이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Carbon Black Defense

통합 버전: 9.0

Google Security Operations와 함께 작동하도록 VMware Carbon Black Endpoint Standard (Endpoint Standard) 구성

API 키

Carbon Black 콘솔에 로그인합니다.
페이지 오른쪽 상단에 있는 사용자 이름으로 이동하여 프로필 정보를 선택합니다.
페이지 왼쪽에서 API 토큰을 클릭하여 API 토큰을 표시합니다.

API 토큰이 표시되지 않으면 재설정을 클릭하여 새 토큰을 만듭니다.

네트워크

함수	기본 포트	방향	프로토콜
API	Multivalues	아웃바운드	apikey

Google SecOps에서 Carbon Black Defense 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
인스턴스 이름	문자열	해당 사항 없음	No	통합을 구성할 인스턴스의 이름입니다.
설명	문자열	해당 사항 없음	No	인스턴스에 대한 설명입니다.
API 루트	문자열	https://{server-addres}	예	VMware Carbon Black Endpoint Standard (Endpoint Standard) API 루트 URL입니다.
API 보안 키	문자열	해당 사항 없음	예	VMware Carbon Black Endpoint Standard (Endpoint Standard) API 키입니다.
원격 실행	체크박스	선택 해제	No	구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다.

작업

기기 상태 변경

설명

기기의 상태를 변경합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
기기 상태	문자열	해당 사항 없음	예	새 상태입니다. 예: REGISTERED

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
cb_defense_deviceId	해당 사항 없음
cb_defense_device_status	해당 사항 없음

통계

해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

정책 변경

설명

각 쿼리 결과 항목에 지정된 CB Defense 정책을 변경합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
정책 이름	문자열	해당 사항 없음	예	새 정책 이름입니다. 예: DFLabs_Policy

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
cb_defense_deviceId	해당 사항 없음
cb_defense_policy	해당 사항 없음

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True/False	success:False

정책 만들기

설명

Cb Defense에서 새 정책을 만듭니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
정책 이름	문자열	해당 사항 없음	예	정책 이름입니다.
정책 설명	문자열	해당 사항 없음	예	정책에 대한 설명입니다.
우선순위 수준	문자열	낮음	예	이 정책에 할당된 센서와 연결된 우선순위 점수입니다. 예: LOW
정책 세부정보	문자열	해당 사항 없음	예	정책 세부정보입니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
new_policy_id	해당 사항 없음	해당 사항 없음

정책 삭제

설명

Cb Defense에서 정책을 삭제합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
정책 이름	문자열	해당 사항 없음	예	정책 이름입니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

정책에서 규칙 삭제

설명

기존 정책에서 규칙을 삭제합니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
정책 이름	문자열	해당 사항 없음	예	정책 이름입니다.
규칙 ID	문자열	해당 사항 없음	예	규칙 ID입니다. 예: 1

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

기기 정보 가져오기

설명

기기에 관한 정보를 가져옵니다.

매개변수

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
assignedToName	JSON 결과에 존재하는 경우에 반환
macAddress	JSON 결과에 존재하는 경우에 반환
adGroupId	JSON 결과에 존재하는 경우에 반환
avEngine	JSON 결과에 존재하는 경우에 반환
avVdfVersion	JSON 결과에 존재하는 경우에 반환
rootedByAnalyticsTime	JSON 결과에 존재하는 경우에 반환
linuxKernelVersion	JSON 결과에 존재하는 경우에 반환
lastExternalIpAddress	JSON 결과에 존재하는 경우에 반환
lastDevicePolicyRequestedTime	JSON 결과에 존재하는 경우에 반환
activationCodeExpiryTime	JSON 결과에 존재하는 경우에 반환
currentSensorPolicyName	JSON 결과에 존재하는 경우에 반환
organizationName	JSON 결과에 존재하는 경우에 반환
deviceGuid	JSON 결과에 존재하는 경우에 반환
loginUserName	JSON 결과에 존재하는 경우에 반환
lastPolicyUpdatedTime	JSON 결과에 존재하는 경우에 반환
registeredTime	JSON 결과에 존재하는 경우에 반환
deviceSessionId	JSON 결과에 존재하는 경우에 반환
lastDevicePolicyChangedTime	JSON 결과에 존재하는 경우에 반환
windowsPlatform	JSON 결과에 존재하는 경우에 반환
osVersion	JSON 결과에 존재하는 경우에 반환
firstVirusActivityTime	JSON 결과에 존재하는 경우에 반환
avUpdateServers	JSON 결과에 존재하는 경우에 반환
lastReportedTime	JSON 결과에 존재하는 경우에 반환
middleName	JSON 결과에 존재하는 경우에 반환
activationCode	JSON 결과에 존재하는 경우에 반환
deregisteredTime	JSON 결과에 존재하는 경우에 반환
lastResetTime	JSON 결과에 존재하는 경우에 반환
lastInternalIpAddress	JSON 결과에 존재하는 경우에 반환
deviceOwnerId	JSON 결과에 존재하는 경우에 반환
avMaster	JSON 결과에 존재하는 경우에 반환
lastLocation	JSON 결과에 존재하는 경우에 반환
deviceType	JSON 결과에 존재하는 경우에 반환
targetPriorityType	JSON 결과에 존재하는 경우에 반환
encodedActivationCode	JSON 결과에 존재하는 경우에 반환
lastVirusActivityTime	JSON 결과에 존재하는 경우에 반환
avStatus	JSON 결과에 존재하는 경우에 반환
sensorStates	JSON 결과에 존재하는 경우에 반환
이메일	JSON 결과에 존재하는 경우에 반환
virtualizationProvider	JSON 결과에 존재하는 경우에 반환
avPackVersion	JSON 결과에 존재하는 경우에 반환
assignedToId	JSON 결과에 존재하는 경우에 반환
scanStatus	JSON 결과에 존재하는 경우에 반환
name	JSON 결과에 존재하는 경우에 반환
policyName	JSON 결과에 존재하는 경우에 반환
scanLastActionTime	JSON 결과에 존재하는 경우에 반환
vdiBaseDevice	JSON 결과에 존재하는 경우에 반환
rootedByAnalytics	JSON 결과에 존재하는 경우에 반환
testId	JSON 결과에 존재하는 경우에 반환
avProductVersion	JSON 결과에 존재하는 경우에 반환
rootedBySensorTime	JSON 결과에 존재하는 경우에 반환
lastShutdownTime	JSON 결과에 존재하는 경우에 반환
격리됨	JSON 결과에 존재하는 경우에 반환
생성 시간	JSON 결과에 존재하는 경우에 반환
deviceId	JSON 결과에 존재하는 경우에 반환
sensorVersion	JSON 결과에 존재하는 경우에 반환
passiveMode	JSON 결과에 존재하는 경우에 반환
virtualMachine	JSON 결과에 존재하는 경우에 반환
firstName	JSON 결과에 존재하는 경우에 반환
uninstallCode	JSON 결과에 존재하는 경우에 반환
uninstalledTime	JSON 결과에 존재하는 경우에 반환
메시지	JSON 결과에 존재하는 경우에 반환
policyOverride	JSON 결과에 존재하는 경우에 반환
organizationId	JSON 결과에 존재하는 경우에 반환
sensorOutOfDate	JSON 결과에 존재하는 경우에 반환
avAveVersion	JSON 결과에 존재하는 경우에 반환
상태	JSON 결과에 존재하는 경우에 반환
policyId	JSON 결과에 존재하는 경우에 반환
deviceMetaDataItemList	JSON 결과에 존재하는 경우에 반환
lastName	JSON 결과에 존재하는 경우에 반환
originEventHash	JSON 결과에 존재하는 경우에 반환
avLastScanTime	JSON 결과에 존재하는 경우에 반환
rootedBySensor	JSON 결과에 존재하는 경우에 반환
scanLastCompleteTime	JSON 결과에 존재하는 경우에 반환
lastContact	JSON 결과에 존재하는 경우에 반환

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True/False	success:False

JSON 결과

[
    {
  "EntityResult":
    {
     "assignedToName": null,
     "macAddress": null,
     "adGroupId": 0,
     "avEngine": "",
     "avVdfVersion": null,
     "rootedByAnalyticsTime": null,
     "linuxKernelVersion": null,
     "lastExternalIpAddress": "1.1.1.1",
     "lastDevicePolicyRequestedTime": null,
     "activationCodeExpiryTime": 1513776891190,
     "currentSensorPolicyName": null,
     "organizationName": "cb-internal-alliances.com",
     "deviceGuid": null,
     "loginUserName": null,
     "lastPolicyUpdatedTime": null,
     "registeredTime": 1513172091219,
     "deviceSessionId": null,
     "lastDevicePolicyChangedTime": null,
     "windowsPlatform": null,
     "osVersion": "Windows 10 x64",
     "firstVirusActivityTime": 0,
     "avUpdateServers": null,
     "lastReportedTime": 1520325064134,
     "middleName": null,
     "activationCode": null,
     "deregisteredTime": null,
     "lastResetTime": 0,
     "lastInternalIpAddress": "1.1.1.1",
     "deviceOwnerId": 260377,
     "avMaster": false,
     "lastLocation": "OFFSITE",
     "deviceType": "WINDOWS",
     "targetPriorityType": "MEDIUM",
     "encodedActivationCode": null,
     "lastVirusActivityTime": 0,
     "avStatus": ["AV_BYPASS"],
     "sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
     "email": "ACorona",
     "virtualizationProvider": null,
     "avPackVersion": null,
     "assignedToId": null,
     "scanStatus": null,
     "name": "HP-01",
     "policyName": "default",
     "scanLastActionTime": 0,
     "vdiBaseDevice": null,
     "rootedByAnalytics": false,
     "testId": -1,
     "avProductVersion": null,
     "rootedBySensorTime": null,
     "lastShutdownTime": 1519811818082,
     "quarantined": false,
     "createTime": null,
     "deviceId": 605341,
     "sensorVersion": "1.1.1.1",
     "passiveMode": false,
     "virtualMachine": false,
     "firstName": null,
     "uninstallCode": null,
     "uninstalledTime": null,
     "messages": null,
     "policyOverride": false,
     "organizationId": 1105,
     "sensorOutOfDate": false,
     "avAveVersion": null,
     "status": "REGISTERED",
     "policyId": 6525,
     "deviceMetaDataItemList": null,
     "lastName": null,
     "originEventHash": null,
     "avLastScanTime": 0,
     "rootedBySensor": false,
     "scanLastCompleteTime": 0,
     "lastContact": 1520325053567
 },
 "Entity": "HP-01"
}
]

이벤트 가져오기

설명

항목별로 이벤트를 가져옵니다.

매개변수

매개변수	유형	기본값	필수 항목	설명
기간	문자열	해당 사항 없음	예	검색 기간입니다. 예: 3시간

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
eventId	JSON 결과에 존재하는 경우에 반환
parentApp	JSON 결과에 존재하는 경우에 반환
eventTime	JSON 결과에 존재하는 경우에 반환
selectedApp	JSON 결과에 존재하는 경우에 반환
attackStage	JSON 결과에 존재하는 경우에 반환
processDetails	JSON 결과에 존재하는 경우에 반환
eventType	JSON 결과에 존재하는 경우에 반환
targetAp	JSON 결과에 존재하는 경우에 반환
longDescription	JSON 결과에 존재하는 경우에 반환
threatIndicators	JSON 결과에 존재하는 경우에 반환
securityEventCode	JSON 결과에 존재하는 경우에 반환
registryValue	JSON 결과에 존재하는 경우에 반환
incidentId	JSON 결과에 존재하는 경우에 반환
shortDescription	JSON 결과에 존재하는 경우에 반환
생성 시간	JSON 결과에 존재하는 경우에 반환
alertScore	JSON 결과에 존재하는 경우에 반환
alertCategory	JSON 결과에 존재하는 경우에 반환

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True/False	success:False

JSON 결과

[
    {
        "EntityResult":
        {
            "0":
            {
                "eventId": "1defe38112e911e7b34047d6447797bd",
                "parentApp":
                {
                    "applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
                    "md5Hash": null,
                    "reputationProperty": null,
                    "effectiveReputation": null,
                    "applicationPath": null,
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null
                    "sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
                    "virusSubCategory": null
                },
                "eventTime": 1490617768036,
                "selectedApp":
                {
                    "applicationName": "taskeng.exe",
                    "md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
                    "reputationProperty": "TRUSTED_WHITE_LIST",
                    "effectiveReputation": null,
                    "applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null,
                    "sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
                    "virusSubCategory": null
                },
                "attackStage": null,
                "processDetails":
                {
                    "userName": "SYSTEM",
                    "interpreterHash": null,
                    "parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
                    "milisSinceProcessStart": 32,
                    "name": "taskeng.exe",
                    "parentPid": 772,
                    "processId": 2872,
                    "interpreterName": null,
                    "commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
                    "parentName": "svchost.exe",
                    "parentPrivatePid": "772-1489763380982-18",
                    "targetPrivatePid": "2468-1490617768051-975",
                    "targetPid": 2468,
                    "targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
                    "privatePid": "2872-1490617768004-974",
                    "targetName": "GoogleUpdate.exe",
                    "fullUserName": "NTAUTHORITY\\\\SYSTEM"
                },
                "eventType": "SYSTEM_API_CALL",
                "targetApp":
                {
                    "applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
                    "md5Hash": null,
                    "reputationProperty": "TRUSTED_WHITE_LIST",
                    "effectiveReputation": null,
                    "applicationPath": null,
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null,
                    "sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
                    "virusSubCategory": null
                },
                "longDescription": "",
                "threatIndicators": ["SUSPENDED_PROCESS"],
                "securityEventCode": null,
                "registryValue": null,
                "incidentId": null,
                "shortDescription": "",
                "createTime": 1490617872232,
                "alertScore": 0,
                "alertCategory": null
            }
        },
        "Entity": "HP-01"
    }
]

프로세스 가져오기

설명

기기별 프로세스 목록

매개변수

매개변수	유형	기본값	필수 항목	설명
기간	문자열	3시간	예	검색 기간입니다. 예: 3시간

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

항목 보강

보강 필드 이름	로직 - 적용 시기
applicationName	JSON 결과에 존재하는 경우에 반환
processId	JSON 결과에 존재하는 경우에 반환
numEvents	JSON 결과에 존재하는 경우에 반환
applicationPath	JSON 결과에 존재하는 경우에 반환
privatePid	JSON 결과에 존재하는 경우에 반환
sha256Hash	JSON 결과에 존재하는 경우에 반환

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True/False	success:False

JSON 결과

[
    {
        "EntityResult":
        {
            "0":
            {
                "applicationName": "chrome.exe",
                "processId": 3052,
                "numEvents": 252,
                "applicationPath": null,
                "privatePid": "3052-1489181082476-30",
                "sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
            }
        },
        "Entity": "HP-01"
    }
]

핑

설명

연결을 테스트합니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True/False	success:False

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.