Carbon Black Defense
En este documento, se describe cómo integrar Carbon Black Defense con Google Security Operations.
Configura VMware Carbon Black Endpoint Standard (Endpoint Standard) para que funcione con Google Security Operations
Clave de API
- Accede a la consola de Carbon Black.
- Navega al nombre de usuario en la parte superior derecha de la página y selecciona Información del perfil.
Haz clic en API Token en el lado izquierdo de la página para revelar tu token de API.
Si no se muestra ningún token de API, haz clic en Restablecer para crear uno nuevo.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Configura la integración de Carbon Black Defense en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://{server-addres} | Sí | Es la URL raíz de la API de VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Clave secreta de la API | String | N/A | Sí | Clave de API de VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Cambiar el estado del dispositivo
Descripción
Cambia el estado de un dispositivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Estado del dispositivo | String | N/A | Sí | Es el estado nuevo. Ejemplo: REGISTERED |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_device_status | N/A |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Cambiar política
Descripción
Cambia la política de CB Defense asignada a cada una de las entidades de resultado de las búsquedas.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | String | N/A | Sí | Es el nombre de la política nueva. Ejemplo: DFLabs_Policy |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_policy | N/A |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Crear política
Descripción
Crea una política nueva en Cb Defense.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | String | N/A | Sí | Nombre de la política. |
| Descripción de la política | String | N/A | Sí | Es una descripción de la política. |
| Nivel de prioridad | String | BAJO | Sí | Es la puntuación de prioridad asociada a los sensores asignados a esta política. Ejemplo: LOW |
| Detalles de la política | String | N/A | Sí | Son los detalles de la política. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| new_policy_id | N/A | N/A |
Borrar política
Descripción
Borra una política de Cb Defense.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | String | N/A | Sí | Nombre de la política. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Borra la regla de la política
Descripción
Quita una regla de una política existente.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | String | N/A | Sí | Nombre de la política. |
| ID de la regla | String | N/A | Sí | Es el ID de la regla. Ejemplo: 1 |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Obtener información del dispositivo
Descripción
Obtén información sobre un dispositivo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| assignedToName | Devuelve si existe en el resultado JSON |
| macAddress | Devuelve si existe en el resultado JSON |
| adGroupId | Devuelve si existe en el resultado JSON |
| avEngine | Devuelve si existe en el resultado JSON |
| avVdfVersion | Devuelve si existe en el resultado JSON |
| rootedByAnalyticsTime | Devuelve si existe en el resultado JSON |
| linuxKernelVersion | Devuelve si existe en el resultado JSON |
| lastExternalIpAddress | Devuelve si existe en el resultado JSON |
| lastDevicePolicyRequestedTime | Devuelve si existe en el resultado JSON |
| activationCodeExpiryTime | Devuelve si existe en el resultado JSON |
| currentSensorPolicyName | Devuelve si existe en el resultado JSON |
| organizationName | Devuelve si existe en el resultado JSON |
| deviceGuid | Devuelve si existe en el resultado JSON |
| loginUserName | Devuelve si existe en el resultado JSON |
| lastPolicyUpdatedTime | Devuelve si existe en el resultado JSON |
| registeredTime | Devuelve si existe en el resultado JSON |
| deviceSessionId | Devuelve si existe en el resultado JSON |
| lastDevicePolicyChangedTime | Devuelve si existe en el resultado JSON |
| windowsPlatform | Devuelve si existe en el resultado JSON |
| osVersion | Devuelve si existe en el resultado JSON |
| firstVirusActivityTime | Devuelve si existe en el resultado JSON |
| avUpdateServers | Devuelve si existe en el resultado JSON |
| lastReportedTime | Devuelve si existe en el resultado JSON |
| middleName | Devuelve si existe en el resultado JSON |
| activationCode | Devuelve si existe en el resultado JSON |
| deregisteredTime | Devuelve si existe en el resultado JSON |
| lastResetTime | Devuelve si existe en el resultado JSON |
| lastInternalIpAddress | Devuelve si existe en el resultado JSON |
| deviceOwnerId | Devuelve si existe en el resultado JSON |
| avMaster | Devuelve si existe en el resultado JSON |
| lastLocation | Devuelve si existe en el resultado JSON |
| deviceType | Devuelve si existe en el resultado JSON |
| targetPriorityType | Devuelve si existe en el resultado JSON |
| encodedActivationCode | Devuelve si existe en el resultado JSON |
| lastVirusActivityTime | Devuelve si existe en el resultado JSON |
| avStatus | Devuelve si existe en el resultado JSON |
| sensorStates | Devuelve si existe en el resultado JSON |
| correo electrónico | Devuelve si existe en el resultado JSON |
| virtualizationProvider | Devuelve si existe en el resultado JSON |
| avPackVersion | Devuelve si existe en el resultado JSON |
| assignedToId | Devuelve si existe en el resultado JSON |
| scanStatus | Devuelve si existe en el resultado JSON |
| nombre | Devuelve si existe en el resultado JSON |
| policyName | Devuelve si existe en el resultado JSON |
| scanLastActionTime | Devuelve si existe en el resultado JSON |
| vdiBaseDevice | Devuelve si existe en el resultado JSON |
| rootedByAnalytics | Devuelve si existe en el resultado JSON |
| testId | Devuelve si existe en el resultado JSON |
| avProductVersion | Devuelve si existe en el resultado JSON |
| rootedBySensorTime | Devuelve si existe en el resultado JSON |
| lastShutdownTime | Devuelve si existe en el resultado JSON |
| En cuarentena | Devuelve si existe en el resultado JSON |
| createTime | Devuelve si existe en el resultado JSON |
| deviceId | Devuelve si existe en el resultado JSON |
| sensorVersion | Devuelve si existe en el resultado JSON |
| passiveMode | Devuelve si existe en el resultado JSON |
| virtualMachine | Devuelve si existe en el resultado JSON |
| firstName | Devuelve si existe en el resultado JSON |
| uninstallCode | Devuelve si existe en el resultado JSON |
| uninstalledTime | Devuelve si existe en el resultado JSON |
| mensajes | Devuelve si existe en el resultado JSON |
| policyOverride | Devuelve si existe en el resultado JSON |
| organizationId | Devuelve si existe en el resultado JSON |
| sensorOutOfDate | Devuelve si existe en el resultado JSON |
| avAveVersion | Devuelve si existe en el resultado JSON |
| estado | Devuelve si existe en el resultado JSON |
| policyId | Devuelve si existe en el resultado JSON |
| deviceMetaDataItemList | Devuelve si existe en el resultado JSON |
| lastName | Devuelve si existe en el resultado JSON |
| originEventHash | Devuelve si existe en el resultado JSON |
| avLastScanTime | Devuelve si existe en el resultado JSON |
| rootedBySensor | Devuelve si existe en el resultado JSON |
| scanLastCompleteTime | Devuelve si existe en el resultado JSON |
| lastContact | Devuelve si existe en el resultado JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Obtener eventos
Descripción
Obtiene eventos por entidad.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Período | cadena | N/A | Sí | Es el período de la búsqueda. Ejemplo: 3h |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| eventId | Devuelve si existe en el resultado JSON |
| parentApp | Devuelve si existe en el resultado JSON |
| eventTime | Devuelve si existe en el resultado JSON |
| selectedApp | Devuelve si existe en el resultado JSON |
| attackStage | Devuelve si existe en el resultado JSON |
| processDetails | Devuelve si existe en el resultado JSON |
| eventType | Devuelve si existe en el resultado JSON |
| targetAp | Devuelve si existe en el resultado JSON |
| longDescription | Devuelve si existe en el resultado JSON |
| threatIndicators | Devuelve si existe en el resultado JSON |
| securityEventCode | Devuelve si existe en el resultado JSON |
| registryValue | Devuelve si existe en el resultado JSON |
| incidentId | Devuelve si existe en el resultado JSON |
| shortDescription | Devuelve si existe en el resultado JSON |
| createTime | Devuelve si existe en el resultado JSON |
| alertScore | Devuelve si existe en el resultado JSON |
| alertCategory | Devuelve si existe en el resultado JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Obtener procesos
Descripción
Enumera los procesos por dispositivo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Período | cadena | 3h | Sí | Es el período de la búsqueda. Ejemplo: 3h |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| applicationName | Devuelve si existe en el resultado JSON |
| processId | Devuelve si existe en el resultado JSON |
| numEvents | Devuelve si existe en el resultado JSON |
| applicationPath | Devuelve si existe en el resultado JSON |
| privatePid | Devuelve si existe en el resultado JSON |
| sha256Hash | Devuelve si existe en el resultado JSON |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Descripción
Prueba la conectividad.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.