Perlindungan Carbon Black
Versi integrasi: 7.0
Mengonfigurasi VMware Carbon Black App Control (App Control) agar berfungsi dengan Google Security Operations
Kunci API
Untuk menemukan kunci API yang sesuai dengan akun pengguna VMware Carbon Black App Control (App Control) tertentu, selesaikan langkah-langkah berikut:
- Login ke konsol sebagai administrator.
- Pilih Administrasi > Akun Login.
- Temukan pengguna dalam daftar, lalu klik tombol Edit di sisi kiri baris yang berisi nama penggunanya.
Jaringan
| Fungsi | Port Default | Arah | Protokol |
|---|---|---|---|
| API | Multinilai | Keluar | apikey |
Mengonfigurasi integrasi Carbon Black Protection di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://x.x.x.x | Ya | Alamat instance VMware Carbon Black App Control (App Control). |
| Kunci API | String | T/A | Ya | Kunci API yang dibuat di konsol VMware Carbon Black App Control (App Control). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Menganalisis File
Deskripsi
Menganalisis file.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Konektor | String | T/A | Ya | Nama konektor analisis. Contoh: Palo Alto Networks |
| Prioritas | String | T/A | Ya | Prioritas analisis (-2 hingga 2). |
| Waktu habis | String | T/A | Ya | Waktu tunggu habis. Contoh: 120 |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai mencurigakan jika CB Protection mendeteksi file MSI yang memiliki data yang ditambahkan setelah tanda tangan.
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| computerId | Menampilkan apakah ada di hasil JSON |
| connectorId | Menampilkan apakah ada di hasil JSON |
| analysisStatus | Menampilkan apakah ada di hasil JSON |
| dateCreated | Menampilkan apakah ada di hasil JSON |
| priority | Menampilkan apakah ada di hasil JSON |
| createdByUserId | Menampilkan apakah ada di hasil JSON |
| is_malicious | Menampilkan apakah ada di hasil JSON |
| pathName | Menampilkan apakah ada di hasil JSON |
| fileCatalogId | Menampilkan apakah ada di hasil JSON |
| createdBy | Menampilkan apakah ada di hasil JSON |
| analysisResult | Menampilkan apakah ada di hasil JSON |
| dateModified | Menampilkan apakah ada di hasil JSON |
| fileName | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| analysisTarget | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash Blok
Deskripsi
Memblokir hash pada kebijakan tertentu atau secara global.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Tidak | Contoh: Kebijakan Default, Kebijakan Persetujuan Lokal |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Mengubah Kebijakan Komputer
Deskripsi
Memindahkan komputer ke kebijakan baru.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Ya | Nama kebijakan baru. Contoh: Kebijakan Default |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Menemukan File
Deskripsi
Menemukan instance file di beberapa komputer.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| dijalankan | Menampilkan apakah ada di hasil JSON |
| fileName | Menampilkan apakah ada di hasil JSON |
| computerId | Menampilkan apakah ada di hasil JSON |
| unifiedSource | Menampilkan apakah ada di hasil JSON |
| policyId | Menampilkan apakah ada di hasil JSON |
| detailedLocalState | Menampilkan apakah ada di hasil JSON |
| dateCreated | Menampilkan apakah ada di hasil JSON |
| topLevel | Menampilkan apakah ada di hasil JSON |
| certificateId | Menampilkan apakah ada di hasil JSON |
| pathName | Menampilkan apakah ada di hasil JSON |
| localState | Menampilkan apakah ada di hasil JSON |
| diinisialisasi | Menampilkan apakah ada di hasil JSON |
| detachedCertificateId | Menampilkan apakah ada di hasil JSON |
| detachedPublisherId | Menampilkan apakah ada di hasil JSON |
| fileInstanceGroupId | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| fileCatalogId | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
Mendapatkan Komputer menurut File
Deskripsi
Mendapatkan komputer yang memiliki file dengan nilai SHA-256 tertentu.
Parameter
T/A
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Mendapatkan Info Sistem
Deskripsi
Mendapatkan informasi tentang komputer.
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| macAddress | Menampilkan apakah ada di hasil JSON |
| systemMemoryDumps | Menampilkan apakah ada di hasil JSON |
| policyStatusDetails | Menampilkan apakah ada di hasil JSON |
| diprioritaskan | Menampilkan apakah ada di hasil JSON |
| platformId | Menampilkan apakah ada di hasil JSON |
| upgradeErrorTime | Menampilkan apakah ada di hasil JSON |
| tdCount | Menampilkan apakah ada di hasil JSON |
| hasDuplicates | Menampilkan apakah ada di hasil JSON |
| disconnectedEnforcementLevel | Menampilkan apakah ada di hasil JSON |
| hasHealthCheckErrors | Menampilkan apakah ada di hasil JSON |
| syncPercent | Menampilkan apakah ada di hasil JSON |
| agentVersion | Menampilkan apakah ada di hasil JSON |
| activeDebugLevel | Menampilkan apakah ada di hasil JSON |
| templateCloneCleanupMode | Menampilkan apakah ada di hasil JSON |
| processorCount | Menampilkan apakah ada di hasil JSON |
| kernelDebugLevel | Menampilkan apakah ada di hasil JSON |
| refreshFlags | Menampilkan apakah ada di hasil JSON |
| activeKernelDebugLevel | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
| policyName | Menampilkan apakah ada di hasil JSON |
| enforcementLevel | Menampilkan apakah ada di hasil JSON |
| templateDate | Menampilkan apakah ada di hasil JSON |
| previousPolicyId | Menampilkan apakah ada di hasil JSON |
| memorySize | Menampilkan apakah ada di hasil JSON |
| machineModel | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| policyStatus | Menampilkan apakah ada di hasil JSON |
| processorSpeed | Menampilkan apakah ada di hasil JSON |
| ccFlags | Menampilkan apakah ada di hasil JSON |
| template | Menampilkan apakah ada di hasil JSON |
| menginisialisasi | Menampilkan apakah ada di hasil JSON |
| initPercent | Menampilkan apakah ada di hasil JSON |
| di-uninstal | Menampilkan apakah ada di hasil JSON |
| computerTag | Menampilkan apakah ada di hasil JSON |
| templateComputerId | Menampilkan apakah ada di hasil JSON |
| initPercent | Menampilkan apakah ada di hasil JSON |
| di-uninstal | Menampilkan apakah ada di hasil JSON |
| computerTag | Menampilkan apakah ada di hasil JSON |
| templateComputerId | Menampilkan apakah ada di hasil JSON |
| daysOffline | Menampilkan apakah ada di hasil JSON |
| upgradeError | Menampilkan apakah ada di hasil JSON |
| automaticPolicy | Menampilkan apakah ada di hasil JSON |
| deskripsi | Menampilkan apakah ada di hasil JSON |
| osShortName | Menampilkan apakah ada di hasil JSON |
| dihapus | Menampilkan apakah ada di hasil JSON |
| localApproval | Menampilkan apakah ada di hasil JSON |
| tamperProtectionActive | Menampilkan apakah ada di hasil JSON |
| lastPollDate | Menampilkan apakah ada di hasil JSON |
| activeDebugFlags | Menampilkan apakah ada di hasil JSON |
| CLIPassword | Menampilkan apakah ada di hasil JSON |
| dateCreated | Menampilkan apakah ada di hasil JSON |
| virtualPlatform | Menampilkan apakah ada di hasil JSON |
| terhubung | Menampilkan apakah ada di hasil JSON |
| supportedKernel | Menampilkan apakah ada di hasil JSON |
| debugLevel | Menampilkan apakah ada di hasil JSON |
| cbSensorVersion | Menampilkan apakah ada di hasil JSON |
| upgradeStatus | Menampilkan apakah ada di hasil JSON |
| upgradeErrorCount | Menampilkan apakah ada di hasil JSON |
| upgradeErrorCount | Menampilkan apakah ada di hasil JSON |
| isActive | Menampilkan apakah ada di hasil JSON |
| debugFlags | Menampilkan apakah ada di hasil JSON |
| agentMemoryDumps | Menampilkan apakah ada di hasil JSON |
| nama | Menampilkan apakah ada di hasil JSON |
| lastRegisterDate | Menampilkan apakah ada di hasil JSON |
| ipAddress | Menampilkan apakah ada di hasil JSON |
| cbSensorId | Menampilkan apakah ada di hasil JSON |
| SCEPStatus | Menampilkan apakah ada di hasil JSON |
| agentCacheSize | Menampilkan apakah ada di hasil JSON |
| cbSensorFlags | Menampilkan apakah ada di hasil JSON |
| clVersion | Menampilkan apakah ada di hasil JSON |
| osName | Menampilkan apakah ada di hasil JSON |
| templateCloneCleanupTimeScale | Menampilkan apakah ada di hasil JSON |
| policyId | Menampilkan apakah ada di hasil JSON |
| forceUpgrade | Menampilkan apakah ada di hasil JSON |
| templateTrackModsOnly | Menampilkan apakah ada di hasil JSON |
| templateCloneCleanupTime | Menampilkan apakah ada di hasil JSON |
| agentQueueSize | Menampilkan apakah ada di hasil JSON |
| tervirtualisasi | Menampilkan apakah ada di hasil JSON |
| ccLevel | Menampilkan apakah ada di hasil JSON |
| debugDuration | Menampilkan apakah ada di hasil JSON |
| processorModel | Menampilkan apakah ada di hasil JSON |
| syncFlags | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
Deskripsi
Uji konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hash Berhenti Memblokir
Deskripsi
Membuka blokir hash pada kebijakan tertentu atau secara global.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kebijakan | String | T/A | Tidak | Dipisahkan dengan koma. Contoh: Kebijakan Default, Kebijakan Persetujuan Lokal |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.