Carbon Black Defense
Ce document explique comment intégrer Carbon Black Defense à Google Security Operations.
Configurer VMware Carbon Black Endpoint Standard (Endpoint Standard) pour qu'il fonctionne avec Google Security Operations
Clé API
- Connectez-vous à la console Carbon Black.
- Accédez au nom d'utilisateur en haut à droite de la page, puis sélectionnez Infos sur le profil.
Cliquez sur Jeton d'API à gauche de la page pour afficher votre jeton d'API.
Si aucun jeton API n'est affiché, cliquez sur Réinitialiser pour en créer un.
Réseau
| Fonction | Port par défaut | Direction | Protocole |
|---|---|---|---|
| API | Valeurs multiples | Sortant | apikey |
Configurer l'intégration de Carbon Black Defense dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://{server-addres} | Oui | URL racine de l'API VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Clé secrète de l'API | Chaîne | N/A | Oui | Clé API VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Modifier l'état d'un appareil
Description
Modifier l'état d'un appareil
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| État de l'appareil | Chaîne | N/A | Oui | Nouvel état. Exemple : REGISTERED (ENREGISTRÉ) |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_device_status | N/A |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Modifier les règles
Description
Modifiez la stratégie CB Defense attribuée à chacune des entités de résultat de la requête.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Nouveau nom de la règle. Exemple : DFLabs_Policy |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_policy | N/A |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Créer une règle
Description
Créez une règle dans Cb Defense.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Nom de la règle. |
| Description de la stratégie | Chaîne | N/A | Oui | Description de la règle. |
| Niveau de priorité | Chaîne | LOW | Oui | Score de priorité associé aux capteurs attribués à cette règle. Exemple : FAIBLE |
| Détails des règles | Chaîne | N/A | Oui | Détails des règles. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| new_policy_id | N/A | N/A |
Suppression de règles
Description
Supprimez une règle de Cb Defense.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Nom de la règle. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Supprimer une règle d'une stratégie
Description
Supprimez une règle d'une règle existante.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la règle | Chaîne | N/A | Oui | Nom de la règle. |
| ID de la règle | Chaîne | N/A | Oui | ID de la règle. Exemple : 1 |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Obtenir des informations sur l'appareil
Description
Obtenez des informations sur un appareil.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| assignedToName | Renvoie la valeur si elle existe dans le résultat JSON |
| macAddress | Renvoie la valeur si elle existe dans le résultat JSON |
| adGroupId | Renvoie la valeur si elle existe dans le résultat JSON |
| avEngine | Renvoie la valeur si elle existe dans le résultat JSON |
| avVdfVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| rootedByAnalyticsTime | Renvoie la valeur si elle existe dans le résultat JSON |
| linuxKernelVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| lastExternalIpAddress | Renvoie la valeur si elle existe dans le résultat JSON |
| lastDevicePolicyRequestedTime | Renvoie la valeur si elle existe dans le résultat JSON |
| activationCodeExpiryTime | Renvoie la valeur si elle existe dans le résultat JSON |
| currentSensorPolicyName | Renvoie la valeur si elle existe dans le résultat JSON |
| organizationName | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceGuid | Renvoie la valeur si elle existe dans le résultat JSON |
| loginUserName | Renvoie la valeur si elle existe dans le résultat JSON |
| lastPolicyUpdatedTime | Renvoie la valeur si elle existe dans le résultat JSON |
| registeredTime | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceSessionId | Renvoie la valeur si elle existe dans le résultat JSON |
| lastDevicePolicyChangedTime | Renvoie la valeur si elle existe dans le résultat JSON |
| windowsPlatform | Renvoie la valeur si elle existe dans le résultat JSON |
| osVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| firstVirusActivityTime | Renvoie la valeur si elle existe dans le résultat JSON |
| avUpdateServers | Renvoie la valeur si elle existe dans le résultat JSON |
| lastReportedTime | Renvoie la valeur si elle existe dans le résultat JSON |
| middleName | Renvoie la valeur si elle existe dans le résultat JSON |
| activationCode | Renvoie la valeur si elle existe dans le résultat JSON |
| deregisteredTime | Renvoie la valeur si elle existe dans le résultat JSON |
| lastResetTime | Renvoie la valeur si elle existe dans le résultat JSON |
| lastInternalIpAddress | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceOwnerId | Renvoie la valeur si elle existe dans le résultat JSON |
| avMaster | Renvoie la valeur si elle existe dans le résultat JSON |
| lastLocation | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceType | Renvoie la valeur si elle existe dans le résultat JSON |
| targetPriorityType | Renvoie la valeur si elle existe dans le résultat JSON |
| encodedActivationCode | Renvoie la valeur si elle existe dans le résultat JSON |
| lastVirusActivityTime | Renvoie la valeur si elle existe dans le résultat JSON |
| avStatus | Renvoie la valeur si elle existe dans le résultat JSON |
| sensorStates | Renvoie la valeur si elle existe dans le résultat JSON |
| Renvoie la valeur si elle existe dans le résultat JSON | |
| virtualizationProvider | Renvoie la valeur si elle existe dans le résultat JSON |
| avPackVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| assignedToId | Renvoie la valeur si elle existe dans le résultat JSON |
| scanStatus | Renvoie la valeur si elle existe dans le résultat JSON |
| nom | Renvoie la valeur si elle existe dans le résultat JSON |
| policyName | Renvoie la valeur si elle existe dans le résultat JSON |
| scanLastActionTime | Renvoie la valeur si elle existe dans le résultat JSON |
| vdiBaseDevice | Renvoie la valeur si elle existe dans le résultat JSON |
| rootedByAnalytics | Renvoie la valeur si elle existe dans le résultat JSON |
| testId | Renvoie la valeur si elle existe dans le résultat JSON |
| avProductVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| rootedBySensorTime | Renvoie la valeur si elle existe dans le résultat JSON |
| lastShutdownTime | Renvoie la valeur si elle existe dans le résultat JSON |
| mis en quarantaine | Renvoie la valeur si elle existe dans le résultat JSON |
| createTime | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceId | Renvoie la valeur si elle existe dans le résultat JSON |
| sensorVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| passiveMode | Renvoie la valeur si elle existe dans le résultat JSON |
| virtualMachine | Renvoie la valeur si elle existe dans le résultat JSON |
| firstName | Renvoie la valeur si elle existe dans le résultat JSON |
| uninstallCode | Renvoie la valeur si elle existe dans le résultat JSON |
| uninstalledTime | Renvoie la valeur si elle existe dans le résultat JSON |
| messages | Renvoie la valeur si elle existe dans le résultat JSON |
| policyOverride | Renvoie la valeur si elle existe dans le résultat JSON |
| organizationId | Renvoie la valeur si elle existe dans le résultat JSON |
| sensorOutOfDate | Renvoie la valeur si elle existe dans le résultat JSON |
| avAveVersion | Renvoie la valeur si elle existe dans le résultat JSON |
| état | Renvoie la valeur si elle existe dans le résultat JSON |
| policyId | Renvoie la valeur si elle existe dans le résultat JSON |
| deviceMetaDataItemList | Renvoie la valeur si elle existe dans le résultat JSON |
| lastName | Renvoie la valeur si elle existe dans le résultat JSON |
| originEventHash | Renvoie la valeur si elle existe dans le résultat JSON |
| avLastScanTime | Renvoie la valeur si elle existe dans le résultat JSON |
| rootedBySensor | Renvoie la valeur si elle existe dans le résultat JSON |
| scanLastCompleteTime | Renvoie la valeur si elle existe dans le résultat JSON |
| lastContact | Renvoie la valeur si elle existe dans le résultat JSON |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Obtenir des événements
Description
Obtenez les événements par entité.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période | string | N/A | Oui | Période de la recherche. Exemple : 3h |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| eventId | Renvoie la valeur si elle existe dans le résultat JSON |
| parentApp | Renvoie la valeur si elle existe dans le résultat JSON |
| eventTime | Renvoie la valeur si elle existe dans le résultat JSON |
| selectedApp | Renvoie la valeur si elle existe dans le résultat JSON |
| attackStage | Renvoie la valeur si elle existe dans le résultat JSON |
| processDetails | Renvoie la valeur si elle existe dans le résultat JSON |
| eventType | Renvoie la valeur si elle existe dans le résultat JSON |
| targetAp | Renvoie la valeur si elle existe dans le résultat JSON |
| longDescription | Renvoie la valeur si elle existe dans le résultat JSON |
| threatIndicators | Renvoie la valeur si elle existe dans le résultat JSON |
| securityEventCode | Renvoie la valeur si elle existe dans le résultat JSON |
| registryValue | Renvoie la valeur si elle existe dans le résultat JSON |
| incidentId | Renvoie la valeur si elle existe dans le résultat JSON |
| shortDescription | Renvoie la valeur si elle existe dans le résultat JSON |
| createTime | Renvoie la valeur si elle existe dans le résultat JSON |
| alertScore | Renvoie la valeur si elle existe dans le résultat JSON |
| alertCategory | Renvoie la valeur si elle existe dans le résultat JSON |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Obtenir des processus
Description
Répertoriez les processus par appareil.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Période | string | 3 h | Oui | Période de la recherche. Exemple : 3h |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| applicationName | Renvoie la valeur si elle existe dans le résultat JSON |
| processId | Renvoie la valeur si elle existe dans le résultat JSON |
| numEvents | Renvoie la valeur si elle existe dans le résultat JSON |
| applicationPath | Renvoie la valeur si elle existe dans le résultat JSON |
| privatePid | Renvoie la valeur si elle existe dans le résultat JSON |
| sha256Hash | Renvoie la valeur si elle existe dans le résultat JSON |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Description
Testez la connectivité.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.