Protección de Carbon Black
Versión de integración: 7.0
Configurar VMware Carbon Black App Control (App Control) para que funcione con Google Security Operations
Clave de API
Para encontrar una clave de API correspondiente a una cuenta de usuario concreta de VMware Carbon Black App Control (App Control), sigue estos pasos:
- Inicia sesión en la consola como administrador.
- Seleccione Administración > Cuentas de inicio de sesión.
- Busca el usuario en la lista y haz clic en el botón Editar situado a la izquierda de la fila que contiene su nombre de usuario.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apikey |
Configurar la integración de Carbon Black Protection en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://x.x.x.x | Sí | Dirección de la instancia de VMware Carbon Black App Control (App Control). |
| Clave de API | Cadena | N/A | Sí | Clave de API generada en la consola de VMware Carbon Black App Control (App Control). |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Analizar archivo
Descripción
Analiza un archivo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del conector | Cadena | N/A | Sí | Nombre del conector de análisis. Ejemplo: Palo Alto Networks |
| Prioridad | Cadena | N/A | Sí | La prioridad del análisis (de -2 a 2). |
| Tiempo de espera | Cadena | N/A | Sí | Tiempo de espera agotado. Ejemplo: 120 |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Una entidad se marca como sospechosa si CB Protection detecta un archivo MSI que tiene datos añadidos después de la firma.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| computerId | Devuelve si existe en el resultado JSON. |
| connectorId | Devuelve si existe en el resultado JSON. |
| analysisStatus | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| prioridad | Devuelve si existe en el resultado JSON. |
| createdByUserId | Devuelve si existe en el resultado JSON. |
| is_malicious | Devuelve si existe en el resultado JSON. |
| pathName | Devuelve si existe en el resultado JSON. |
| fileCatalogId | Devuelve si existe en el resultado JSON. |
| createdBy | Devuelve si existe en el resultado JSON. |
| analysisResult | Devuelve si existe en el resultado JSON. |
| dateModified | Devuelve si existe en el resultado JSON. |
| fileName | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| analysisTarget | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash de bloque
Descripción
Bloquear un hash en políticas específicas o de forma global.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de las políticas | Cadena | N/A | No | Ejemplo: Default Policy, Local Approval Policy |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Cambiar la política del ordenador
Descripción
Mover un ordenador a una nueva política
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | Cadena | N/A | Sí | El nuevo nombre de la política. Ejemplo: política predeterminada |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Buscar archivo
Descripción
Buscar una instancia de un archivo en varios ordenadores.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| ejecutado | Devuelve si existe en el resultado JSON. |
| fileName | Devuelve si existe en el resultado JSON. |
| computerId | Devuelve si existe en el resultado JSON. |
| unifiedSource | Devuelve si existe en el resultado JSON. |
| policyId | Devuelve si existe en el resultado JSON. |
| detailedLocalState | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| topLevel | Devuelve si existe en el resultado JSON. |
| certificateId | Devuelve si existe en el resultado JSON. |
| pathName | Devuelve si existe en el resultado JSON. |
| localState | Devuelve si existe en el resultado JSON. |
| inicializado | Devuelve si existe en el resultado JSON. |
| detachedCertificateId | Devuelve si existe en el resultado JSON. |
| detachedPublisherId | Devuelve si existe en el resultado JSON. |
| fileInstanceGroupId | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fileCatalogId | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
Get Computers by File
Descripción
Obtiene los ordenadores en los que se encuentra un archivo con el valor SHA-256 indicado.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Obtener información del sistema
Descripción
Obtener información sobre un ordenador.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| macAddress | Devuelve si existe en el resultado JSON. |
| systemMemoryDumps | Devuelve si existe en el resultado JSON. |
| policyStatusDetails | Devuelve si existe en el resultado JSON. |
| priorizado | Devuelve si existe en el resultado JSON. |
| platformId | Devuelve si existe en el resultado JSON. |
| upgradeErrorTime | Devuelve si existe en el resultado JSON. |
| tdCount | Devuelve si existe en el resultado JSON. |
| hasDuplicates | Devuelve si existe en el resultado JSON. |
| disconnectedEnforcementLevel | Devuelve si existe en el resultado JSON. |
| hasHealthCheckErrors | Devuelve si existe en el resultado JSON. |
| syncPercent | Devuelve si existe en el resultado JSON. |
| agentVersion | Devuelve si existe en el resultado JSON. |
| activeDebugLevel | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupMode | Devuelve si existe en el resultado JSON. |
| processorCount | Devuelve si existe en el resultado JSON. |
| kernelDebugLevel | Devuelve si existe en el resultado JSON. |
| refreshFlags | Devuelve si existe en el resultado JSON. |
| activeKernelDebugLevel | Devuelve si existe en el resultado JSON. |
| users | Devuelve si existe en el resultado JSON. |
| policyName | Devuelve si existe en el resultado JSON. |
| enforcementLevel | Devuelve si existe en el resultado JSON. |
| templateDate | Devuelve si existe en el resultado JSON. |
| previousPolicyId | Devuelve si existe en el resultado JSON. |
| memorySize | Devuelve si existe en el resultado JSON. |
| machineModel | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| policyStatus | Devuelve si existe en el resultado JSON. |
| processorSpeed | Devuelve si existe en el resultado JSON. |
| ccFlags | Devuelve si existe en el resultado JSON. |
| plantilla | Devuelve si existe en el resultado JSON. |
| Inicializando | Devuelve si existe en el resultado JSON. |
| initPercent | Devuelve si existe en el resultado JSON. |
| desinstalada | Devuelve si existe en el resultado JSON. |
| computerTag | Devuelve si existe en el resultado JSON. |
| templateComputerId | Devuelve si existe en el resultado JSON. |
| initPercent | Devuelve si existe en el resultado JSON. |
| desinstalada | Devuelve si existe en el resultado JSON. |
| computerTag | Devuelve si existe en el resultado JSON. |
| templateComputerId | Devuelve si existe en el resultado JSON. |
| daysOffline | Devuelve si existe en el resultado JSON. |
| upgradeError | Devuelve si existe en el resultado JSON. |
| automaticPolicy | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| osShortName | Devuelve si existe en el resultado JSON. |
| eliminado | Devuelve si existe en el resultado JSON. |
| localApproval | Devuelve si existe en el resultado JSON. |
| tamperProtectionActive | Devuelve si existe en el resultado JSON. |
| lastPollDate | Devuelve si existe en el resultado JSON. |
| activeDebugFlags | Devuelve si existe en el resultado JSON. |
| CLIPassword | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| virtualPlatform | Devuelve si existe en el resultado JSON. |
| conectado | Devuelve si existe en el resultado JSON. |
| supportedKernel | Devuelve si existe en el resultado JSON. |
| debugLevel | Devuelve si existe en el resultado JSON. |
| cbSensorVersion | Devuelve si existe en el resultado JSON. |
| upgradeStatus | Devuelve si existe en el resultado JSON. |
| upgradeErrorCount | Devuelve si existe en el resultado JSON. |
| upgradeErrorCount | Devuelve si existe en el resultado JSON. |
| isActive | Devuelve si existe en el resultado JSON. |
| debugFlags | Devuelve si existe en el resultado JSON. |
| agentMemoryDumps | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| lastRegisterDate | Devuelve si existe en el resultado JSON. |
| ipAddress | Devuelve si existe en el resultado JSON. |
| cbSensorId | Devuelve si existe en el resultado JSON. |
| SCEPStatus | Devuelve si existe en el resultado JSON. |
| agentCacheSize | Devuelve si existe en el resultado JSON. |
| cbSensorFlags | Devuelve si existe en el resultado JSON. |
| clVersion | Devuelve si existe en el resultado JSON. |
| osName | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupTimeScale | Devuelve si existe en el resultado JSON. |
| policyId | Devuelve si existe en el resultado JSON. |
| forceUpgrade | Devuelve si existe en el resultado JSON. |
| templateTrackModsOnly | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupTime | Devuelve si existe en el resultado JSON. |
| agentQueueSize | Devuelve si existe en el resultado JSON. |
| virtualizado | Devuelve si existe en el resultado JSON. |
| ccLevel | Devuelve si existe en el resultado JSON. |
| debugDuration | Devuelve si existe en el resultado JSON. |
| processorModel | Devuelve si existe en el resultado JSON. |
| syncFlags | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Desbloquear hash
Descripción
Desbloquear un hash en políticas específicas o de forma global.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de las políticas | Cadena | N/A | No | Separados por comas. Ejemplo: Default Policy, Local Approval Policy |
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.