Carbon Black Defense
整合版本:9.0
設定 VMware Carbon Black Endpoint Standard (Endpoint Standard),以便與 Google Security Operations 搭配使用
API 金鑰
- 登入 Carbon Black 控制台。
- 前往頁面右上角的使用者名稱,然後選取「個人資料資訊」。
按一下頁面左側的「API 權杖」,即可查看 API 權杖。
如果沒有顯示 API 權杖,請按一下「重設」建立新的權杖。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
在 Google SecOps 中設定 Carbon Black Defense 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://{server-addres} | 是 | VMware Carbon Black Endpoint Standard (Endpoint Standard) API 根網址。 |
| API 密鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Endpoint Standard (Endpoint Standard) API 金鑰。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
變更裝置狀態
說明
變更裝置狀態。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置狀態。 | 字串 | 不適用 | 是 | 新狀態。示例:REGISTERED |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| cb_defense_deviceId | 不適用 |
| cb_defense_device_status | 不適用 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
變更政策
說明
變更指派給每個查詢結果實體的 CB Defense 政策。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 政策名稱 | 字串 | 不適用 | 是 | 新政策名稱。範例:DFLabs_Policy |
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| cb_defense_deviceId | 不適用 |
| cb_defense_policy | 不適用 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
建立政策
說明
在 Cb Defense 建立新政策。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 政策名稱 | 字串 | 不適用 | 是 | 政策名稱。 |
| 政策說明 | 字串 | 不適用 | 是 | 政策說明。 |
| 優先等級 | 字串 | 低 | 是 | 與指派給這項政策的感應器相關聯的優先順序分數。示例:LOW |
| 政策詳細資訊 | 字串 | 不適用 | 是 | 政策詳細資料。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| new_policy_id | 不適用 | 不適用 |
刪除政策
說明
從 Cb Defense 刪除政策。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 政策名稱 | 字串 | 不適用 | 是 | 政策名稱。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
從政策中刪除規則
說明
從現有政策中移除規則。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 政策名稱 | 字串 | 不適用 | 是 | 政策名稱。 |
| 規則 ID | 字串 | 不適用 | 是 | 規則 ID。例如:1 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
取得裝置資訊
說明
取得裝置相關資訊。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| assignedToName | 如果 JSON 結果中存在該值,則傳回該值 |
| macAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| adGroupId | 如果 JSON 結果中存在該值,則傳回該值 |
| avEngine | 如果 JSON 結果中存在該值,則傳回該值 |
| avVdfVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| rootedByAnalyticsTime | 如果 JSON 結果中存在該值,則傳回該值 |
| linuxKernelVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| lastExternalIpAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| lastDevicePolicyRequestedTime | 如果 JSON 結果中存在該值,則傳回該值 |
| activationCodeExpiryTime | 如果 JSON 結果中存在該值,則傳回該值 |
| currentSensorPolicyName | 如果 JSON 結果中存在該值,則傳回該值 |
| organizationName | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceGuid | 如果 JSON 結果中存在該值,則傳回該值 |
| loginUserName | 如果 JSON 結果中存在該值,則傳回該值 |
| lastPolicyUpdatedTime | 如果 JSON 結果中存在該值,則傳回該值 |
| registeredTime | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceSessionId | 如果 JSON 結果中存在該值,則傳回該值 |
| lastDevicePolicyChangedTime | 如果 JSON 結果中存在該值,則傳回該值 |
| windowsPlatform | 如果 JSON 結果中存在該值,則傳回該值 |
| osVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| firstVirusActivityTime | 如果 JSON 結果中存在該值,則傳回該值 |
| avUpdateServers | 如果 JSON 結果中存在該值,則傳回該值 |
| lastReportedTime | 如果 JSON 結果中存在該值,則傳回該值 |
| middleName | 如果 JSON 結果中存在該值,則傳回該值 |
| activationCode | 如果 JSON 結果中存在該值,則傳回該值 |
| deregisteredTime | 如果 JSON 結果中存在該值,則傳回該值 |
| lastResetTime | 如果 JSON 結果中存在該值,則傳回該值 |
| lastInternalIpAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceOwnerId | 如果 JSON 結果中存在該值,則傳回該值 |
| avMaster | 如果 JSON 結果中存在該值,則傳回該值 |
| lastLocation | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceType | 如果 JSON 結果中存在該值,則傳回該值 |
| targetPriorityType | 如果 JSON 結果中存在該值,則傳回該值 |
| encodedActivationCode | 如果 JSON 結果中存在該值,則傳回該值 |
| lastVirusActivityTime | 如果 JSON 結果中存在該值,則傳回該值 |
| avStatus | 如果 JSON 結果中存在該值,則傳回該值 |
| sensorStates | 如果 JSON 結果中存在該值,則傳回該值 |
| 電子郵件 | 如果 JSON 結果中存在該值,則傳回該值 |
| virtualizationProvider | 如果 JSON 結果中存在該值,則傳回該值 |
| avPackVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| assignedToId | 如果 JSON 結果中存在該值,則傳回該值 |
| scanStatus | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| policyName | 如果 JSON 結果中存在該值,則傳回該值 |
| scanLastActionTime | 如果 JSON 結果中存在該值,則傳回該值 |
| vdiBaseDevice | 如果 JSON 結果中存在該值,則傳回該值 |
| rootedByAnalytics | 如果 JSON 結果中存在該值,則傳回該值 |
| testId | 如果 JSON 結果中存在該值,則傳回該值 |
| avProductVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| rootedBySensorTime | 如果 JSON 結果中存在該值,則傳回該值 |
| lastShutdownTime | 如果 JSON 結果中存在該值,則傳回該值 |
| 已隔離 | 如果 JSON 結果中存在該值,則傳回該值 |
| createTime | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceId | 如果 JSON 結果中存在該值,則傳回該值 |
| sensorVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| passiveMode | 如果 JSON 結果中存在該值,則傳回該值 |
| virtualMachine | 如果 JSON 結果中存在該值,則傳回該值 |
| firstName | 如果 JSON 結果中存在該值,則傳回該值 |
| uninstallCode | 如果 JSON 結果中存在該值,則傳回該值 |
| uninstalledTime | 如果 JSON 結果中存在該值,則傳回該值 |
| 訊息 | 如果 JSON 結果中存在該值,則傳回該值 |
| policyOverride | 如果 JSON 結果中存在該值,則傳回該值 |
| organizationId | 如果 JSON 結果中存在該值,則傳回該值 |
| sensorOutOfDate | 如果 JSON 結果中存在該值,則傳回該值 |
| avAveVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| policyId | 如果 JSON 結果中存在該值,則傳回該值 |
| deviceMetaDataItemList | 如果 JSON 結果中存在該值,則傳回該值 |
| lastName | 如果 JSON 結果中存在該值,則傳回該值 |
| originEventHash | 如果 JSON 結果中存在該值,則傳回該值 |
| avLastScanTime | 如果 JSON 結果中存在該值,則傳回該值 |
| rootedBySensor | 如果 JSON 結果中存在該值,則傳回該值 |
| scanLastCompleteTime | 如果 JSON 結果中存在該值,則傳回該值 |
| lastContact | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
取得活動
說明
依實體取得活動。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 時間範圍 | 字串 | 不適用 | 是 | 搜尋的時間範圍。示例:3h |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| eventId | 如果 JSON 結果中存在該值,則傳回該值 |
| parentApp | 如果 JSON 結果中存在該值,則傳回該值 |
| eventTime | 如果 JSON 結果中存在該值,則傳回該值 |
| selectedApp | 如果 JSON 結果中存在該值,則傳回該值 |
| attackStage | 如果 JSON 結果中存在該值,則傳回該值 |
| processDetails | 如果 JSON 結果中存在該值,則傳回該值 |
| eventType | 如果 JSON 結果中存在該值,則傳回該值 |
| targetAp | 如果 JSON 結果中存在該值,則傳回該值 |
| longDescription | 如果 JSON 結果中存在該值,則傳回該值 |
| threatIndicators | 如果 JSON 結果中存在該值,則傳回該值 |
| securityEventCode | 如果 JSON 結果中存在該值,則傳回該值 |
| registryValue | 如果 JSON 結果中存在該值,則傳回該值 |
| incidentId | 如果 JSON 結果中存在該值,則傳回該值 |
| shortDescription | 如果 JSON 結果中存在該值,則傳回該值 |
| createTime | 如果 JSON 結果中存在該值,則傳回該值 |
| alertScore | 如果 JSON 結果中存在該值,則傳回該值 |
| alertCategory | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
取得程序
說明
依裝置列出程序。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 時間範圍 | 字串 | 3h | 是 | 搜尋的時間範圍。示例:3h |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| applicationName | 如果 JSON 結果中存在該值,則傳回該值 |
| processId | 如果 JSON 結果中存在該值,則傳回該值 |
| numEvents | 如果 JSON 結果中存在該值,則傳回該值 |
| applicationPath | 如果 JSON 結果中存在該值,則傳回該值 |
| privatePid | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256Hash | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
乒乓
說明
測試連線。
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。