Carbon Black Cloud Workload 배포 및 구성

Carbon Black Cloud Workload 는 vCenter Server 와 연동하여, 별도의 콘솔 접속이 없어도 워크로드에 대한 높은 가시성을 제공한다.
아래의 아키텍처를 통해 배포 절차 및 구성 요소에 대해서 살펴보고자 한다.

1. CWP 어플라이언스 (Carbon black cloud Workload Protection) 배포

온프레미스 영역에 있는 vCenter와 Cloud 영역에 있는 Carbon Black Cloud 간의 연동을 위한 CWP 어플라이언스가 필요하다.
CWP 어플라이언스와 vCenter 는 1:1 매칭이 진행된다. 즉, vCenter 하나 당 하나의 어플라이언스 배포가 가능하다.

vCenter 와 Carbon Black Cloud 간의 통신을 담당하는 역할 수행
NSX Manager 와 Carbon Black Cloud 간의 통신을 담당하는 채널 제공 (인증서 기반 인증)
vCenter의 데이터를 수집하고 수집된 데이터를 Carbon Black Cloud 와 공유하는 역할을 수행

어플라이언스는 VMware Customer Connect 에서 OVA 파일을 다운로드하여 배포를 진행한다.
OVA 파일의 배포는 vCenter 를 통해 처리되며, 해당 OVA 파일 이름은 cwp-va-<릴리즈 넘버>-<빌드 넘버>_OVF10.ova 형식이다.

* 온프레미스 영역의 vCenter 와 VMware Cloud on AWS SDDC 의 vCenter 와 연동 가능

1.2 CWP 어플라이언스 구성

vCenter 에 배포한 CWP 어플라이언스를 등록하는 작업이 필요하다. 해당 작업은 CWP 어플라이언스에 접속하여 진행한다.
어플라이언스는 vCenter 와 통신하기 위해 443 연결을 진행한다.

어플라이언스에 접속하면 대시보드 화면이 표시되고 메뉴별 기능을 확인할 수 있다.

Appliance
- Registration
  - SSO Lookup 등록
    - 어플라이언스의 서비스 계정을 통해 vCenter와 상호 작용을 진행
      서비스 계정은 SSO 서버에 생성되며, 서비스 계정 생성을 위해 SSO 자격 증명이 필요
    - 어플라이언스와 vCenter SSO 서버 간의 시간 동기화 필요
  - vCenter Server 연동
    - vCenter 메뉴의 CWP Plug-in 활성화
  - Carbon Black Cloud 연동
    - Carbon Black Cloud 접속하여 API ID 및 API Secrat Key 발급 필요
  - NSX Manager 연동
- General
  - NTP 서버 연동
    - SSO 구성이 올바르게 작동할 수 있도록 NTP 서버 구성 권장
    - vCenter 에서 사용되는 NTP 서버 입력
  - 관리자 패스워드 만료 설정 - 90일 마다 패스워드 만료
- Upgrade
  - 어플라이언스 업그레이드 (예약/즉시)
- Network
  - 어플라이언스 호스트의 네트워크 정보 표시 (DNS, 호스트네임, 도메인네임, IP)
  - 프록시 설정
Troubleshooting
- Logs

2. Alert

ID 의 유형은 3가지가 존재하고 있습니다. Alert Id, Threat ID, Event ID 가 존재합니다.

Alert ID : 15분 기간 내에 단일 엔드포인트에서 발생하는 유사한 이벤트의 모음 (알려진 위협, 잠재적으로 의심스러운 동작)
Event ID : 상위, 하위, 대상 프로세스를 포함하는 특정 단일 작업 표시
Threat ID : 위협에 대한 정보 표시, 유사한 경고가 함꼐 연결되어 표시되는 형식

https://community.carbonblack.com/t5/Knowledge-Base/Endpoint-Standard-Event-ID-vs-Alert-ID-vs-Threat-ID/ta-p/42859

Endpoint Standard: Event ID vs Alert ID vs Threat ID

Environment Carbon Black Cloud Console: All Versions Endpoint Standard Question What is the difference between EventID/event_id, AlertID/alert_id, and ThreatID/threat_id? Answer ID Name Description EventID One specific action involving up to three differen

community.carbonblack.com

<심각도 점수 기준>

심각도 1-2: 포트 스캔, 맬웨어 드롭, 시스템 구성 파일 변경, 지속성 등과 같은 활동
심각도 3-5: 맬웨어 실행, 일반적인 바이러스 유사 동작, 사용자 입력 모니터링, 잠재적인 메모리 스크래핑, 암호 도용 등과 같은 활동
심각도 6-10: 리버스 명령 셸, 프로세스 비우기, 파괴적인 맬웨어, 숨겨진 프로세스 및 도구 세트, 네트워크에서 통신하지만 통신해서는 안 되는 애플리케이션 등과 같은 활동

- 정책 판별 기준

참 : 악의적인 것으로 올바르게 식별된 경고
거짓 : 오탐일 수 있는 경고

- 장치 및 사용자 기준

장치에 할당된 사용자 정보 파악
센서 버전 확인 및 업그레이드 여부
기기 위치 확인 (온프레미스인지 오프프레미스인지)

- 정책 조치 여부

정책 규칙에 의해 작업 거부 및 종료
장치가 할당된 정책 확인
디바이스 분류 값 확인

- MITRE 및 TTP 확인

<조사>

<조사 분석 방법>

- 프로세스

프로세스 이르뫅인
프로세스 실행 경로 확인

- CMD

CMD 경로
호출된 명령어 및 실행 결과 확인
CMD 명령 인코딩 여부

- 서명

서명 정상 여부
서명 게시자의 신뢰 여부

- 해시

VirusTotal 에서 해시 정보 확인
버전 정보 최신 여부
버전이 오래되었거나 패치되지 않았거나, 취약할지 판단

본 포스팅은 VMware 에서 제공하는 Docs 를 참조하여 작성하였다. 해당 Docs 는 아래의 링크를 통해 확인 가능하다.
https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-38D28E17-CDDF-4E60-9164-7FDFD60938FB.html

Carbon Black Cloud Workload Overview

VMware Carbon Black Cloud™ Workload is a data center security product that protects your workloads running in a virtualized environment. Carbon Black Cloud Workload ensures that security is intrinsic to the virtualization environment by providing a built

docs.vmware.com

저작자표시 비영리 변경금지

'VMware > Carbon Black' 카테고리의 다른 글

Carbon Black EDR 서버 설치 및 구성 (0)	2023.09.07
Carbon Black EDR 구축 확인 사항 (0)	2023.09.06
Carbon Black Cloud Sensor Agent 관리 (0)	2023.08.11
Carbon Black Cloud 구축 확인 사항 (0)	2023.08.01
Carbon Black Cloud 콘솔 사용자 계정 관리 (0)	2023.07.19