こんにちは。SB C&S 渡邊です。
当ブログではVMwareのWorkspace ONEという製品について、気になった内容を検証し手順、結果をまとめていきます。
<カスタムコネクタ アクション作成>
今回はWorkspace ONE Intelligenceの機能であるサードパーティ製品とのカスタムコネクタ連携において、自動化機能で使用するアクションの作成方法について検証しました。
ここではVMwareのエンドポイントセキュリティ製品であるCarbon Black Cloudとの連携を例に検証を進めていきます。
Carbon Black Cloudのカスタムコネクタについては、VMwareで事前にサンプルアクション(隔離・ポリシー変更)が用意されています。
用意されたサンプル以外のアクションを独自に設定する場合の手順を紹介していきます。
サンプルの詳細は下記リンクをご参照ください。
- Workspace ONE Intelligence Custom Connector Samples
https://code.vmware.com/samples/6524/workspace-one-intelligence-custom-connector-samples?h=Carbon%20Black#
初めにWorkspace ONE IntelligenceとCarbon Black Cloudについて概要説明をします。
-
Workspace ONE Intelligence
Workspace ONE IntelligenceはWorkspace ONEのプラットフォーム(Workspace ONE UEM、Workspace ONE Access等)からデータを集積し活用するサービスです。
収集したデータを監視したい項目ごと可視化したり、レポートとして出力することが可能です。
またデータの検知をトリガーとして、様々なコンポーネントに対して自動的にアクションを実行します。
サードパーティ製のセキュリティソリューションと連携することで、より詳細なセキュリティデータを収集したりセキュリティアクションを実行することができます。
- Carbon Black Cloud
VMware Carbon Black Cloudは、次世代型のアンチウイルス機能である"NGAV"と"EDR"による侵入後の対応を兼ね備えたエンドポイントセキュリティです。
高度な脅威に対抗するためにビッグデータを活用し、高い分析能力とクラウドならではの高い処理能力と即応性、拡張性により、優れたエンドポイントの検出や対応保護を実現します。
またSaaS 型モデルとして提供されるため、全てのプロセス相関関係や分析をクラウドプラットフォームで実施するので、企業や組織で管理サーバーを構築・運用する必要はありません。
<検証環境>
- Workspace ONE Intelligence
- Carbon Black Cloud Endpoint
- Postman
本環境ではWorkspace ONE IntelligenceとCarbon Black CloudはAPI連携済みです。
API連携の詳細は下記リンクをご参照ください。
- Workspace ONEとCarbon Blackの連携 - 3つの活用術
https://licensecounter.jp/engineer-voice/blog/articles/20210326_workspaceone_carbonblack.html
<設定内容>
カスタムコネクタのアクションはAPIで作成します。
Carbon Black Cloudの各APIの仕様に関しては下記リンクをご参照ください。
- VMware Carbon Black Developer
https://developer.carbonblack.com/reference/carbon-black-cloud/
①APIアクセス権限の確認
まずはCarbon Black Developerを参考に実行したいAPIを探し、必要となるRBAC Permissions Required(ロールベースアクセス権限)を確認します。
(Carbon Black Cloudを利用している全てのユーザーが使えるAPIは、"API Reference"の"Cloud Platform"に記載されています)
Carbon Black Cloud コンソール上のAPIキー アクセスレベルの設定において、Carbon Black Developerで指定されたRBAC権限を承認する必要があります。
今回はReputation Overrideでブラックリストにファイルを追加するAPIを設定していきます。
アクションとしては設定したトリガーを検知すると、指定のファイルがブラックリストに追加する動きをします。
後のAPIキーの作成で利用するため、PermissionとOperationの値を控えておきます。
②APIキー作成
APIのリクエストを受け付けるために、事前にCarbon Black CloudテナントにAPIキーを作成する必要があります。
まずはCarbon Black Cloudコンソールの"APIアクセス"よりアクセスレベルを追加します。
アクセスレベルは"API","SIEM","Live Response"が事前に用意されていますが、今回はカスタムで作成したものを使用します。
Carbon Black Developerで確認したPermissionの値(今回はorg.reputations)を探し、"作成"にチェックを入れて保存します。
続いてAPIキーを追加します。
追加したカスタムのアクセスレベルを割り当てて保存します。
APIキーの作成が完了すると自動で"API ID"と"API シークレットキー"作成されます。
2つの認証情報は今後使用するため控えておきます。
③HTTPリクエスト作成
Carbon Black CloudへWorkspace ONE Intelligenceから送信するHTTPリクエストをPostmanを使って作成します。
PostmanはWeb APIの開発やテストに利用されるツールです。
アプリ版もありますが、今回はブラウザ版を利用しています。(どちらを利用しても手順は同様です)
まずはWorkspaceにHTTPリクエストを保存するコレクションを作成します。
コレクションを作成したら"New Collection"に任意でコレクション名を入力します。
コレクションの名前を設定し、続いてHTTPリクエストを作成します。
HTTPリクエストを作成したら"Untitle Request"に任意で名前を入力します。
各APIのリクエストURLの形式は"Request"に記載されています。
{cbc-hostname}にはコンソールのURLを入力します。
{org_key}はコンソール上のAPIアクセスで確認できる"組織キー"を入力します。
リクエストのURLは以下のようになります。
次にHeadersタグで認証情報とコンテントタイプの情報をそれぞれ追加します。
認証情報はAPIキー作成時に自動生成されたAPIトークンを使用し、X-Auth-Tokenヘッダの値に"APIシークレットキー/API ID"という形で入力します
またContent-Typeヘッダには"application/json"を指定します。
続いてCarbon Black DeveloperのRequest Bodyの例を参考に、"Body"タグでPOSTリクエストのパラメータであるリクエストボディを作成します。
リクエストボディは入力の内容によって、追加のフィールドが必要になります。
今回はアプリケーションをブラックリストで登録するため、sha256_hashのフィールドを追加で入力しています。(ブラックリストはsha256でしか登録できません)
リクエストボディの内容は以下の通りです。
リクエスト情報の入力完了したら、"Save"をクリックして最初に作成したコレクション内に内容を保存します。
④Postmanコレクション エクスポート
"Send"をクリックしHTTPリクエストを送信後、以下のようにレスポンスが返ってきたら成功です。
"Save Response"をクリックして"Save as example"を選択します。
これによりコレクション内にリクエスト、レスポンス両方の情報が保存されます。
また保存されたレスポンスの名前を任意で変更します。
保存が完了したらリクエストとレスポンスが格納されたコレクションのJSONファイルを出力します。
コレクションのアイコンマークから"Export"をクリックし、出力バージョンは"Collection V2.1"を選択します。
出力したJSONファイルをWorkspace ONE Intelligenceコンソールで、Carbon Blackのアクションとしてワークフローコネクタにインポートします。
インポートが完了したら、アイコンからアクションが正常に機能するかテストを実施します。
テスト結果のステータスで"200 OK"がレスポンスとして返って来ると成功です。
このようにWorkspace ONE Intelligenceへインポートが完了したアクションは、今後自動化機能のワークフロー内で利用できます。
今回作成したReputation Overrideはセキュリティイベントを検知した際に、特定のファイルを利用できないようブラックリストに自動追加する、といった自動化設定に活用できます。
またブラックリストに追加したいファイルは、Workspace ONE Intelligenceコンソール上でインポートしたアクションボディのValue(値)を変更することでカスタマイズが可能です。
まとめ
今回はCarbon Blackを例にWorkspace ONE Intelligenceカスタムコネクタのアクションを作成しました。
Carbon BlackはAPIで設定できる内容は全てWorkspace ONE Intelligenceの自動化アクションとして利用できます。
またその他のサードパーティ製品も同様にAPIを利用してカスタムコネクタのアクションを設定できるため、想定される運用方法に合わせて様々なアクションを作成してみてはいかがでしょうか。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
渡邊 理史