Carbon Black

Información general

Utiliza la integración de Carbon Black con Datadog para reenviar tus eventos y alertas de Carbon Black EDR como logs de Datadog.

Configuración

Instalación

Datadog utiliza el reenvío de eventos de Carbon Black y el reenvío Lambda de Datadog para recopilar eventos y alertas de Carbon Black de tu bucket de S3.

Carbon Black proporciona una colección de Postman para la API que utilizas para crear el reenvío de eventos de Carbon Black.

Configuración

  1. Instala el Datadog Forwarder.
  2. Crea un bucket en tu consola de administración de AWS para reenviar eventos.
  3. Configura el bucket de S3 para permitir que el forwarder de Carbon Black escriba datos.
    • Importante: El bucket de S3 debe tener un prefijo con la palabra clave carbon-black en el que entran los eventos de CB. Esto permite que Datadog reconozca correctamente la fuente de los logs.
  4. Crea un nivel de acceso en la consola de Carbon Black Cloud.
  5. Crea una clave API en la consola de Carbon Black Cloud.
  6. Configura la API en Postman actualizando el valor de las siguientes variables de entorno de Postman con la clave creada anteriormente: cb_url, cb_org_key, cb_custom_id y cb_custom_key.
  7. Crea dos forwarders de eventos de Carbon Black con diferentes nombres para las alertas de Carbon Black ("type": "alert") y los eventos de endpoint ("type": "endpoint.event").
  8. Configura el Datadog Forwarder para que se active en el bucket de S3.

Resolución de problemas

¿Necesitas ayuda? Ponte en contacto con el equipo de asistencia de Datadog.