메인 항목으로

App Control : Cloud 및 EDR 간 연동 방법

개요

App Contorl 제품과 EDR 및 Cloud 간의 연동 방법을 확인하고자 한다.

진행 방법

1. App Control - EDR 간 연동

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/EDR-How-to-Integrate-with-App-Control/ta-p/82936

1.1 EDR API Token 복사 (EDR 서버)

- [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] My Profile 클릭 > [API Token] 탭 > API Token [Copy] 버튼 선택하여 API 토큰 값 복사 

image.png

1.2 EDR 서버 연동 (App Control 서버)

- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'Carbon Black EDR' 설정

image.png

EDR 서버의 Watchlist Event 발생 이력에 대해 전달받을 수 있습니다.

- Watchlist 선택 안하면 어떤 데이터를 받아오는 지 ? Watchlist 선택 하면 어떤 데이터를 받아오는지 캡처하기
- APP Control 서버 말고 EDR 서버에서 연동하는 방법 있는지 확인

  • URL : EDR 서버의 도메인 정보 입력 (ex : https://FQDN or IP)
  • SSL Certificate : SSL 인증서 사용 여부 선택
  • API Token : EDR 서버에서 복사한 API 토큰 입력
  • Receive Watchlist Events : EDR 서버로부터 Watchlist Event 전송 받을 것인지 여부 선택 
  • Force Strong SSL : SSL 강제 적용 여부 선택 (?)

1.3 App Control 연동 여부 확인 (EDR 서버)

-  [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] 의 Settings 클릭 > [VMware Carbon Black App Control Server] 탭 선택 

image.png

정상 연동이 이루어진 경우, 'Connected to VMware Carbon Black App Control Server' 메세지가 확인됩니다.
또한 'Server URL' 정보에 App Control 서버 URL 이 입력되어 있는 것을 볼 수 있습니다.

* Watchlist 에 Alert 비활성화 되어 있어도 정보 받아옴

1.4 EDR 연동 정보 확인 (App Control)

- [App Control 웹 콘솔] 접속 > [Reports] 의 [Event] 메뉴 선택

image.png

이벤트 발생 시각 / 심각도 / 이벤트 발생 디바이스 / 이벤트 발생 정보 설명 / IP 정보 / 디바이스 사용 유저 정보 / 프로세스 네임 / 설치 파일 정보

Sensor Status 확인 가능 

image.png

image.png

2. App Control - Cloud 간 연동

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-enable-VMware-Carbon-Black-Cloud-Integration/ta-p/103396

1.1 Cloud 서버 연동 (App Control 서버)

- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Connectors] 탭 선택 > 'Carbon Black Cloud' 설정

image.png

 

  • Enable Carbon Black Cloud Integration : Carbon Black Cloud 와의 통합 여부
  • Do You Have Carbon Black Cloud Enterprise EDR :  Enterprise EDR 사용 여부 (미사용 시, 이벤트/장치 정보만 수집 가능)
  • Automatic : 기본 URL 주소 입력하여, 각 필드 URL에 적용
  • File Evenet URL, Computer/Device Event URL, Device URL : 수집할 Carbon Black Cloud URL 정보 입력

image.png

image.png