Carbon Black Defense
Versão da integração: 9.0
Configurar o VMware Carbon Black Endpoint Standard (Endpoint Standard) para trabalhar com o Google Security Operations
Chave de API
- Faça login no console do Carbon Black.
- Navegue até o nome de usuário no canto superior direito da página e selecione Informações do perfil.
Clique em Token de API no lado esquerdo da página para revelar seu token de API.
Se nenhum token de API for exibido, clique em Redefinir para criar um novo.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Configurar a integração do Carbon Black Defense no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://{server-addres} | Sim | URL raiz da API do VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Chave secreta da API | String | N/A | Sim | Chave de API do VMware Carbon Black Endpoint Standard (Endpoint Standard). |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Mudar o status do dispositivo
Descrição
Mudar o status de um dispositivo.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Status do dispositivo | String | N/A | Sim | O novo status. Exemplo: REGISTERED |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_device_status | N/A |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Mudar política
Descrição
Mude a política do CB Defense atribuída a cada uma das entidades de resultado da consulta.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | O nome da nova política. Exemplo: DFLabs_Policy |
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| cb_defense_deviceId | N/A |
| cb_defense_policy | N/A |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Criar política
Descrição
Crie uma nova política no Cb Defense.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
| Descrição da política | String | N/A | Sim | Uma descrição da política. |
| Nível de prioridade | String | BAIXA | Sim | A pontuação de prioridade associada aos sensores atribuídos a essa política. Exemplo: LOW |
| Detalhes da política | String | N/A | Sim | Os detalhes da política. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| new_policy_id | N/A | N/A |
Excluir política
Descrição
Excluir uma política do Cb Defense.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Excluir regra da política
Descrição
Remova uma regra de uma política atual.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política. |
| Código da regra | String | N/A | Sim | ID da regra. Exemplo: 1 |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Acessar informações do dispositivo
Descrição
Receber informações sobre um dispositivo.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| assignedToName | Retorna se ele existe no resultado JSON |
| macAddress | Retorna se ele existe no resultado JSON |
| adGroupId | Retorna se ele existe no resultado JSON |
| avEngine | Retorna se ele existe no resultado JSON |
| avVdfVersion | Retorna se ele existe no resultado JSON |
| rootedByAnalyticsTime | Retorna se ele existe no resultado JSON |
| linuxKernelVersion | Retorna se ele existe no resultado JSON |
| lastExternalIpAddress | Retorna se ele existe no resultado JSON |
| lastDevicePolicyRequestedTime | Retorna se ele existe no resultado JSON |
| activationCodeExpiryTime | Retorna se ele existe no resultado JSON |
| currentSensorPolicyName | Retorna se ele existe no resultado JSON |
| organizationName | Retorna se ele existe no resultado JSON |
| deviceGuid | Retorna se ele existe no resultado JSON |
| loginUserName | Retorna se ele existe no resultado JSON |
| lastPolicyUpdatedTime | Retorna se ele existe no resultado JSON |
| registeredTime | Retorna se ele existe no resultado JSON |
| deviceSessionId | Retorna se ele existe no resultado JSON |
| lastDevicePolicyChangedTime | Retorna se ele existe no resultado JSON |
| windowsPlatform | Retorna se ele existe no resultado JSON |
| osVersion | Retorna se ele existe no resultado JSON |
| firstVirusActivityTime | Retorna se ele existe no resultado JSON |
| avUpdateServers | Retorna se ele existe no resultado JSON |
| lastReportedTime | Retorna se ele existe no resultado JSON |
| middleName | Retorna se ele existe no resultado JSON |
| activationCode | Retorna se ele existe no resultado JSON |
| deregisteredTime | Retorna se ele existe no resultado JSON |
| lastResetTime | Retorna se ele existe no resultado JSON |
| lastInternalIpAddress | Retorna se ele existe no resultado JSON |
| deviceOwnerId | Retorna se ele existe no resultado JSON |
| avMaster | Retorna se ele existe no resultado JSON |
| lastLocation | Retorna se ele existe no resultado JSON |
| deviceType | Retorna se ele existe no resultado JSON |
| targetPriorityType | Retorna se ele existe no resultado JSON |
| encodedActivationCode | Retorna se ele existe no resultado JSON |
| lastVirusActivityTime | Retorna se ele existe no resultado JSON |
| avStatus | Retorna se ele existe no resultado JSON |
| sensorStates | Retorna se ele existe no resultado JSON |
| Retorna se ele existe no resultado JSON | |
| virtualizationProvider | Retorna se ele existe no resultado JSON |
| avPackVersion | Retorna se ele existe no resultado JSON |
| assignedToId | Retorna se ele existe no resultado JSON |
| scanStatus | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| policyName | Retorna se ele existe no resultado JSON |
| scanLastActionTime | Retorna se ele existe no resultado JSON |
| vdiBaseDevice | Retorna se ele existe no resultado JSON |
| rootedByAnalytics | Retorna se ele existe no resultado JSON |
| testId | Retorna se ele existe no resultado JSON |
| avProductVersion | Retorna se ele existe no resultado JSON |
| rootedBySensorTime | Retorna se ele existe no resultado JSON |
| lastShutdownTime | Retorna se ele existe no resultado JSON |
| em quarentena | Retorna se ele existe no resultado JSON |
| createTime | Retorna se ele existe no resultado JSON |
| deviceId | Retorna se ele existe no resultado JSON |
| sensorVersion | Retorna se ele existe no resultado JSON |
| passiveMode | Retorna se ele existe no resultado JSON |
| virtualMachine | Retorna se ele existe no resultado JSON |
| firstName | Retorna se ele existe no resultado JSON |
| uninstallCode | Retorna se ele existe no resultado JSON |
| uninstalledTime | Retorna se ele existe no resultado JSON |
| mensagens | Retorna se ele existe no resultado JSON |
| policyOverride | Retorna se ele existe no resultado JSON |
| organizationId | Retorna se ele existe no resultado JSON |
| sensorOutOfDate | Retorna se ele existe no resultado JSON |
| avAveVersion | Retorna se ele existe no resultado JSON |
| status | Retorna se ele existe no resultado JSON |
| policyId | Retorna se ele existe no resultado JSON |
| deviceMetaDataItemList | Retorna se ele existe no resultado JSON |
| lastName | Retorna se ele existe no resultado JSON |
| originEventHash | Retorna se ele existe no resultado JSON |
| avLastScanTime | Retorna se ele existe no resultado JSON |
| rootedBySensor | Retorna se ele existe no resultado JSON |
| scanLastCompleteTime | Retorna se ele existe no resultado JSON |
| lastContact | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
Receber eventos
Descrição
Receba eventos por entidade.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período | string | N/A | Sim | Período da pesquisa. Exemplo: 3h |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| eventId | Retorna se ele existe no resultado JSON |
| parentApp | Retorna se ele existe no resultado JSON |
| eventTime | Retorna se ele existe no resultado JSON |
| selectedApp | Retorna se ele existe no resultado JSON |
| attackStage | Retorna se ele existe no resultado JSON |
| processDetails | Retorna se ele existe no resultado JSON |
| eventType | Retorna se ele existe no resultado JSON |
| targetAp | Retorna se ele existe no resultado JSON |
| longDescription | Retorna se ele existe no resultado JSON |
| threatIndicators | Retorna se ele existe no resultado JSON |
| securityEventCode | Retorna se ele existe no resultado JSON |
| registryValue | Retorna se ele existe no resultado JSON |
| incidentId | Retorna se ele existe no resultado JSON |
| shortDescription | Retorna se ele existe no resultado JSON |
| createTime | Retorna se ele existe no resultado JSON |
| alertScore | Retorna se ele existe no resultado JSON |
| alertCategory | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
Acessar processos
Descrição
Listar processos por dispositivo.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Período | string | 3h | Sim | Período da pesquisa. Exemplo: 3h |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| applicationName | Retorna se ele existe no resultado JSON |
| processId | Retorna se ele existe no resultado JSON |
| numEvents | Retorna se ele existe no resultado JSON |
| applicationPath | Retorna se ele existe no resultado JSON |
| privatePid | Retorna se ele existe no resultado JSON |
| sha256Hash | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
Descrição
Teste a conectividade.
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.