Carbon Black Defense
Versão da integração: 9.0
Configure o VMware Carbon Black Endpoint Standard (Endpoint Standard) para funcionar com o Google Security Operations
Chave de API
- Inicie sessão na consola do Carbon Black.
- Navegue até ao nome de utilizador na parte superior direita da página e selecione Informações do perfil.
Clique em Token de API no lado esquerdo da página para revelar o seu token de API.
Se não for apresentado nenhum token da API, clique em Repor para criar um novo.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Configure a integração do Carbon Black Defense no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://{server-addres} | Sim | URL raiz da API do VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Chave secreta da API | String | N/A | Sim | Chave da API VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Alterar estado do dispositivo
Descrição
Altere o estado de um dispositivo.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Estado do dispositivo | String | N/A | Sim | O novo estado. Exemplo: REGISTERED |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_device_status | N/A |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Política de alterações
Descrição
Altere a política de CB Defense atribuída a cada uma das entidades de resultados das consultas.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | O nome da nova política. Exemplo: DFLabs_Policy |
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_policy | N/A |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Criar política
Descrição
Crie uma nova política no Cb Defense.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
| Descrição da política | String | N/A | Sim | Uma descrição da política. |
| Nível de prioridade | String | BAIXO | Sim | A classificação de prioridade associada aos sensores atribuídos a esta política. Exemplo: LOW |
| Detalhes da política | String | N/A | Sim | Os detalhes da política. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| new_policy_id | N/A | N/A |
Eliminar política
Descrição
Elimine uma política do Cb Defense.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Elimine a regra da política
Descrição
Remova uma regra de uma política existente.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
| ID da regra | String | N/A | Sim | ID da regra. Exemplo: 1 |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Obtenha informações do dispositivo
Descrição
Obtenha informações sobre um dispositivo.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| assignedToName | Devolve se existir no resultado JSON |
| macAddress | Devolve se existir no resultado JSON |
| adGroupId | Devolve se existir no resultado JSON |
| avEngine | Devolve se existir no resultado JSON |
| avVdfVersion | Devolve se existir no resultado JSON |
| rootedByAnalyticsTime | Devolve se existir no resultado JSON |
| linuxKernelVersion | Devolve se existir no resultado JSON |
| lastExternalIpAddress | Devolve se existir no resultado JSON |
| lastDevicePolicyRequestedTime | Devolve se existir no resultado JSON |
| activationCodeExpiryTime | Devolve se existir no resultado JSON |
| currentSensorPolicyName | Devolve se existir no resultado JSON |
| organizationName | Devolve se existir no resultado JSON |
| deviceGuid | Devolve se existir no resultado JSON |
| loginUserName | Devolve se existir no resultado JSON |
| lastPolicyUpdatedTime | Devolve se existir no resultado JSON |
| registeredTime | Devolve se existir no resultado JSON |
| deviceSessionId | Devolve se existir no resultado JSON |
| lastDevicePolicyChangedTime | Devolve se existir no resultado JSON |
| windowsPlatform | Devolve se existir no resultado JSON |
| osVersion | Devolve se existir no resultado JSON |
| firstVirusActivityTime | Devolve se existir no resultado JSON |
| avUpdateServers | Devolve se existir no resultado JSON |
| lastReportedTime | Devolve se existir no resultado JSON |
| middleName | Devolve se existir no resultado JSON |
| activationCode | Devolve se existir no resultado JSON |
| deregisteredTime | Devolve se existir no resultado JSON |
| lastResetTime | Devolve se existir no resultado JSON |
| lastInternalIpAddress | Devolve se existir no resultado JSON |
| deviceOwnerId | Devolve se existir no resultado JSON |
| avMaster | Devolve se existir no resultado JSON |
| lastLocation | Devolve se existir no resultado JSON |
| deviceType | Devolve se existir no resultado JSON |
| targetPriorityType | Devolve se existir no resultado JSON |
| encodedActivationCode | Devolve se existir no resultado JSON |
| lastVirusActivityTime | Devolve se existir no resultado JSON |
| avStatus | Devolve se existir no resultado JSON |
| sensorStates | Devolve se existir no resultado JSON |
| Devolve se existir no resultado JSON | |
| virtualizationProvider | Devolve se existir no resultado JSON |
| avPackVersion | Devolve se existir no resultado JSON |
| assignedToId | Devolve se existir no resultado JSON |
| scanStatus | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| policyName | Devolve se existir no resultado JSON |
| scanLastActionTime | Devolve se existir no resultado JSON |
| vdiBaseDevice | Devolve se existir no resultado JSON |
| rootedByAnalytics | Devolve se existir no resultado JSON |
| testId | Devolve se existir no resultado JSON |
| avProductVersion | Devolve se existir no resultado JSON |
| rootedBySensorTime | Devolve se existir no resultado JSON |
| lastShutdownTime | Devolve se existir no resultado JSON |
| em quarentena | Devolve se existir no resultado JSON |
| createTime | Devolve se existir no resultado JSON |
| deviceId | Devolve se existir no resultado JSON |
| sensorVersion | Devolve se existir no resultado JSON |
| passiveMode | Devolve se existir no resultado JSON |
| virtualMachine | Devolve se existir no resultado JSON |
| firstName | Devolve se existir no resultado JSON |
| uninstallCode | Devolve se existir no resultado JSON |
| uninstalledTime | Devolve se existir no resultado JSON |
| mensagens | Devolve se existir no resultado JSON |
| policyOverride | Devolve se existir no resultado JSON |
| organizationId | Devolve se existir no resultado JSON |
| sensorOutOfDate | Devolve se existir no resultado JSON |
| avAveVersion | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| policyId | Devolve se existir no resultado JSON |
| deviceMetaDataItemList | Devolve se existir no resultado JSON |
| lastName | Devolve se existir no resultado JSON |
| originEventHash | Devolve se existir no resultado JSON |
| avLastScanTime | Devolve se existir no resultado JSON |
| rootedBySensor | Devolve se existir no resultado JSON |
| scanLastCompleteTime | Devolve se existir no resultado JSON |
| lastContact | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Get Events
Descrição
Obter eventos por entidade.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | de string | N/A | Sim | Período de tempo da pesquisa. Exemplo: 3h |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| eventId | Devolve se existir no resultado JSON |
| parentApp | Devolve se existir no resultado JSON |
| eventTime | Devolve se existir no resultado JSON |
| selectedApp | Devolve se existir no resultado JSON |
| attackStage | Devolve se existir no resultado JSON |
| processDetails | Devolve se existir no resultado JSON |
| eventType | Devolve se existir no resultado JSON |
| targetAp | Devolve se existir no resultado JSON |
| longDescription | Devolve se existir no resultado JSON |
| threatIndicators | Devolve se existir no resultado JSON |
| securityEventCode | Devolve se existir no resultado JSON |
| registryValue | Devolve se existir no resultado JSON |
| incidentId | Devolve se existir no resultado JSON |
| shortDescription | Devolve se existir no resultado JSON |
| createTime | Devolve se existir no resultado JSON |
| alertScore | Devolve se existir no resultado JSON |
| alertCategory | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Obter processos
Descrição
Liste os processos por dispositivo.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | de string | 3h | Sim | Período de tempo da pesquisa. Exemplo: 3h |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| applicationName | Devolve se existir no resultado JSON |
| processId | Devolve se existir no resultado JSON |
| numEvents | Devolve se existir no resultado JSON |
| applicationPath | Devolve se existir no resultado JSON |
| privatePid | Devolve se existir no resultado JSON |
| sha256Hash | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Tchim-tchim
Descrição
Testar conetividade.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.