Carbon Black Defense
Versión de integración: 9.0
Configurar VMware Carbon Black Endpoint Standard (Endpoint Standard) para que funcione con Google Security Operations
Clave de API
- Inicia sesión en la consola de Carbon Black.
- Ve al nombre de usuario, situado en la parte superior derecha de la página, y selecciona Información del perfil.
Haz clic en Token de API en la parte izquierda de la página para ver tu token de API.
Si no se muestra ningún token de API, haz clic en Restablecer para crear uno.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apikey |
Configurar la integración de Carbon Black Defense en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://{server-addres} | Sí | URL raíz de la API de VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Clave secreta de la API | Cadena | N/A | Sí | Clave de API de VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Cambio de estado de dispositivo
Descripción
Cambiar el estado de un dispositivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Estado del dispositivo | Cadena | N/A | Sí | El nuevo estado. Ejemplo: REGISTERED |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_device_status | N/A |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Cambiar política
Descripción
Cambia la política de CB Defense asignada a cada una de las entidades de resultados de las consultas.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | Cadena | N/A | Sí | El nuevo nombre de la política. Ejemplo: DFLabs_Policy |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_policy | N/A |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Creación de política
Descripción
Crea una política en Cb Defense.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | Cadena | N/A | Sí | Nombre de la política. |
| Descripción de la política | Cadena | N/A | Sí | Descripción de la política. |
| Nivel de prioridad | Cadena | BAJA | Sí | La puntuación de prioridad asociada a los sensores asignados a esta política. Ejemplo: LOW |
| Detalles de políticas | Cadena | N/A | Sí | Los detalles de la política. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| new_policy_id | N/A | N/A |
Eliminación de política
Descripción
Eliminar una política de Cb Defense.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | Cadena | N/A | Sí | Nombre de la política. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Eliminar regla de una política
Descripción
Quita una regla de una política.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | Cadena | N/A | Sí | Nombre de la política. |
| ID de regla | Cadena | N/A | Sí | ID de la regla. Ejemplo: 1 |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Obtener información del dispositivo
Descripción
Obtener información sobre un dispositivo.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| assignedToName | Devuelve si existe en el resultado JSON. |
| macAddress | Devuelve si existe en el resultado JSON. |
| adGroupId | Devuelve si existe en el resultado JSON. |
| avEngine | Devuelve si existe en el resultado JSON. |
| avVdfVersion | Devuelve si existe en el resultado JSON. |
| rootedByAnalyticsTime | Devuelve si existe en el resultado JSON. |
| linuxKernelVersion | Devuelve si existe en el resultado JSON. |
| lastExternalIpAddress | Devuelve si existe en el resultado JSON. |
| lastDevicePolicyRequestedTime | Devuelve si existe en el resultado JSON. |
| activationCodeExpiryTime | Devuelve si existe en el resultado JSON. |
| currentSensorPolicyName | Devuelve si existe en el resultado JSON. |
| organizationName | Devuelve si existe en el resultado JSON. |
| deviceGuid | Devuelve si existe en el resultado JSON. |
| loginUserName | Devuelve si existe en el resultado JSON. |
| lastPolicyUpdatedTime | Devuelve si existe en el resultado JSON. |
| registeredTime | Devuelve si existe en el resultado JSON. |
| deviceSessionId | Devuelve si existe en el resultado JSON. |
| lastDevicePolicyChangedTime | Devuelve si existe en el resultado JSON. |
| windowsPlatform | Devuelve si existe en el resultado JSON. |
| osVersion | Devuelve si existe en el resultado JSON. |
| firstVirusActivityTime | Devuelve si existe en el resultado JSON. |
| avUpdateServers | Devuelve si existe en el resultado JSON. |
| lastReportedTime | Devuelve si existe en el resultado JSON. |
| middleName | Devuelve si existe en el resultado JSON. |
| activationCode | Devuelve si existe en el resultado JSON. |
| deregisteredTime | Devuelve si existe en el resultado JSON. |
| lastResetTime | Devuelve si existe en el resultado JSON. |
| lastInternalIpAddress | Devuelve si existe en el resultado JSON. |
| deviceOwnerId | Devuelve si existe en el resultado JSON. |
| avMaster | Devuelve si existe en el resultado JSON. |
| lastLocation | Devuelve si existe en el resultado JSON. |
| deviceType | Devuelve si existe en el resultado JSON. |
| targetPriorityType | Devuelve si existe en el resultado JSON. |
| encodedActivationCode | Devuelve si existe en el resultado JSON. |
| lastVirusActivityTime | Devuelve si existe en el resultado JSON. |
| avStatus | Devuelve si existe en el resultado JSON. |
| sensorStates | Devuelve si existe en el resultado JSON. |
| correo electrónico | Devuelve si existe en el resultado JSON. |
| virtualizationProvider | Devuelve si existe en el resultado JSON. |
| avPackVersion | Devuelve si existe en el resultado JSON. |
| assignedToId | Devuelve si existe en el resultado JSON. |
| scanStatus | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| policyName | Devuelve si existe en el resultado JSON. |
| scanLastActionTime | Devuelve si existe en el resultado JSON. |
| vdiBaseDevice | Devuelve si existe en el resultado JSON. |
| rootedByAnalytics | Devuelve si existe en el resultado JSON. |
| testId | Devuelve si existe en el resultado JSON. |
| avProductVersion | Devuelve si existe en el resultado JSON. |
| rootedBySensorTime | Devuelve si existe en el resultado JSON. |
| lastShutdownTime | Devuelve si existe en el resultado JSON. |
| en cuarentena | Devuelve si existe en el resultado JSON. |
| createTime | Devuelve si existe en el resultado JSON. |
| deviceId | Devuelve si existe en el resultado JSON. |
| sensorVersion | Devuelve si existe en el resultado JSON. |
| passiveMode | Devuelve si existe en el resultado JSON. |
| virtualMachine | Devuelve si existe en el resultado JSON. |
| firstName | Devuelve si existe en el resultado JSON. |
| uninstallCode | Devuelve si existe en el resultado JSON. |
| uninstalledTime | Devuelve si existe en el resultado JSON. |
| mensajes | Devuelve si existe en el resultado JSON. |
| policyOverride | Devuelve si existe en el resultado JSON. |
| organizationId | Devuelve si existe en el resultado JSON. |
| sensorOutOfDate | Devuelve si existe en el resultado JSON. |
| avAveVersion | Devuelve si existe en el resultado JSON. |
| status | Devuelve si existe en el resultado JSON. |
| policyId | Devuelve si existe en el resultado JSON. |
| deviceMetaDataItemList | Devuelve si existe en el resultado JSON. |
| lastName | Devuelve si existe en el resultado JSON. |
| originEventHash | Devuelve si existe en el resultado JSON. |
| avLastScanTime | Devuelve si existe en el resultado JSON. |
| rootedBySensor | Devuelve si existe en el resultado JSON. |
| scanLastCompleteTime | Devuelve si existe en el resultado JSON. |
| lastContact | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Obtener eventos
Descripción
Obtener eventos por entidad.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Periodo | cadena | N/A | Sí | Periodo de la búsqueda. Ejemplo: 3h |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| eventId | Devuelve si existe en el resultado JSON. |
| parentApp | Devuelve si existe en el resultado JSON. |
| eventTime | Devuelve si existe en el resultado JSON. |
| selectedApp | Devuelve si existe en el resultado JSON. |
| attackStage | Devuelve si existe en el resultado JSON. |
| processDetails | Devuelve si existe en el resultado JSON. |
| eventType | Devuelve si existe en el resultado JSON. |
| targetAp | Devuelve si existe en el resultado JSON. |
| longDescription | Devuelve si existe en el resultado JSON. |
| threatIndicators | Devuelve si existe en el resultado JSON. |
| securityEventCode | Devuelve si existe en el resultado JSON. |
| registryValue | Devuelve si existe en el resultado JSON. |
| incidentId | Devuelve si existe en el resultado JSON. |
| shortDescription | Devuelve si existe en el resultado JSON. |
| createTime | Devuelve si existe en el resultado JSON. |
| alertScore | Devuelve si existe en el resultado JSON. |
| alertCategory | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Get Processes
Descripción
Lista los procesos por dispositivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Periodo | cadena | 3h | Sí | Periodo de la búsqueda. Ejemplo: 3h |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| nombreaplicación | Devuelve si existe en el resultado JSON. |
| processId | Devuelve si existe en el resultado JSON. |
| numEvents | Devuelve si existe en el resultado JSON. |
| applicationPath | Devuelve si existe en el resultado JSON. |
| privatePid | Devuelve si existe en el resultado JSON. |
| sha256Hash | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Descripción
Prueba de conectividad.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.