Carbon Black Defense
In diesem Dokument wird beschrieben, wie Sie Carbon Black Defense in Google Security Operations einbinden.
VMware Carbon Black Endpoint Standard (Endpoint Standard) für die Verwendung mit Google Security Operations konfigurieren
API-Schlüssel
- Melden Sie sich in der Carbon Black-Konsole an.
- Klicken Sie rechts oben auf der Seite auf den Nutzernamen und wählen Sie Profilinformationen aus.
Klicken Sie links auf der Seite auf API-Token, um Ihr API-Token aufzurufen.
Wenn kein API-Token angezeigt wird, klicken Sie auf Zurücksetzen, um ein neues zu erstellen.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Carbon Black Defense-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://{server-addres} | Ja | VMware Carbon Black Endpoint Standard (Endpoint Standard) API-Stamm-URL. |
| API-Secret-Schlüssel | String | – | Ja | VMware Carbon Black Endpoint Standard-API-Schlüssel (Endpoint Standard). |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Gerätestatus ändern
Beschreibung
Den Status eines Geräts ändern
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Gerätestatus | String | – | Ja | Der neue Status. Beispiel: REGISTERED |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cb_defense_deviceId | – |
| cb_defense_device_status | – |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Richtlinie ändern
Beschreibung
Ändern Sie die CB Defense-Richtlinie, die den einzelnen Ergebnis-Entitäten der Anfragen zugewiesen ist.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Richtlinienname | String | – | Ja | Der Name der neuen Richtlinie. Beispiel: DFLabs_Policy |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| cb_defense_deviceId | – |
| cb_defense_policy | – |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
Richtlinie erstellen
Beschreibung
Erstellen Sie eine neue Richtlinie in Cb Defense.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Richtlinienname | String | – | Ja | Name der Richtlinie. |
| Richtlinienbeschreibung | String | – | Ja | Eine Beschreibung der Richtlinie. |
| Prioritätsstufe | String | LOW | Ja | Die Prioritätsbewertung, die Sensoren zugewiesen ist, die dieser Richtlinie zugewiesen sind. Beispiel: LOW |
| Richtliniendetails | String | – | Ja | Die Richtliniendetails. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| new_policy_id | – | – |
Richtlinie löschen
Beschreibung
Richtlinie aus Cb Defense löschen
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Richtlinienname | String | – | Ja | Richtlinienname. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Regel aus Richtlinie löschen
Beschreibung
Entfernen Sie eine Regel aus einer vorhandenen Richtlinie.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Richtlinienname | String | – | Ja | Richtlinienname. |
| Regel-ID | String | – | Ja | Regel-ID Beispiel: 1 |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Geräteinformationen abrufen
Beschreibung
Informationen zu einem Gerät abrufen
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| assignedToName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| macAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| adGroupId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avEngine | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avVdfVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| rootedByAnalyticsTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| linuxKernelVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastExternalIpAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastDevicePolicyRequestedTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| activationCodeExpiryTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| currentSensorPolicyName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| organizationName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceGuid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| loginUserName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastPolicyUpdatedTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registeredTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceSessionId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastDevicePolicyChangedTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| windowsPlatform | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| osVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| firstVirusActivityTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avUpdateServers | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastReportedTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| middleName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| activationCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deregisteredTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastResetTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastInternalIpAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceOwnerId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avMaster | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastLocation | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| targetPriorityType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| encodedActivationCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastVirusActivityTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avStatus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sensorStates | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. | |
| virtualizationProvider | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avPackVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| assignedToId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| scanStatus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| policyName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| scanLastActionTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| vdiBaseDevice | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| rootedByAnalytics | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| testId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avProductVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| rootedBySensorTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastShutdownTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| unter Quarantäne gestellt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| createTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sensorVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| passiveMode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| virtualMachine | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| firstName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| uninstallCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| uninstalledTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Nachrichten | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| policyOverride | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| organizationId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sensorOutOfDate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avAveVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| policyId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| deviceMetaDataItemList | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| originEventHash | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| avLastScanTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| rootedBySensor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| scanLastCompleteTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| lastContact | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Ereignisse abrufen
Beschreibung
Ereignisse nach Entität abrufen
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zeitraum | String | – | Ja | Zeitraum der Suche. Beispiel: 3 h |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| eventId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| parentApp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| eventTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| selectedApp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| attackStage | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| processDetails | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| eventType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| targetAp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| longDescription | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| threatIndicators | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| securityEventCode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| registryValue | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| incidentId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| shortDescription | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| createTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| alertScore | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| alertCategory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Prozesse abrufen
Beschreibung
Prozesse nach Gerät auflisten.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zeitraum | String | 3 Std. | Ja | Zeitraum der Suche. Beispiel: 3 h |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| applicationName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| processId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| numEvents | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| applicationPath | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| privatePid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| sha256Hash | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Beschreibung
Verbindung testen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten