Resposta ao vivo do VMware Carbon Black Endpoint Standard

Versão da integração: 6.0

Caso de uso

Realize investigações e correções em tempo real nos hosts que executam o agente do CB Endpoint Standard.

Configurar o VMware Carbon Black Endpoint Standard Live Response para trabalhar com o Google Security Operations

Permissão de produto

O recurso Carbon Black Live Response é autenticado por chave de API. Os usuários podem ver as configurações de chave de API no console do Carbon Black Cloud em "Configurações > Chaves de API".

Nomes de host do serviço

Há dois nomes de host do Carbon Black Cloud:

• https://defense-<environment>.conferdeploy.net
• https://api-<environment>.conferdeploy.net

Além disso, temos vários ambientes, como (não é uma lista completa):

• prod02
• prod04
• prod05

Para a API Carbon Black Live Response, os seguintes nomes de host serão usados: https://defense-about:blank)<environment>.conferdeploy.net

Chaves de API

As chaves de API incluem duas partes:

• Chave secreta da API (antes chamada de chave de API).
• ID da API (antes ID do conector).

A autenticação é transmitida para a API pelo cabeçalho HTTP X-Auth-Token.

1. Para gerar o cabeçalho adequado, concatene a chave secreta da API com o ID da API com uma barra entre eles.
2. Por exemplo, se a chave secreta da API for ABCD e o ID da API for 1234, o cabeçalho HTTP X-Auth-Token correspondente será: X-Auth-Token: ABCD/1234

Todas as solicitações de API precisam ser autenticadas usando uma chave secreta e um ID da API. Solicitações não autenticadas retornam um erro HTTP 401.

Como conseguir uma chave secreta e um ID de API

1. Faça login na sua organização do Carbon Black Cloud.
2. Acesse Configurações > Chaves de API.
3. Clique em "Adicionar chave de API".
4. Selecione Nível de acesso = Resposta em tempo real e configure outros parâmetros.
5. Receba o par de chave secreta e ID da API.

Rede

Permissão de produto para a versão 6 da API CB Live Response

Conceitos necessários para acessar as APIs do Carbon Black Cloud:

1. Nome do host do serviço
2. Chaves de API
3. RBAC
4. Chaves da organização

Nomes de host do serviço:

Para a API CarbonBlack Live Response, os seguintes nomes de host serão usados: https://defense-<environment>.conferdeploy.net

Chaves de API

As APIs e os serviços do Carbon Black Cloud são autenticados por chaves de API. Os usuários podem ver as configurações de chave de API no console do Carbon Black Cloud em "Configurações > Chaves de API".

As chaves de API incluem duas partes:

• Chave secreta da API (antes chamada de chave de API).
• ID da API (antes ID do conector).

Como conseguir uma chave secreta e um ID da API

1. Faça login na sua organização do Carbon Black Cloud.
2. Acesse Configurações > Chaves de API.
3. Clique em "Adicionar chave de API".
4. Configure nome, nível de acesso etc.
5. Receba o par de chave secreta e ID da API.

Isso permite que um administrador da organização defina uma chave de API e tenha acesso à chave secreta e ao ID da API, que são necessários para autenticar a solicitação de API. Além disso, os administradores podem restringir o uso dessa chave de API a um conjunto específico de endereços IP por motivos de segurança.

Chaves da organização

Além das chaves de API, muitas APIs ou serviços do Carbon Black Cloud exigem uma org_key no caminho da solicitação de API. Isso é para oferecer suporte a clientes que gerenciam várias organizações. Você encontra a org_key no console do Carbon Black Cloud em Settings > API Keys.

Configurar o acesso à API para a integração do CB Live Response com o Google SecOps

Para configurar o acesso à API para a integração do Google SecOps de resposta em tempo real do CB, siga estas etapas:

1. Faça login no console do Carbon Black Cloud e acesse Configurações > Acesso à API.
2. Na página "Acesso à API", acesse Níveis de acesso.
3. Na página "Níveis de acesso", clique em + Adicionar nível de acesso.

4. Na janela aberta, forneça um nome e uma descrição para o novo nível de acesso e selecione permissões como na captura de tela abaixo:

   

5. Volte para a guia "Acesso à API".

6. Clique em + Adicionar chave de API para criar uma chave.

7. Na guia aberta, preencha o campo obrigatório e selecione o nível de acesso que você configurou na etapa 4:

   

8. Depois de clicar em "Salvar", o ID e a chave secreta da API vão aparecer. Salve esses valores, porque você vai precisar deles para configurar a integração.

9. Depois que o ID e a chave secreta da API forem salvos, o acesso à API CB Live Response v6 será concluído.

Configurar a integração do VMware Carbon Black Endpoint Standard Live Response no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Ações

Ping

Descrição

Teste a conectividade com o VMware Carbon Black Endpoint Standard Live Response usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.

Parâmetros

N/A

Caso de uso

A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Painel de casos

Encerrar processo

Descrição

Encerra um processo em um host com base na entidade de host ou IP do Google SecOps.

Parâmetros

Caso de uso

Encerra o processo malicioso no dispositivo afetado.

Executar em

Essa ação é executada nas seguintes entidades:

1. Endereço IP
2. Nome do host

Resultados da ação

Resultado do script

Resultado do JSON

A ação precisa retornar um resultado JSON.

A ação precisa retornar as informações sobre a tarefa de processo de encerramento executada, e esses resultados precisam ser agrupados de acordo com as entidades em que a ação foi executada para uso posterior com o criador de expressões. Consulte o exemplo em JSON para referência.

{
    "entity1":[
  {
    "obj": {
        "name": "kill",
        "object": 2224
    },
    "id": 1,
    "name": "kill",
    "username": null,
    "creation_time": 1602161475,
    "completion_time": 1602161475,
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete"
}]
}

Listar processos

Descrição

Lista os processos em execução no endpoint com base no host ou na entidade IP do Google SecOps fornecidos.

Parâmetros

Casos de uso

Receba uma lista de processos do host específico para investigação.

Executar em

Essa ação é executada nas seguintes entidades:

1. Endereço IP
2. Nome do host

Resultados da ação

Enriquecimento de entidades

Resultado do script

Resultado do JSON

A ação precisa retornar um resultado JSON.

A ação precisa retornar as informações sobre os processos do resultado do comando "get" e esses resultados precisam ser agrupados de acordo com as entidades em que a ação foi executada para uso posterior com o criador de expressões. Consulte o exemplo em JSON para referência.

{
    "entity1":[
  {
    "pid": 4,
    "create_time": 132463818889511,
    "path": "SYSTEM",
    "command_line": "",
    "sid": "S-1-5-18",
    "username": "NT AUTHORITY\\SYSTEM",
    "parent": 0,
    "parent_create_time": 0
  }]
}

Baixar o arquivo

Descrição

Faça o download de um arquivo de um host que executa o VMware CB Cloud Agent com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Arquivo (opcional, se fornecido)

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "file_details": {
        "offset": 0,
        "count": 0,
        "file_id": "55173d88-b4a8-4410-870c-8d3a0acf1cc9"
    },
    "id": 1,
    "name": "get file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "get file",
        "object": "C:\\TMP\\127.0.0.1.txt"
    },
    "create_time": "2021-06-16T11:46:41Z",
    "finish_time": "2021-06-16T11:46:42Z"
}

Listar arquivos

Descrição

Liste arquivos em um host que executa o agente do VMware CB Cloud com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "id": 0,
    "name": "directory list",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": ".",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": "..",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 341,
            "attributes": [
                "ARCHIVE"
            ],
            "filename": "127.0.0.1.txt",
            "alternate_name": "127001~1.TXT",
            "create_time": "2021-01-27T19:18:44Z",
            "last_access_time": "2021-03-18T12:34:04Z",
            "last_write_time": "2021-01-27T19:03:27Z"
        },

Enviar arquivo

Descrição

Coloque um arquivo em um host que executa o agente do VMware CB Cloud com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Arquivo (opcional, se fornecido)

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "id": 0,
    "name": "put file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "chunkNumber": 0,
        "file_id": "a3623dc4-a1cc-4d29-8cde-2d36d605b1a5",
        "name": "put file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T07:51:40Z",
    "finish_time": "2021-06-16T07:51:41Z"
}

Executar arquivo

Descrição

Execute um arquivo em um host que executa o agente do VMware CB Cloud com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Arquivo (opcional, se fornecido)

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "process_details": {
        "pid": 0,
        "return_code": -1
    },
    "id": 0,
    "name": "create process",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "wait": false,
        "name": "create process",
        "object": "C:\\Windows\\system32\\cmd.exe /C whoami"
    },
    "create_time": "2021-06-16T12:14:25Z",
    "finish_time": "2021-06-16T12:14:25.690Z"
}

Criar memdump

Descrição

Crie um memdump em um host que executa o VMware CB Cloud Agent com base na entidade de host ou IP do Google SecOps.

Além disso, a API VMware CB não mostra uma mensagem de erro se um caminho de diretório remoto inválido for fornecido para o despejo de memória criado.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Arquivo (opcional, se fornecido)

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "mem_dump": {
        "compressing": false,
        "complete": true,
        "dumping": false,
        "return_code": 1627,
        "percentdone": 0
    },
    "id": 0,
    "name": "memdump",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "memdump",
        "object": "C:\\TMP\\cb-session-dump2.dmp"
    },
    "create_time": "2021-06-16T13:06:26Z",
    "finish_time": "+53427-09-21T04:18:52Z"
}

Excluir arquivo

Descrição

Exclua um arquivo de um host que executa o VMware CB Cloud Agent com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host

Resultados da ação

Resultado do script

Resultado do JSON

{
    "values": [],
    "id": 0,
    "name": "delete file",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "delete file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T13:43:45Z",
    "finish_time": "2021-06-16T13:43:45.796Z"
}

Listar arquivos no Cloud Storage

Descrição

Liste os arquivos no armazenamento de arquivos do VMware Carbon Black Cloud para uma sessão de resposta ativa com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host

Resultados da ação

Resultado do script

Resultado do JSON

[
    {
        "id": "97200931-cca6-4eed-8952-c47d529de103",
        "size": 32,
        "file_name": "test_file.txt",
        "size_uploaded": 0,
        "upload_url": null
    }
]

Excluir arquivo do Cloud Storage

Descrição

Exclui um arquivo do armazenamento de arquivos do VMware Carbon Black Cloud para uma sessão de resposta ativa com base na entidade de host ou IP do Google SecOps.

Parâmetros

Executar em

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Arquivo (opcional, se fornecido)

Resultados da ação

Resultado do script

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.