Carbon Black 防御
本文档介绍了如何将 Carbon Black Defense 与 Google Security Operations 集成。
配置 VMware Carbon Black Endpoint Standard(Endpoint Standard)以与 Google Security Operations 搭配使用
API 密钥
- 登录 Carbon Black 控制台。
- 前往页面右上角的用户名字段,然后选择个人资料信息。
点击页面左侧的 API 令牌,即可显示您的 API 令牌。
如果未显示 API 令牌,请点击重置以创建新令牌。
网络
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | apikey |
在 Google SecOps 中配置 Carbon Black Defense 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为之配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://{server-addres} | 是 | VMware Carbon Black Endpoint Standard (Endpoint Standard) API 根网址。 |
| API 密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Endpoint Standard (Endpoint Standard) API 密钥。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中相应字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
更改设备状态
说明
更改设备的状态。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 设备状态 | 字符串 | 不适用 | 是 | 新状态。示例:REGISTERED |
Run On
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cb_defense_deviceId | 不适用 |
| cb_defense_device_status | 不适用 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
更改政策
说明
更改分配给每个查询结果实体的 CB Defense 政策。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 新政策名称。示例:DFLabs_Policy |
使用场景
不适用
Run On
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| cb_defense_deviceId | 不适用 |
| cb_defense_policy | 不适用 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
创建政策
说明
在 Cb Defense 上创建新政策。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 政策的名称。 |
| 政策说明 | 字符串 | 不适用 | 是 | 政策的说明。 |
| 优先级 | 字符串 | 低 | 是 | 与分配给相应政策的传感器相关联的优先级得分。示例:低 |
| 政策详情 | 字符串 | 不适用 | 是 | 政策详情。 |
Run On
此操作会针对所有实体运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| new_policy_id | 不适用 | 不适用 |
删除政策
说明
从 Cb Defense 中删除政策。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 政策名称。 |
Run On
此操作会针对所有实体运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
从政策中删除规则
说明
从现有政策中移除规则。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 政策名称。 |
| 规则 ID | 字符串 | 不适用 | 是 | 规则 ID。示例:1 |
Run On
此操作会针对所有实体运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
获取设备信息
说明
获取设备相关信息。
参数
不适用
Run On
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| assignedToName | 如果存在于 JSON 结果中,则返回 |
| macAddress | 如果存在于 JSON 结果中,则返回 |
| adGroupId | 如果存在于 JSON 结果中,则返回 |
| avEngine | 如果存在于 JSON 结果中,则返回 |
| avVdfVersion | 如果存在于 JSON 结果中,则返回 |
| rootedByAnalyticsTime | 如果存在于 JSON 结果中,则返回 |
| linuxKernelVersion | 如果存在于 JSON 结果中,则返回 |
| lastExternalIpAddress | 如果存在于 JSON 结果中,则返回 |
| lastDevicePolicyRequestedTime | 如果存在于 JSON 结果中,则返回 |
| activationCodeExpiryTime | 如果存在于 JSON 结果中,则返回 |
| currentSensorPolicyName | 如果存在于 JSON 结果中,则返回 |
| organizationName | 如果存在于 JSON 结果中,则返回 |
| deviceGuid | 如果存在于 JSON 结果中,则返回 |
| loginUserName | 如果存在于 JSON 结果中,则返回 |
| lastPolicyUpdatedTime | 如果存在于 JSON 结果中,则返回 |
| registeredTime | 如果存在于 JSON 结果中,则返回 |
| deviceSessionId | 如果存在于 JSON 结果中,则返回 |
| lastDevicePolicyChangedTime | 如果存在于 JSON 结果中,则返回 |
| windowsPlatform | 如果存在于 JSON 结果中,则返回 |
| osVersion | 如果存在于 JSON 结果中,则返回 |
| firstVirusActivityTime | 如果存在于 JSON 结果中,则返回 |
| avUpdateServers | 如果存在于 JSON 结果中,则返回 |
| lastReportedTime | 如果存在于 JSON 结果中,则返回 |
| middleName | 如果存在于 JSON 结果中,则返回 |
| activationCode | 如果存在于 JSON 结果中,则返回 |
| deregisteredTime | 如果存在于 JSON 结果中,则返回 |
| lastResetTime | 如果存在于 JSON 结果中,则返回 |
| lastInternalIpAddress | 如果存在于 JSON 结果中,则返回 |
| deviceOwnerId | 如果存在于 JSON 结果中,则返回 |
| avMaster | 如果存在于 JSON 结果中,则返回 |
| lastLocation | 如果存在于 JSON 结果中,则返回 |
| deviceType | 如果存在于 JSON 结果中,则返回 |
| targetPriorityType | 如果存在于 JSON 结果中,则返回 |
| encodedActivationCode | 如果存在于 JSON 结果中,则返回 |
| lastVirusActivityTime | 如果存在于 JSON 结果中,则返回 |
| avStatus | 如果存在于 JSON 结果中,则返回 |
| sensorStates | 如果存在于 JSON 结果中,则返回 |
| 电子邮件 | 如果存在于 JSON 结果中,则返回 |
| virtualizationProvider | 如果存在于 JSON 结果中,则返回 |
| avPackVersion | 如果存在于 JSON 结果中,则返回 |
| assignedToId | 如果存在于 JSON 结果中,则返回 |
| scanStatus | 如果存在于 JSON 结果中,则返回 |
| name | 如果存在于 JSON 结果中,则返回 |
| policyName | 如果存在于 JSON 结果中,则返回 |
| scanLastActionTime | 如果存在于 JSON 结果中,则返回 |
| vdiBaseDevice | 如果存在于 JSON 结果中,则返回 |
| rootedByAnalytics | 如果存在于 JSON 结果中,则返回 |
| testId | 如果存在于 JSON 结果中,则返回 |
| avProductVersion | 如果存在于 JSON 结果中,则返回 |
| rootedBySensorTime | 如果存在于 JSON 结果中,则返回 |
| lastShutdownTime | 如果存在于 JSON 结果中,则返回 |
| 已隔离 | 如果存在于 JSON 结果中,则返回 |
| createTime | 如果存在于 JSON 结果中,则返回 |
| deviceId | 如果存在于 JSON 结果中,则返回 |
| sensorVersion | 如果存在于 JSON 结果中,则返回 |
| passiveMode | 如果存在于 JSON 结果中,则返回 |
| virtualMachine | 如果存在于 JSON 结果中,则返回 |
| firstName | 如果存在于 JSON 结果中,则返回 |
| uninstallCode | 如果存在于 JSON 结果中,则返回 |
| uninstalledTime | 如果存在于 JSON 结果中,则返回 |
| 消息 | 如果存在于 JSON 结果中,则返回 |
| policyOverride | 如果存在于 JSON 结果中,则返回 |
| organizationId | 如果存在于 JSON 结果中,则返回 |
| sensorOutOfDate | 如果存在于 JSON 结果中,则返回 |
| avAveVersion | 如果存在于 JSON 结果中,则返回 |
| 状态 | 如果存在于 JSON 结果中,则返回 |
| policyId | 如果存在于 JSON 结果中,则返回 |
| deviceMetaDataItemList | 如果存在于 JSON 结果中,则返回 |
| lastName | 如果存在于 JSON 结果中,则返回 |
| originEventHash | 如果存在于 JSON 结果中,则返回 |
| avLastScanTime | 如果存在于 JSON 结果中,则返回 |
| rootedBySensor | 如果存在于 JSON 结果中,则返回 |
| scanLastCompleteTime | 如果存在于 JSON 结果中,则返回 |
| lastContact | 如果存在于 JSON 结果中,则返回 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
获取活动
说明
按实体获取活动。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 时间范围 | 字符串 | 不适用 | 是 | 搜索的时间范围。示例:3h |
Run On
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| eventId | 如果存在于 JSON 结果中,则返回 |
| parentApp | 如果存在于 JSON 结果中,则返回 |
| eventTime | 如果存在于 JSON 结果中,则返回 |
| selectedApp | 如果存在于 JSON 结果中,则返回 |
| attackStage | 如果存在于 JSON 结果中,则返回 |
| processDetails | 如果存在于 JSON 结果中,则返回 |
| eventType | 如果存在于 JSON 结果中,则返回 |
| targetAp | 如果存在于 JSON 结果中,则返回 |
| longDescription | 如果存在于 JSON 结果中,则返回 |
| threatIndicators | 如果存在于 JSON 结果中,则返回 |
| securityEventCode | 如果存在于 JSON 结果中,则返回 |
| registryValue | 如果存在于 JSON 结果中,则返回 |
| incidentId | 如果存在于 JSON 结果中,则返回 |
| shortDescription | 如果存在于 JSON 结果中,则返回 |
| createTime | 如果存在于 JSON 结果中,则返回 |
| alertScore | 如果存在于 JSON 结果中,则返回 |
| alertCategory | 如果存在于 JSON 结果中,则返回 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
获取进程
说明
按设备列出进程。
参数
| 参数 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 时间范围 | 字符串 | 3h | 是 | 搜索的时间范围。示例:3h |
Run On
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| applicationName | 如果存在于 JSON 结果中,则返回 |
| processId | 如果存在于 JSON 结果中,则返回 |
| numEvents | 如果存在于 JSON 结果中,则返回 |
| applicationPath | 如果存在于 JSON 结果中,则返回 |
| privatePid | 如果存在于 JSON 结果中,则返回 |
| sha256Hash | 如果存在于 JSON 结果中,则返回 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
说明
测试连接。
Run On
此操作会针对所有实体运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。