Diese Seite wurde von der Cloud Translation API übersetzt.

VMware Carbon Black Endpoint Standard Live Response

Integrationsversion: 6.0

Anwendungsfall

Führen Sie Echtzeituntersuchungen und ‑korrekturen auf den Hosts durch, auf denen der CB Endpoint Standard-Agent ausgeführt wird.

VMware Carbon Black Endpoint Standard Live Response für die Verwendung mit Google Security Operations konfigurieren

Produktberechtigung

Die Carbon Black Live Response-Funktion wird über einen API-Schlüssel authentifiziert. Nutzer können die API-Schlüsseleinstellungen in der Carbon Black Cloud Console unter „Settings“ > „API Keys“ (Einstellungen > API-Schlüssel) aufrufen.

Dienst-Hostnamen

Es gibt zwei Carbon Black Cloud-Hostnamen:

https://defense-<environment>.conferdeploy.net
https://api-<environment>.conferdeploy.net

Außerdem gibt es mehrere Umgebungen, z. B. (keine vollständige Liste):

prod02
prod04
prod05

Für die Carbon Black Live Response API werden die folgenden Hostnamen verwendet: https://defense-about:blank)<environment>.conferdeploy.net

API-Schlüssel

API-Schlüssel bestehen aus zwei Teilen:

API-Secret-Schlüssel (früher API-Schlüssel)
API-ID (früher Connector-ID).

Die Authentifizierung wird über den HTTP-Header „X-Auth-Token“ an die API übergeben.

Um den entsprechenden Header zu generieren, verketten Sie den API-Secret-Schlüssel mit der API-ID und fügen Sie dazwischen einen Schrägstrich ein.
Wenn der geheime API-Schlüssel beispielsweise ABCD und die API-ID 1234 lautet, sieht der entsprechende X-Auth-Token-HTTP-Header so aus: X-Auth-Token: ABCD/1234

Alle API-Anfragen müssen mit einem API-Secret-Schlüssel und einer API-ID authentifiziert werden. Nicht authentifizierte Anfragen geben einen HTTP 401-Fehler zurück.

API-Secret-Schlüssel und API-ID erhalten

Melden Sie sich in Ihrer Carbon Black Cloud-Organisation an.
Rufen Sie „Einstellungen“ > „API-Schlüssel“ auf.
Klicken Sie auf „API-Schlüssel hinzufügen“.
Wählen Sie „Zugriffsebene“ = „Live-Antwort“ aus und konfigurieren Sie andere Parameter.
API-Secret-Schlüssel und API-ID-Paar abrufen

Netzwerk

Funktion	Standardport	Richtung	Protokoll
API	Mehrfachwerte	Ausgehend	apikey

Produktberechtigung für die CB Live Response v6 API-Version

Konzepte, die für den Zugriff auf Carbon Black Cloud APIs erforderlich sind:

Hostname des Dienstes
API-Schlüssel
RBAC
Organisationsschlüssel

Dienst-Hostnamen:

Für die CarbonBlack Live Response API werden die folgenden Hostnamen verwendet: https://defense-<environment>.conferdeploy.net

API-Schlüssel

Carbon Black Cloud APIs und Dienste werden über API-Schlüssel authentifiziert. Nutzer können die API-Schlüsseleinstellungen in der Carbon Black Cloud Console unter „Settings“ > „API Keys“ (Einstellungen > API-Schlüssel) aufrufen.

API-Schlüssel bestehen aus zwei Teilen:

API-Secret-Schlüssel (früher API-Schlüssel)
API-ID (früher Connector-ID).

API-Secret-Schlüssel und API-ID abrufen

Melden Sie sich in Ihrer Carbon Black Cloud-Organisation an.
Rufen Sie „Einstellungen“ > „API-Schlüssel“ auf.
Klicken Sie auf „API-Schlüssel hinzufügen“.
Name, Zugriffsebene usw. konfigurieren
API-Secret-Schlüssel und API-ID-Paar abrufen

So kann ein Organisationsadministrator einen API-Schlüssel definieren und auf den API-Secret-Schlüssel und die API-ID zugreifen, die für die Authentifizierung der API-Anfrage erforderlich sind. Außerdem können Administratoren die Verwendung dieses API-Schlüssels aus Sicherheitsgründen auf eine bestimmte Gruppe von IP-Adressen beschränken.

Organisationsschlüssel

Zusätzlich zu API-Schlüsseln erfordern viele Carbon Black Cloud APIs oder Dienste einen org_key im API-Anforderungspfad. Dies soll Kunden unterstützen, die mehrere Organisationen verwalten. Sie finden Ihren org_key in der Carbon Black Cloud Console unter „Settings“ > „API Keys“.

API-Zugriff für die CB Live Response-Integration von Google SecOps konfigurieren

So konfigurieren Sie den API-Zugriff für die CB Live Response Google SecOps-Integration:

Melden Sie sich in der Carbon Black Cloud Console an und gehen Sie zu Settings > API Access (Einstellungen > API-Zugriff).
Rufen Sie auf der Seite „API-Zugriff“ die Zugriffsebenen auf.
Klicken Sie auf der Seite „Zugriffsebenen“ auf + Zugriffsebene hinzufügen.
Geben Sie im geöffneten Fenster einen Namen und eine Beschreibung für die neue Zugriffsebene ein und wählen Sie Berechtigungen wie im Screenshot unten aus:
Kehren Sie zum Tab „API-Zugriff“ zurück.
Klicken Sie auf + API-Schlüssel hinzufügen, um einen neuen API-Schlüssel zu erstellen.
Füllen Sie auf dem geöffneten Tab das Pflichtfeld aus und wählen Sie die Zugriffsebene aus, die Sie in Schritt 4 konfiguriert haben:
Nachdem Sie auf „Speichern“ geklickt haben, werden die API-ID und der API-Secret-Schlüssel angezeigt. Speichern Sie diese Werte, da Sie sie für die Konfiguration der Integration benötigen.
Sobald die API-ID und der API-Schlüssel gespeichert sind, ist der API-Zugriff für die CB Live Response v6 API abgeschlossen.

VMware Carbon Black Endpoint Standard Live Response-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Instanzname	String	–	Nein	Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung	String	–	Nein	Beschreibung der Instanz.
API-Stamm	String	https://defense-{environment}.conferdeploy.net	Ja	Stamm-URL der Endpoint Standard Live Response API.
Organisationsschlüssel	String	–	Ja	Vmware Carbon Black Cloud-Organisationsschlüssel.
Carbon Black Cloud API-ID	String	–	Ja	VMware Carbon Black Cloud API-ID (benutzerdefinierte API-Schlüssel-ID, mit der Gerätedaten gelesen werden können).
Secret-Schlüssel für die Carbon Black Cloud API	String	–	Ja	Geheimer Schlüssel der VMware Carbon Black Cloud API (benutzerdefinierte API-Schlüssel-ID, mit der Gerätedaten gelesen werden können).
Live Response API-ID	String	–	Ja	Endpunktstandard API-ID für den API-Schlüssel für Live-Antworten.
Secret-Schlüssel für die Live Response API	Passwort	–	Ja	API-Schlüssel und API-Secret-Schlüssel für die Live Response API.
Remote ausführen	Kästchen	Deaktiviert	Nein	Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.
Live Response V6 API verwenden	Kästchen	Deaktiviert	Nein	Wenn die Integration aktiviert ist, wird die Live Response API Version 6 verwendet, die Teil der CB Cloud (Platform) APIs ist.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu VMware Carbon Black Endpoint Standard Live Response mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Anwendungsfall

Die Aktion wird verwendet, um die Konnektivität auf der Seite „Integrationskonfiguration“ auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden und wird nicht in Playbooks verwendet.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the VMware Carbon Black Endpoint Standard Live Response service with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum VMware Carbon Black Endpoint Standard Live Response-Dienst hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder Verbindungsverlust: „Failed to connect to the VMware Carbon Black Endpoint Standard Live Response service! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the VMware Carbon Black Endpoint Standard Live Response service with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum VMware Carbon Black Endpoint Standard Live Response-Dienst hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei einem kritischen Fehler, z. B. falschen Anmeldedaten oder Verbindungsverlust: „Failed to connect to the VMware Carbon Black Endpoint Standard Live Response service! Fehler: {0}".format(exception.stacktrace)

Allgemein

Prozess beenden

Beschreibung

Prozess auf einem Host basierend auf der Google SecOps-Host- oder IP-Entität beenden.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Prozessname	String	–	Nein	Der Name des Prozesses, nach dessen PID gesucht werden soll. Beim Prozessnamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Anwendungsfall

Der bösartige Prozess auf dem betroffenen Gerät wird beendet.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

Die Aktion sollte ein JSON-Ergebnis zurückgeben.

Die Aktion sollte die Informationen zur ausgeführten Aufgabe zum Beenden des Prozesses zurückgeben. Die Ergebnisse sollten nach den Entitäten gruppiert werden, für die die Aktion ausgeführt wurde, damit sie später mit dem Ausdrucksgenerator verwendet werden können. Ein Beispiel finden Sie im JSON-Beispiel.

{
    "entity1":[
  {
    "obj": {
        "name": "kill",
        "object": 2224
    },
    "id": 1,
    "name": "kill",
    "username": null,
    "creation_time": 1602161475,
    "completion_time": 1602161475,
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete"
}]
}

Prozesse auflisten

Beschreibung

Listet Prozesse auf, die auf dem Endpunkt ausgeführt werden, basierend auf der angegebenen Google SecOps-Host- oder IP-Entität.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Prozessname	String	–	Nein	Der Prozessname, nach dem auf dem Host gesucht werden soll. Beim Prozessnamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Anzahl der zurückzugebenden Datensätze	Ganzzahl	25	Nein	Anzahl der Datensätze, die pro Entitätsaktion zurückgegeben werden sollen.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Anwendungsfälle

Rufen Sie eine Prozessliste vom jeweiligen Host ab, um sie zu untersuchen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
cb_defense_deviceId	–
cb_defense_policy	–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

Die Aktion sollte ein JSON-Ergebnis zurückgeben.

Die Aktion sollte die Informationen zu Prozessen aus dem Ergebnis des „get“-Befehls zurückgeben. Diese Ergebnisse sollten nach den Entitäten gruppiert werden, für die die Aktion ausgeführt wurde, um sie später mit dem Ausdrucksgenerator zu verwenden. Ein Beispiel finden Sie im JSON-Beispiel.

{
    "entity1":[
  {
    "pid": 4,
    "create_time": 132463818889511,
    "path": "SYSTEM",
    "command_line": "",
    "sid": "S-1-5-18",
    "username": "NT AUTHORITY\\SYSTEM",
    "parent": 0,
    "parent_create_time": 0
  }]
}

Datei herunterladen

Beschreibung

Laden Sie eine Datei von einem Host herunter, auf dem der VMware CB Cloud Agent ausgeführt wird, basierend auf der Google SecOps-Host- oder IP-Entität.

Hinweis :Der Dateiname kann entweder als Google SecOps File-Entität (Artefakt) oder als Aktions-Eingabeparameter angegeben werden. Wenn der Dateiname sowohl als Entität als auch als Eingabeparameter an die Aktion übergeben wird, wird die Aktion für den Eingabeparameter ausgeführt. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Dateiname wird sowohl an den lokalen Verzeichnispfad als auch an den Remote-Verzeichnispfad angehängt, um die resultierenden Dateipfade zu erhalten, die von der CB Cloud API akzeptiert werden. Wenn die Aktion für mehrere Host- oder IP-Entitäten ausgeführt wird, wird der heruntergeladene Dateiname mit dem Hostnamen oder der IP-Adresse ergänzt, um die von mehreren Entitäten heruntergeladene Datei nicht zu überschreiben. Beispielformat: hostname_filename.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Dateinamen an, der heruntergeladen werden soll. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Pfad des Remoteverzeichnisses	String	–	Ja	Geben Sie den Pfad des Remote-Verzeichnisses an, in dem die Datei heruntergeladen werden soll. Beispiel: C:\\TMP\\
Lokaler Verzeichnispfad	String	–	Ja	Geben Sie den lokalen Verzeichnispfad an, in dem die Datei gespeichert werden soll. Beispiel: /tmp/
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host
Datei (optional, falls angegeben)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "file_details": {
        "offset": 0,
        "count": 0,
        "file_id": "55173d88-b4a8-4410-870c-8d3a0acf1cc9"
    },
    "id": 1,
    "name": "get file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "get file",
        "object": "C:\\TMP\\127.0.0.1.txt"
    },
    "create_time": "2021-06-16T11:46:41Z",
    "finish_time": "2021-06-16T11:46:42Z"
}

Dateien auflisten

Beschreibung

Dateien auf einem Host auflisten, auf dem der VMware CB Cloud Agent ausgeführt wird, basierend auf der Google SecOps-Host- oder IP-Entität.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Pfad des Remoteverzeichnisses	String	–	Ja	Geben Sie den Zielverzeichnispfad an, für den die Aktion eine Liste erstellen soll. Beispiel: C:\\TMP\\ oder /tmp/
Maximale Anzahl zurückzugebender Zeilen	Ganzzahl	50	Nein	Geben Sie an, wie viele Zeilen die Aktion zurückgeben soll.
Ab Zeile	Ganzzahl	0	Nein	Geben Sie an, ab welcher Zeile Daten zurückgegeben werden sollen.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "id": 0,
    "name": "directory list",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": ".",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": "..",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 341,
            "attributes": [
                "ARCHIVE"
            ],
            "filename": "127.0.0.1.txt",
            "alternate_name": "127001~1.TXT",
            "create_time": "2021-01-27T19:18:44Z",
            "last_access_time": "2021-03-18T12:34:04Z",
            "last_write_time": "2021-01-27T19:03:27Z"
        },

Datei hochladen

Beschreibung

Eine Datei auf einem Host ablegen, auf dem der VMware CB Cloud Agent auf Grundlage der Google SecOps-Host- oder IP-Entität ausgeführt wird.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Dateinamen für den Upload an. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Pfad des Quellverzeichnisses	String	–	Ja	Geben Sie den Quellverzeichnispfad an, über den die Datei zum Hochladen abgerufen werden soll. Beispiel: /tmp/
Pfad des Zielverzeichnisses	String	–	Ja	Geben Sie den Zielverzeichnispfad an, in den die Datei hochgeladen werden soll. Beispiel: C:\\TMP\\
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host
Datei (optional, falls angegeben)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "id": 0,
    "name": "put file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "chunkNumber": 0,
        "file_id": "a3623dc4-a1cc-4d29-8cde-2d36d605b1a5",
        "name": "put file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T07:51:40Z",
    "finish_time": "2021-06-16T07:51:41Z"
}

Datei ausführen

Beschreibung

Datei auf einem Host ausführen, auf dem der VMware CB Cloud Agent ausgeführt wird, basierend auf der Google SecOps-Host- oder IP-Entität.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Namen der auszuführenden Datei an. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Pfad des Remoteverzeichnisses	String	–	Ja	Geben Sie den Pfad des Remote-Verzeichnisses für die auszuführende Datei an. Beispiel: C:\\TMP\\
Ausgabe-Protokolldatei auf dem Remote-Host	String	–	Nein	Geben Sie an, in welcher Ausgabelogdatei die umgeleitete Ausgabe gespeichert werden soll. Beispiel: C:\\TMP\\cmdoutput.log
Befehlsargumente, die an die Datei übergeben werden sollen	String	–	Nein	Geben Sie die Befehlsargumente an, die für die Ausführung der Datei übergeben werden sollen. Beispiel: Hier geben wir „/C whoami“ an, um den Befehl „whoami“ mit „cmd“ auszuführen: C:\Windows\system32\cmd.exe /C whoami
Auf das Ergebnis warten	Boolesch	Kästchen nicht angeklickt	Nein	Wenn diese Option aktiviert ist, wartet die Aktion, bis der Befehl abgeschlossen ist.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host
Datei (optional, falls angegeben)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "process_details": {
        "pid": 0,
        "return_code": -1
    },
    "id": 0,
    "name": "create process",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "wait": false,
        "name": "create process",
        "object": "C:\\Windows\\system32\\cmd.exe /C whoami"
    },
    "create_time": "2021-06-16T12:14:25Z",
    "finish_time": "2021-06-16T12:14:25.690Z"
}

Memdump erstellen

Beschreibung

Erstellen Sie einen Memdump auf einem Host, auf dem der VMware CB Cloud Agent ausgeführt wird, basierend auf der Google SecOps-Host- oder IP-Entität.

Außerdem wird bei der VMware CB API keine Fehlermeldung angezeigt, wenn für den erstellten Speicherauszug ein ungültiger Remote Directory Path angegeben wird.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Dateinamen für die Erstellung des Speicherauszugs an. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Pfad des Remoteverzeichnisses	String	–	Ja	Geben Sie den Dateipfad des Verzeichnisses an, in dem der Memdump gespeichert werden soll. Beispiel: C:\\TMP\\
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host
Datei (optional, falls angegeben)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "mem_dump": {
        "compressing": false,
        "complete": true,
        "dumping": false,
        "return_code": 1627,
        "percentdone": 0
    },
    "id": 0,
    "name": "memdump",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "memdump",
        "object": "C:\\TMP\\cb-session-dump2.dmp"
    },
    "create_time": "2021-06-16T13:06:26Z",
    "finish_time": "+53427-09-21T04:18:52Z"
}

Datei löschen

Beschreibung

Löschen einer Datei von einem Host, auf dem VMware CB Cloud Agent ausgeführt wird, basierend auf der Google SecOps-Host- oder IP-Entität.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Namen der Datei an, die Sie löschen möchten. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Pfad des Remoteverzeichnisses	String	–	Ja	Geben Sie den Remote-Verzeichnispfad zur Datei an, die gelöscht werden soll. Beispiel: C:\\TMP\\
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "values": [],
    "id": 0,
    "name": "delete file",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "delete file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T13:43:45Z",
    "finish_time": "2021-06-16T13:43:45.796Z"
}

Dateien in Cloud Storage auflisten

Beschreibung

Dateien im VMware Carbon Black Cloud-Dateispeicher für eine vorhandene Live-Reaktionssitzung basierend auf dem Google SecOps-Host oder der IP-Adresse auflisten.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Maximale Anzahl zurückzugebender Zeilen	Ganzzahl	50	Nein	Geben Sie an, wie viele Zeilen die Aktion zurückgeben soll.
Ab Zeile	Ganzzahl	0	Nein	Geben Sie an, ab welcher Zeile Daten zurückgegeben werden sollen.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "id": "97200931-cca6-4eed-8952-c47d529de103",
        "size": 32,
        "file_name": "test_file.txt",
        "size_uploaded": 0,
        "upload_url": null
    }
]

Datei aus Cloud Storage löschen

Beschreibung

Löschen Sie eine Datei aus dem VMware Carbon Black Cloud-Dateispeicher für eine vorhandene Live-Response-Sitzung basierend auf der Google SecOps-Host- oder IP-Entität.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Dateiname	String	–	Nein	Geben Sie den Namen der Datei an, die Sie löschen möchten. Bei Dateinamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
x Mal nach aktiver Sitzung suchen	Ganzzahl	20	Ja	Wie viele Versuche sollte die Aktion unternehmen, um eine aktive Sitzung für die Einheit zu erhalten? Die Prüfung erfolgt alle 2 Sekunden.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host
Datei (optional, falls angegeben)

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten