VMware Carbon Black Endpoint Standard Live Response

Versão da integração: 6.0

Exemplo de utilização

Realize investigações e correções em tempo real nos anfitriões que têm o agente CB Endpoint Standard em execução.

Configure o VMware Carbon Black Endpoint Standard Live Response para funcionar com o Google Security Operations

Autorização do produto

A funcionalidade Carbon Black Live Response é autenticada através da chave da API. Os utilizadores podem ver as definições da chave de API na Carbon Black Cloud Console em Settings > API Keys.

Nomes de anfitriões de serviços

Existem dois nomes de anfitrião do Carbon Black Cloud:

  • https://defense-<environment>.conferdeploy.net
  • https://api-<environment>.conferdeploy.net

Além disso, temos vários ambientes, como (lista não exaustiva):

  • prod02
  • prod04
  • prod05

Para a API Carbon Black Live Response, são usados os seguintes nomes de anfitrião: https://defense-about:blank)<environment>.conferdeploy.net

Chaves da API

As chaves da API incluem duas partes:

  • Chave secreta da API (anteriormente chave da API).
  • ID da API (anteriormente ID do conetor).

A autenticação é transmitida à API através do cabeçalho HTTP X-Auth-Token.

  1. Para gerar o cabeçalho adequado, concatene a chave secreta da API com o ID da API com uma barra invertida entre os dois.
  2. Por exemplo, se a chave secreta da API for ABCD e o ID da API for 1234, o cabeçalho HTTP X-Auth-Token correspondente será: X-Auth-Token: ABCD/1234

Todos os pedidos de API têm de ser autenticados através de uma chave secreta da API e um ID da API. Os pedidos não autenticados devolvem um erro HTTP 401.

Como obter uma chave secreta da API e um ID da API

  1. Inicie sessão na sua organização do Carbon Black Cloud.
  2. Navegue para Definições > Chaves de API.
  3. Clique em "Adicionar chave da API".
  4. Selecione Nível de acesso = Resposta em direto e configure outros parâmetros.
  5. Obtenha o par de ID da API e chave secreta da API.

Rede

Função Porta predefinida Direção Protocolo
API Vários valores De saída apikey

Autorização do produto para a versão 6 da API CB Live Response

Conceitos necessários para aceder às APIs do Carbon Black Cloud:

  1. Nome do anfitrião do serviço
  2. Chaves da API
  3. RBAC
  4. Chaves da organização

Nomes de anfitriões de serviços:

Para a API CarbonBlack Live Response, são usados os seguintes nomes de anfitrião: https://defense-<environment>.conferdeploy.net

Chaves da API

As APIs e os serviços do Carbon Black Cloud são autenticados através de chaves da API. Os utilizadores podem ver as definições da chave de API na Carbon Black Cloud Console em Settings > API Keys.

As chaves da API incluem duas partes:

  • Chave secreta da API (anteriormente chave da API).
  • ID da API (anteriormente ID do conetor).

Como obter uma chave secreta da API e um ID da API

  1. Inicie sessão na sua organização do Carbon Black Cloud.
  2. Navegue para Definições > Chaves de API.
  3. Clique em "Adicionar chave da API".
  4. Configure o nome, o nível de acesso, etc.
  5. Obtenha o par de ID da API e chave secreta da API.

Isto permite que um administrador da organização defina uma chave da API e aceda à chave secreta da API e ao ID da API que serão necessários para autenticar o pedido da API. Além disso, os administradores podem restringir a utilização desta chave da API a um conjunto específico de endereços IP por motivos de segurança.

Chaves da organização

Além das chaves de API, muitas APIs ou serviços do Carbon Black Cloud requerem uma org_key no caminho do pedido de API. Isto destina-se a apoiar os clientes que gerem várias organizações. Pode encontrar a sua org_key na Carbon Black Cloud Console em Settings > API Keys.

Configure o acesso à API para a integração do CB Live Response Google SecOps

Para configurar o acesso à API para a integração do Google SecOps de resposta em direto da CB, tem de seguir os seguintes passos:

  1. Inicie sessão na Carbon Black Cloud Console e aceda a Settings > API Access (Definições > Acesso à API).
  2. Na página de acesso à API, aceda a Níveis de acesso.
  3. Na página Níveis de acesso, clique em + Adicionar nível de acesso.

  4. Na janela aberta, indique um nome e uma descrição para o novo nível de acesso e selecione autorizações, como na captura de ecrã abaixo:

    Lista de autorizações necessárias

  5. Volte ao separador Acesso à API.

  6. Clique em + Adicionar chave da API para criar uma nova chave da API.

  7. No separador aberto, preencha o campo obrigatório e selecione o nível de acesso que configurou no passo 4:

    Edite as definições da chave da API

  8. Depois de clicar em Guardar, são apresentados o ID da API e a chave secreta da API. Guarde esses valores, pois vai precisar deles para configurar a integração.

  9. Assim que o ID da API e a chave secreta da API forem guardados, o acesso à API CB Live Response v6 está concluído.

Configure a integração da resposta em direto do VMware Carbon Black Endpoint Standard no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da instância String N/A Não Nome da instância para a qual pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Raiz da API String https://defense-{environment}.conferdeploy.net Sim URL raiz da API Standard Live Response do ponto final.
Chave da organização String N/A Sim Chave da organização do VMware Carbon Black Cloud.
ID da API Carbon Black Cloud String N/A Sim ID da API VMware Carbon Black Cloud (ID da chave de API personalizada que permite ler dados de dispositivos).
Chave secreta da API Carbon Black Cloud String N/A Sim Chave secreta da API VMware Carbon Black Cloud (ID da chave da API personalizada que permite ler dados de dispositivos).
ID da API Live Response String N/A Sim

Padrão de ponto final

ID da API da chave da API Live Response.
Chave secreta da API Live Response Palavra-passe N/A Sim Chave secreta da API da chave da API Live Response.
Executar remotamente Caixa de verificação Desmarcado Não Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).
Use a API Live Response V6 Caixa de verificação Desmarcado Não Se estiver ativada, a integração usa a versão 6 da API Live Response, que faz parte das APIs CB Cloud (plataforma).

Ações

Tchim-tchim

Descrição

Teste a conetividade com o VMware Carbon Black Endpoint Standard Live Response com os parâmetros fornecidos na página de configuração da integração no separador Marketplace do Google Security Operations.

Parâmetros

N/A

Exemplo de utilização

A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

  • Se tiver êxito: imprima "Successfully connected to the VMware Carbon Black Endpoint Standard Live Response service with the provided connection parameters!" (Ligação estabelecida com êxito ao serviço VMware Carbon Black Endpoint Standard Live Response com os parâmetros de ligação fornecidos!)

A ação deve falhar e parar a execução de um guia interativo:

  • Se ocorrer um erro crítico, como credenciais incorretas ou perda de conetividade: imprima "Failed to connect to the VMware Carbon Black Endpoint Standard Live Response service! O erro é {0}".format(exception.stacktrace)
 Geral

Terminar processo

Descrição

Termine o processo num anfitrião com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do processo String N/A Não Nome do processo para pesquisar o PID. O nome do processo não é sensível a maiúsculas e minúsculas.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Exemplo de utilização

Termina o processo malicioso no dispositivo afetado.

Executar em

Esta ação é executada nas seguintes entidades:

  1. Endereço IP
  2. Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON

A ação deve devolver um resultado JSON.

A ação deve devolver as informações sobre a tarefa do processo de eliminação executada e esses resultados devem ser agrupados de acordo com as entidades nas quais a ação foi executada, para utilização posterior com o criador de expressões. Consulte o exemplo JSON para referência.

{
    "entity1":[
  {
    "obj": {
        "name": "kill",
        "object": 2224
    },
    "id": 1,
    "name": "kill",
    "username": null,
    "creation_time": 1602161475,
    "completion_time": 1602161475,
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete"
}]
}

Apresentar processos

Descrição

Liste os processos em execução no ponto final com base na entidade de anfitrião ou IP do Google SecOps fornecida.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do processo String N/A Não Nome do processo a pesquisar no anfitrião. O nome do processo não é sensível a maiúsculas e minúsculas.
Quantos registos devolver Número inteiro 25 Não Quantos registos por ação de entidade devem ser devolvidos.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Exemplos de utilização

Receber uma lista de processos do anfitrião específico para investigação.

Executar em

Esta ação é executada nas seguintes entidades:

  1. Endereço IP
  2. Nome do anfitrião

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
cb_defense_deviceId N/A
cb_defense_policy N/A
Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON

A ação deve devolver um resultado JSON.

A ação deve devolver as informações sobre os processos do resultado do comando get e esses resultados devem ser agrupados de acordo com as entidades nas quais a ação foi executada, para uso posterior com o criador de expressões. Consulte o exemplo JSON para referência.

{
    "entity1":[
  {
    "pid": 4,
    "create_time": 132463818889511,
    "path": "SYSTEM",
    "command_line": "",
    "sid": "S-1-5-18",
    "username": "NT AUTHORITY\\SYSTEM",
    "parent": 0,
    "parent_create_time": 0
  }]
}

Transferir ficheiro

Descrição

Transfira um ficheiro de um anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro a transferir. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Caminho do diretório remoto String N/A Sim Especifique o caminho do diretório remoto que a ação deve seguir para transferir o ficheiro. Exemplo: C:\\TMP\\
Caminho do diretório local String N/A Sim Especifique o caminho do diretório local onde a ação deve guardar o ficheiro. Exemplo: /tmp/
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Ficheiro (opcional, se fornecido)

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "file_details": {
        "offset": 0,
        "count": 0,
        "file_id": "55173d88-b4a8-4410-870c-8d3a0acf1cc9"
    },
    "id": 1,
    "name": "get file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "get file",
        "object": "C:\\TMP\\127.0.0.1.txt"
    },
    "create_time": "2021-06-16T11:46:41Z",
    "finish_time": "2021-06-16T11:46:42Z"
}

Listar ficheiros

Descrição

Liste ficheiros num anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Caminho do diretório remoto String N/A Sim Especifique o caminho do diretório de destino que a ação deve listar. Exemplo: C:\\TMP\\ ou /tmp/
Máximo de linhas a devolver Número inteiro 50 Não Especifique o número de linhas que a ação deve devolver.
Começar a partir da linha Número inteiro 0 Não Especifique a partir de que linha a ação deve começar a devolver dados.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "id": 0,
    "name": "directory list",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": ".",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": "..",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 341,
            "attributes": [
                "ARCHIVE"
            ],
            "filename": "127.0.0.1.txt",
            "alternate_name": "127001~1.TXT",
            "create_time": "2021-01-27T19:18:44Z",
            "last_access_time": "2021-03-18T12:34:04Z",
            "last_write_time": "2021-01-27T19:03:27Z"
        },

PUT File

Descrição

Coloque um ficheiro num anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro a carregar. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Caminho do diretório de origem String N/A Sim Especifique o caminho do diretório de origem que a ação deve seguir para obter o ficheiro a carregar. Exemplo: /tmp/
Caminho do diretório de destino String N/A Sim Especifique o caminho do diretório de destino para o qual a ação deve carregar o ficheiro. Exemplo: C:\\TMP\\
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Ficheiro (opcional, se fornecido)

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "id": 0,
    "name": "put file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "chunkNumber": 0,
        "file_id": "a3623dc4-a1cc-4d29-8cde-2d36d605b1a5",
        "name": "put file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T07:51:40Z",
    "finish_time": "2021-06-16T07:51:41Z"
}

Executar ficheiro

Descrição

Execute o ficheiro num anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro a executar. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Caminho do diretório remoto String N/A Sim Especifique o caminho do diretório remoto do ficheiro a executar. Exemplo: C:\\TMP\\
Ficheiro de registo de saída no anfitrião remoto String N/A Não Especifique o ficheiro de registo de saída para o qual a ação deve guardar a saída redirecionada. Exemplo: C:\\TMP\\cmdoutput.log
Argumentos de comando a transmitir para o ficheiro String N/A Não

Especifique os argumentos de comando a transmitir para executar o ficheiro.

Por exemplo, aqui especificamos "/C whoami" para executar o comando whoami com cmd: C:\Windows\system32\cmd.exe /C whoami
Aguarde o resultado Booleano Caixa de verificação desmarcada Não Se estiver ativada, a ação aguarda a conclusão do comando.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Ficheiro (opcional, se fornecido)

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "process_details": {
        "pid": 0,
        "return_code": -1
    },
    "id": 0,
    "name": "create process",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "wait": false,
        "name": "create process",
        "object": "C:\\Windows\\system32\\cmd.exe /C whoami"
    },
    "create_time": "2021-06-16T12:14:25Z",
    "finish_time": "2021-06-16T12:14:25.690Z"
}

Crie um Memdump

Descrição

Crie um memdump num anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Além disso, tenha em atenção que a API VMware CB não apresenta uma mensagem de erro se for fornecido um caminho de diretório remoto inválido para o despejo de memória criado.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro para a criação de memdump. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Caminho do diretório remoto String N/A Sim Especifique o caminho do ficheiro de diretório para armazenar o memdump. Exemplo: C:\\TMP\\
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Ficheiro (opcional, se fornecido)

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "mem_dump": {
        "compressing": false,
        "complete": true,
        "dumping": false,
        "return_code": 1627,
        "percentdone": 0
    },
    "id": 0,
    "name": "memdump",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "memdump",
        "object": "C:\\TMP\\cb-session-dump2.dmp"
    },
    "create_time": "2021-06-16T13:06:26Z",
    "finish_time": "+53427-09-21T04:18:52Z"
}

Eliminar ficheiro

Descrição

Elimine um ficheiro de um anfitrião que execute o VMware CB Cloud Agent com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro a eliminar. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Caminho do diretório remoto String N/A Sim Especifique o caminho do diretório remoto para o ficheiro a eliminar. Exemplo: C:\\TMP\\
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
{
    "values": [],
    "id": 0,
    "name": "delete file",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "delete file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T13:43:45Z",
    "finish_time": "2021-06-16T13:43:45.796Z"
}

Liste ficheiros no Cloud Storage

Descrição

Liste os ficheiros no armazenamento de ficheiros do VMware Carbon Black Cloud para uma sessão de resposta em tempo real existente com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Máximo de linhas a devolver Número inteiro 50 Não Especifique o número de linhas que a ação deve devolver.
Começar a partir da linha Número inteiro 0 Não Especifique a partir de que linha a ação deve começar a devolver dados.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
[
    {
        "id": "97200931-cca6-4eed-8952-c47d529de103",
        "size": 32,
        "file_name": "test_file.txt",
        "size_uploaded": 0,
        "upload_url": null
    }
]

Elimine o ficheiro do Cloud Storage

Descrição

Elimine um ficheiro do armazenamento de ficheiros do VMware Carbon Black Cloud para uma sessão de resposta em direto existente com base na entidade de anfitrião ou IP do Google SecOps.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String N/A Não Especifique o nome do ficheiro a eliminar. O nome do ficheiro não é sensível a maiúsculas e minúsculas.
Verificar sessão ativa x vezes Número inteiro 20 Sim Quantas tentativas a ação deve fazer para obter uma sessão ativa para a entidade. A verificação é feita a cada 2 segundos.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Ficheiro (opcional, se fornecido)

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.