザーがCB Sensorをアンインストールしても自動的に再インストールされるようになります。利用者がデバイスに対してアプリケーションをアンインストールする権限を持っている場合でも、Carbon Blackの管理対象から外すことを抑止できます。

CB Sensorの配信に必要な設定は以上です。

Workspace ONE UEMによって管理されているデバイスにCB Sensorが自動でインストールされ、Carbon Blackの管理対象として自動登録されます。

このような手順で、Workspace ONE UEMで管理されたデバイスを簡単にCarbon Blackの管理対象にすることができます。デバイスが社外にあってもCB Sensorを追加インストールすることができますし、デバイスの初期セットアップ時であればWorkspace ONE UEMにデバイスを加入させるだけで様々な設定と合わせてCarbon Blackへの登録も自動的に完了させることができます。

2．デバイスのリスク分析・ダッシュボード

2つ目の活用方法は、Workspace ONE IntelligenceとCarbon Blackを連携した、デバイスのリスク分析とダッシュボード機能についてです。

Workspace ONE Intelligenceは、Workspace ONE UEMで管理している企業デバイスの情報やWorkspace ONE Accessで認証されたユーザーのクラウドサービス利用の情報など、様々な情報を収集しダッシュボード表示・レポート・自動化を行うWorkspace ONEのコンポーネントです。

このWorkspace ONE Intelligenceは他のセキュリティ製品との連携にも対応しており、Carbon Blackとの連携も可能です。Carbon Blackで検知したデバイスのアラート情報をWorkspace ONE Intelligenceの対象データとして取り込むことができます。

取り込んだCarbon Blackのアラートデータは、Workspace ONE Intelligenceのダッシュボードで表示することができます。ダッシュボードはカスタマイズが可能で、Workspace ONE UEMなどで収集されたデバイス情報（利用者・利用アプリ・更新プログラムの適用状態など)と合わせ、Carbon Blackのアラート情報をWorkspace ONE Intelligenceで一元的に確認できるようになります。

・Workspace ONE Intelligenceのダッシュボード

また、Workspace ONE Intelligenceは収集した様々なデータを機械学習によって分析し、デバイスやユーザーの持つリスクをスコア化する「Risk Scoring」という機能があります。

例えば、デバイスの更新を怠ってデバイスの脆弱性を放置していたり、Windowsのセキュリティ設定を無効にしているなど、リクスのあるデバイスの利用者をセキュリティリスクの高いユーザーとしてスコアリングし、クラウドアプリケーションの利用や社内システムのアクセスを制限することが可能です。

このRisk Scoring機能はWorkspace ONE IntelligenceとCarbon Blackとの連携により、Carbon Blackのアラート情報を分析データの追加要素として扱うことができます。Workspace ONE UEMとCarbon Blackに登録・管理されたデバイスで脅威イベントが確認された場合、そのデバイスをリスクの高いデバイスとしてスコアリングします。

下記の画面キャプチャは、Workspace ONE Intelligenceでスコアリングされたデバイスの情報です。Carbon Blackで脅威を検知したためリスクスコアが[Hight(リスク高)]と判断されています。

■Workspace ONE IntelligenceとCarbon BlackのAPI連携

ご紹介した連携機能を使用するためには、Workspace ONE IntelligenceとCarbon BlackのAPI連携設定が必要です。どのような手順で連携ができるのか、概要手順をご紹介します。

====================================
【2023年9月追記】

現在、Workspace ONE IntelligenceとCarbon BlackのAPI連携方法が変更されています。最新の設定手順は以下ドキュメントをご参照ください。

・拡張 Carbon Black 統合の更新 (86394)
https://kb.vmware.com/s/article/86394?lang=ja

・Configuring VMware Carbon Black Cloud Integration in Workspace ONE Intelligence
https://techzone.vmware.com/integrating-workspace-one-intelligence-and-vmware-carbon-black-workspace-one-operational-tutorial

====================================

まず、Carbon Blackの管理コンソールでAPIキーを作成します。
Carbon Black の管理コンソールで[設定]-[APIアクセス]を開き、 [APIキーを追加]から作成します。
本章で紹介している連携に必要なAPIキーは「アクセスレベル：SIEM」と「アクセスレベル：API」の2種類です。
それぞれ発行される API IDとAPIシークレットキーを確認してメモしておきます。

次にSIEMキーに対する通知設定を追加します。
[設定]-[通知] の[通知を追加]から3つの通知設定を追加します。

[1]Global Alert Notification(任意の名前)
いつ通知を受け取りますか：アラートがしきい値を超えています/脅威・確認対象/重要度 1
ポリシー：すべてのポリシー
APIキー：作成したSIEMキー

[2]Global Policy Action Denied Notification(任意の名前)
いつ通知を受け取りますか：ポリシーアクションが適用されました/<拒否>
ポリシー：すべてのポリシー
APIキー：作成したSIEMキー

[3]Global Policy Action Terminate Notification(任意の名前)
いつ通知を受け取りますか：ポリシーアクションが適用されました/<終了>
ポリシー：すべてのポリシー
APIキー：作成したSIEMキー

これでCarbon Black側の準備は完了です。

次にWorkspace ONE Intelligenceの管理画面に生成したAPIキーを設定します。

Workspace ONE Intelligenceの [Integrations]を開き、Carbon Blackの [SET UP]をクリックします。表示されたAPI連携設定の画面にCarbon Black のAPI URLと、生成した2種類(アクセスレベル：API/SIEM)の"API ID"と"APIシークレットキー"をそれぞれ入力します。

※下記リンクから契約しているテナントのAPI URLを確認できます
Carbon Black Cloud: What URLs are used to access the APIs?

設定を保存し、Carbon BlackのStatusが"Authorized"になっていれば完了です。これでWorkspace ONE IntelligenceでCarbon Blackのアラート情報が確認できるようになります。

３．Carbon Blackのアラートをトリガーにした自動アクション

3つ目の活用方法は、Workspace ONE Intelligenceの自動アクション機能についてです。

Workspace ONE Intelligenceは、Workspace ONE UEMで検知したデバイス状態の情報や、Carbon Blackなどの連携したセキュリティ製品のアラートをトリガーにした自動アクション機能を提供しています。

例えば、Carbon Blackでアラートを検知した場合に以下の様なアクションを自動実行することが可能です。

• VPN設定や証明書を削除して社内システムに繋げられないようにする
• インストールされているアプリケーションを削除する
• Slackなどのコミュニケーションツールに通知メッセージを投稿する
• ネットワークから隔離する(Carbon Blackで隔離を実行)
• デバイスに割り当てられているCarbon Blackのポリシーを変更する

自動アクションはWorkspace ONE Intelligenceの管理コンソールで設定します。Workspace ONE Intelligenceは以下の画面イメージのようにGUIの画面操作に従い、[〇〇で(Trigger)]-[△△を検知したら(Filter)]-[××を実行する(Action)]といった自動アクションのルールを簡単に作成することができます。

■Carbon Blackのカスタムコネクターを追加

前章でご紹介した「Workspace ONE IntelligenceとCarbon BlackのAPI連携」の設定は、Workspace ONE IntelligenceにCarbon Blackのデータを取り込む機能の設定のため、"Carbon Blackに対する自動アクション"を実施することができません。Carbon Blackでデバイスの隔離やポリシー変更を自動実行するためには、Workspace ONE Intelligenceにカスタムコネクターを追加する必要があります。

Carbon Blackのカスタムコネクターの設定方法について、概要手順をご紹介します。

まず、Carbon Blackの管理コンソールでカスタムコネクター用のアクセスレベルとAPIキーを作成します。
Carbon Black の管理コンソールで[設定]-[APIアクセス]-[アクセスレベル]を開き、 [アクセスレベルの追加]をクリックします。
アクセスレベルの名前と説明を入力し、下記アクセスレベルにチェックを入れて保存します。

名前の例：Device Quarantine and Update Policy Actions
説明の例：Workspace ONE Intelligence Custom Connector API Key permission

カテゴリ	許可名	表記名	有効化対象
Device	Quarantine	device.quarantine	実行
Device	Policy assignment	device.policy	更新

続けて [APIキー]タブを開き、 [APIキーを追加]からAPIキーを作成します。
名前はカスタムコネクター用と識別できる名前を入力します。アクセスレベルは[カスタム]に設定し、先程作成したアクセスレベルの名前を指定して保存します。発行される API IDとAPIシークレットキーを確認してメモしておきます。
また、APIアクセスの画面で確認できる[組織キー]もあわせてメモしておきます。

これでCarbon Black側の準備は完了です。

次に、カスタムコネクターのアクションが記述されたJSONファイルを用意します。サンプルファイルが保存されているGitHubのページにアクセスし、" Carbon Black.postman_collection.json"をダウンロードします。

VMware Carbon Black Cloud Custom Connector Sample Collection

ダウンロードしたJSONファイルを開き、下記値をそれぞれ置き換えます。
{{APIKey}}・・・作成したカスタムコネクター用のAPI ID
{{APISecret}} ・・・作成したカスタムコネクター用のAPIシークレットキー
{{OrgKey}} ・・・Carbon Blackの管理コンソールで確認した組織キー

※補足
・対象箇所が複数あるのでテキスト編集アプリの置換機能を使用して検索と文字置換をします。
・ "{{}}"の記号も一緒に置換します。

最後にWorkspace ONE Intelligenceにカスタムコネクターを作成します。

Workspace ONE Intelligenceの [Integrations]タブでWorkflow Connectorsの[View]を開き、
[ADD CUSTOM CONNECTOR]をクリックします。
下記値を設定しCarbon Blackのカスタムコネクターを作成します。
・名前...Carbon Black
・Base URL...Carbon BlackのAPI URL を入力します。
・Auth Type...No Authentication

※下記リンクから契約しているテナントのAPI URLを確認できます
Carbon Black Cloud: What URLs are used to access the APIs?

Carbon Blackのカスタムコネクターを作成後[INPORT ACTIONS]をクリックし、作成したJSONファイルをアップロードします。JSONファイルが読み込まれ、自動アクションで使用できる"デバイスの隔離"と"ポリシー変更"のアクションが表示されるようになります。

作成したアクション一覧画面の[︙]-[TEST]から、作成したアクションの動作テストを行うことができます。
Carbon Blackの管理コンソールでデバイスのIDやポリシーのIDを確認し、Workspace ONE Intelligenceのテスト実行画面でデバイスに対して指定したアクションが実行されることを確認します。テストが成功(Successful)と表示され、対象デバイスの隔離状態やポリシーが変更されていれば正常にアクションが動作しています。

以上で、Carbon Blackのカスタムコネクターの設定は完了です。

Workspace ONE Intelligenceの自動アクション作成時に、Carbon Blackのカスタムコネクターを選択できるようになります。

おわりに

Workspace ONEとCarbon Blackの連携機能について３つの活用方法をご紹介しました。
昨今注目されているゼロトラストの概念にもあるように、様々な情報を収集・分析してセキュリティの改善に活用することが求められています。しかし、マルチベンダーのソリューションを使用する場合、各情報を統合しデータを結びつけて活用することが難しい場合や、環境構築や運用に手間がかかる場合もあるかと思います。

ご紹介したように、Workspace ONEとCarbon Blackは同じ"VMwareのソリューション"として連携機能が提供されています。Workspace ONE Intelligenceが中心となってデータを収集し、リスクの分析や自動アクションを行うことで高度なエンドポイント管理・セキュリティを実現します。

本ブログではVMwareソリューションの情報を発信していきますので引き続きチェック頂けると幸いです。

VMware の各種製品情報や SB C&S が提案する仮想化ソリューションについての情報はこちらから