Carbon Black Defense
Dokumen ini menjelaskan cara mengintegrasikan Carbon Black Defense dengan Google Security Operations.
Mengonfigurasi VMware Carbon Black Endpoint Standard (Endpoint Standard) agar berfungsi dengan Google Security Operations
Kunci API
- Login ke konsol Carbon Black.
- Arahkan ke nama pengguna di sisi kanan atas halaman, lalu pilih Info profil.
Klik Token API di sisi kiri halaman untuk melihat token API Anda.
Jika tidak ada token API yang ditampilkan, klik Reset untuk membuat token baru.
Jaringan
| Fungsi | Port Default | Arah | Protokol |
|---|---|---|---|
| API | Multinilai | Keluar | apikey |
Mengonfigurasi integrasi Carbon Black Defense di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://{server-addres} | Ya | URL Root API VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Kunci Rahasia API | String | T/A | Ya | Kunci API VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Mengubah Status Perangkat
Deskripsi
Mengubah status perangkat.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Status Perangkat | String | T/A | Ya | Status baru. Contoh: TERDAFTAR |
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| cb_defense_deviceId | T/A |
| cb_defense_device_status | T/A |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Ubah Kebijakan
Deskripsi
Ubah kebijakan CB Defense yang ditetapkan ke setiap entity hasil kueri.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Ya | Nama kebijakan baru. Contoh: DFLabs_Policy |
Kasus penggunaan
T/A
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| cb_defense_deviceId | T/A |
| cb_defense_policy | T/A |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Kebijakan Dibuat
Deskripsi
Buat kebijakan baru di Cb Defense.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Ya | Nama kebijakan. |
| Deskripsi Kebijakan | String | T/A | Ya | Deskripsi kebijakan. |
| Tingkat Prioritas | String | RENDAH | Ya | Skor prioritas yang terkait dengan sensor yang ditetapkan ke kebijakan ini. Contoh: RENDAH |
| Detail Kebijakan | String | T/A | Ya | Detail kebijakan. |
Terus Berjalan
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| new_policy_id | T/A | T/A |
Kebijakan Dihapus
Deskripsi
Menghapus kebijakan dari Cb Defense.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Ya | Nama kebijakan. |
Terus Berjalan
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Menghapus Aturan dari Kebijakan
Deskripsi
Menghapus aturan dari kebijakan yang ada.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Ya | Nama kebijakan. |
| ID aturan | String | T/A | Ya | ID Aturan. Contoh: 1 |
Terus Berjalan
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Mendapatkan Info Perangkat
Deskripsi
Mendapatkan informasi tentang perangkat.
Parameter
T/A
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| assignedToName | Menampilkan apakah ada dalam hasil JSON |
| macAddress | Menampilkan apakah ada dalam hasil JSON |
| adGroupId | Menampilkan apakah ada dalam hasil JSON |
| avEngine | Menampilkan apakah ada dalam hasil JSON |
| avVdfVersion | Menampilkan apakah ada dalam hasil JSON |
| rootedByAnalyticsTime | Menampilkan apakah ada dalam hasil JSON |
| linuxKernelVersion | Menampilkan apakah ada dalam hasil JSON |
| lastExternalIpAddress | Menampilkan apakah ada dalam hasil JSON |
| lastDevicePolicyRequestedTime | Menampilkan apakah ada dalam hasil JSON |
| activationCodeExpiryTime | Menampilkan apakah ada dalam hasil JSON |
| currentSensorPolicyName | Menampilkan apakah ada dalam hasil JSON |
| organizationName | Menampilkan apakah ada dalam hasil JSON |
| deviceGuid | Menampilkan apakah ada dalam hasil JSON |
| loginUserName | Menampilkan apakah ada dalam hasil JSON |
| lastPolicyUpdatedTime | Menampilkan apakah ada dalam hasil JSON |
| registeredTime | Menampilkan apakah ada dalam hasil JSON |
| deviceSessionId | Menampilkan apakah ada dalam hasil JSON |
| lastDevicePolicyChangedTime | Menampilkan apakah ada dalam hasil JSON |
| windowsPlatform | Menampilkan apakah ada dalam hasil JSON |
| osVersion | Menampilkan apakah ada dalam hasil JSON |
| firstVirusActivityTime | Menampilkan apakah ada dalam hasil JSON |
| avUpdateServers | Menampilkan apakah ada dalam hasil JSON |
| lastReportedTime | Menampilkan apakah ada dalam hasil JSON |
| middleName | Menampilkan apakah ada dalam hasil JSON |
| activationCode | Menampilkan apakah ada dalam hasil JSON |
| deregisteredTime | Menampilkan apakah ada dalam hasil JSON |
| lastResetTime | Menampilkan apakah ada dalam hasil JSON |
| lastInternalIpAddress | Menampilkan apakah ada dalam hasil JSON |
| deviceOwnerId | Menampilkan apakah ada dalam hasil JSON |
| avMaster | Menampilkan apakah ada dalam hasil JSON |
| lastLocation | Menampilkan apakah ada dalam hasil JSON |
| deviceType | Menampilkan apakah ada dalam hasil JSON |
| targetPriorityType | Menampilkan apakah ada dalam hasil JSON |
| encodedActivationCode | Menampilkan apakah ada dalam hasil JSON |
| lastVirusActivityTime | Menampilkan apakah ada dalam hasil JSON |
| avStatus | Menampilkan apakah ada dalam hasil JSON |
| sensorStates | Menampilkan apakah ada dalam hasil JSON |
| Menampilkan apakah ada dalam hasil JSON | |
| virtualizationProvider | Menampilkan apakah ada dalam hasil JSON |
| avPackVersion | Menampilkan apakah ada dalam hasil JSON |
| assignedToId | Menampilkan apakah ada dalam hasil JSON |
| scanStatus | Menampilkan apakah ada dalam hasil JSON |
| nama | Menampilkan apakah ada dalam hasil JSON |
| policyName | Menampilkan apakah ada dalam hasil JSON |
| scanLastActionTime | Menampilkan apakah ada dalam hasil JSON |
| vdiBaseDevice | Menampilkan apakah ada dalam hasil JSON |
| rootedByAnalytics | Menampilkan apakah ada dalam hasil JSON |
| testId | Menampilkan apakah ada dalam hasil JSON |
| avProductVersion | Menampilkan apakah ada dalam hasil JSON |
| rootedBySensorTime | Menampilkan apakah ada dalam hasil JSON |
| lastShutdownTime | Menampilkan apakah ada dalam hasil JSON |
| dikarantina | Menampilkan apakah ada dalam hasil JSON |
| Waktu pembuatan | Menampilkan apakah ada dalam hasil JSON |
| deviceId | Menampilkan apakah ada dalam hasil JSON |
| sensorVersion | Menampilkan apakah ada dalam hasil JSON |
| passiveMode | Menampilkan apakah ada dalam hasil JSON |
| virtualMachine | Menampilkan apakah ada dalam hasil JSON |
| firstName | Menampilkan apakah ada dalam hasil JSON |
| uninstallCode | Menampilkan apakah ada dalam hasil JSON |
| uninstalledTime | Menampilkan apakah ada dalam hasil JSON |
| pesan | Menampilkan apakah ada dalam hasil JSON |
| policyOverride | Menampilkan apakah ada dalam hasil JSON |
| organizationId | Menampilkan apakah ada dalam hasil JSON |
| sensorOutOfDate | Menampilkan apakah ada dalam hasil JSON |
| avAveVersion | Menampilkan apakah ada dalam hasil JSON |
| status | Menampilkan apakah ada dalam hasil JSON |
| policyId | Menampilkan apakah ada dalam hasil JSON |
| deviceMetaDataItemList | Menampilkan apakah ada dalam hasil JSON |
| lastName | Menampilkan apakah ada dalam hasil JSON |
| originEventHash | Menampilkan apakah ada dalam hasil JSON |
| avLastScanTime | Menampilkan apakah ada dalam hasil JSON |
| rootedBySensor | Menampilkan apakah ada dalam hasil JSON |
| scanLastCompleteTime | Menampilkan apakah ada dalam hasil JSON |
| lastContact | Menampilkan apakah ada dalam hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Mendapatkan Acara
Deskripsi
Mendapatkan acara menurut entitas.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | string | T/A | Ya | Jangka waktu penelusuran. Contoh: 3 jam |
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| eventId | Menampilkan apakah ada dalam hasil JSON |
| parentApp | Menampilkan apakah ada dalam hasil JSON |
| eventTime | Menampilkan apakah ada dalam hasil JSON |
| selectedApp | Menampilkan apakah ada dalam hasil JSON |
| attackStage | Menampilkan apakah ada dalam hasil JSON |
| processDetails | Menampilkan apakah ada dalam hasil JSON |
| eventType | Menampilkan apakah ada dalam hasil JSON |
| targetAp | Menampilkan apakah ada dalam hasil JSON |
| longDescription | Menampilkan apakah ada dalam hasil JSON |
| threatIndicators | Menampilkan apakah ada dalam hasil JSON |
| securityEventCode | Menampilkan apakah ada dalam hasil JSON |
| registryValue | Menampilkan apakah ada dalam hasil JSON |
| incidentId | Menampilkan apakah ada dalam hasil JSON |
| shortDescription | Menampilkan apakah ada dalam hasil JSON |
| Waktu pembuatan | Menampilkan apakah ada dalam hasil JSON |
| alertScore | Menampilkan apakah ada dalam hasil JSON |
| alertCategory | Menampilkan apakah ada dalam hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Mendapatkan Proses
Deskripsi
Mencantumkan proses menurut perangkat.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jangka Waktu | string | 3 jam | Ya | Jangka waktu penelusuran. Contoh: 3 jam |
Terus Berjalan
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| applicationName | Menampilkan apakah ada dalam hasil JSON |
| processId | Menampilkan apakah ada dalam hasil JSON |
| numEvents | Menampilkan apakah ada dalam hasil JSON |
| applicationPath | Menampilkan apakah ada dalam hasil JSON |
| privatePid | Menampilkan apakah ada dalam hasil JSON |
| sha256Hash | Menampilkan apakah ada dalam hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Deskripsi
Uji Konektivitas.
Terus Berjalan
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.