Carbon Black Protection
統合バージョン: 7.0
Google Security Operations と連携するように VMware Carbon Black App Control(App Control)を構成する
API キー
特定の VMware Carbon Black App Control(App Control)ユーザー アカウントに対応する API キーを見つけるには、次の手順を行います。
- 管理者としてコンソールにログインします。
- [Administration] > [Login Accounts] を選択します。
- リストでユーザーを見つけ、ユーザー名を含む行の左側にある [編集] ボタンをクリックします。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
Google SecOps で Carbon Black Protection の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://x.x.x.x | はい | VMware Carbon Black App Control(App Control)インスタンスのアドレス。 |
| API キー | 文字列 | なし | はい | VMware Carbon Black App Control(App Control)のコンソールで生成された API キー。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
ファイルを分析
説明
ファイルを分析します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コネクタ名 | 文字列 | なし | はい | 分析コネクタの名前。例: Palo Alto Networks |
| 優先度 | 文字列 | なし | はい | 分析の優先度(-2 ~ 2)。 |
| タイムアウト | 文字列 | なし | はい | 待機タイムアウト。例: 120 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
署名の後にデータが追加された MSI ファイルが CB Protection によって検出された場合、エンティティは不審としてマークされます。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| computerId | JSON の結果に存在する場合に返す |
| connectorId | JSON の結果に存在する場合に返す |
| analysisStatus | JSON の結果に存在する場合に返す |
| dateCreated | JSON の結果に存在する場合に返す |
| priority | JSON の結果に存在する場合に返す |
| createdByUserId | JSON の結果に存在する場合に返す |
| is_malicious | JSON の結果に存在する場合に返す |
| pathName | JSON の結果に存在する場合に返す |
| fileCatalogId | JSON の結果に存在する場合に返す |
| createdBy | JSON の結果に存在する場合に返す |
| analysisResult | JSON の結果に存在する場合に返す |
| dateModified | JSON の結果に存在する場合に返す |
| fileName | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| analysisTarget | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
ブロック ハッシュ
説明
特定のポリシーまたはグローバルでハッシュをブロックします。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | いいえ | 例: デフォルト ポリシー、ローカル承認ポリシー |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
コンピュータ ポリシーを変更する
説明
パソコンを新しいポリシーに移動する。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | はい | 新しいポリシー名。例: デフォルトのポリシー |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
Find File
説明
複数のパソコンでファイル インスタンスを見つけます。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 実行済み | JSON の結果に存在する場合に返す |
| fileName | JSON の結果に存在する場合に返す |
| computerId | JSON の結果に存在する場合に返す |
| unifiedSource | JSON の結果に存在する場合に返す |
| policyId | JSON の結果に存在する場合に返す |
| detailedLocalState | JSON の結果に存在する場合に返す |
| dateCreated | JSON の結果に存在する場合に返す |
| topLevel | JSON の結果に存在する場合に返す |
| certificateId | JSON の結果に存在する場合に返す |
| pathName | JSON の結果に存在する場合に返す |
| localState | JSON の結果に存在する場合に返す |
| 初期化済み | JSON の結果に存在する場合に返す |
| detachedCertificateId | JSON の結果に存在する場合に返す |
| detachedPublisherId | JSON の結果に存在する場合に返す |
| fileInstanceGroupId | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| fileCatalogId | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
ファイルでコンピュータを取得する
説明
指定された SHA-256 値を持つファイルが存在するパソコンを取得します。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
システム情報を取得する
説明
パソコンに関する情報を取得します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| macAddress | JSON の結果に存在する場合に返す |
| systemMemoryDumps | JSON の結果に存在する場合に返す |
| policyStatusDetails | JSON の結果に存在する場合に返す |
| 優先順位付け | JSON の結果に存在する場合に返す |
| platformId | JSON の結果に存在する場合に返す |
| upgradeErrorTime | JSON の結果に存在する場合に返す |
| tdCount | JSON の結果に存在する場合に返す |
| hasDuplicates | JSON の結果に存在する場合に返す |
| disconnectedEnforcementLevel | JSON の結果に存在する場合に返す |
| hasHealthCheckErrors | JSON の結果に存在する場合に返す |
| syncPercent | JSON の結果に存在する場合に返す |
| agentVersion | JSON の結果に存在する場合に返す |
| activeDebugLevel | JSON の結果に存在する場合に返す |
| templateCloneCleanupMode | JSON の結果に存在する場合に返す |
| processorCount | JSON の結果に存在する場合に返す |
| kernelDebugLevel | JSON の結果に存在する場合に返す |
| refreshFlags | JSON の結果に存在する場合に返す |
| activeKernelDebugLevel | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
| policyName | JSON の結果に存在する場合に返す |
| enforcementLevel | JSON の結果に存在する場合に返す |
| templateDate | JSON の結果に存在する場合に返す |
| previousPolicyId | JSON の結果に存在する場合に返す |
| memorySize | JSON の結果に存在する場合に返す |
| machineModel | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| policyStatus | JSON の結果に存在する場合に返す |
| processorSpeed | JSON の結果に存在する場合に返す |
| ccFlags | JSON の結果に存在する場合に返す |
| テンプレート | JSON の結果に存在する場合に返す |
| 初期化中 | JSON の結果に存在する場合に返す |
| initPercent | JSON の結果に存在する場合に返す |
| アンインストール済み | JSON の結果に存在する場合に返す |
| computerTag | JSON の結果に存在する場合に返す |
| templateComputerId | JSON の結果に存在する場合に返す |
| initPercent | JSON の結果に存在する場合に返す |
| アンインストール済み | JSON の結果に存在する場合に返す |
| computerTag | JSON の結果に存在する場合に返す |
| templateComputerId | JSON の結果に存在する場合に返す |
| daysOffline | JSON の結果に存在する場合に返す |
| upgradeError | JSON の結果に存在する場合に返す |
| automaticPolicy | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| osShortName | JSON の結果に存在する場合に返す |
| 削除 | JSON の結果に存在する場合に返す |
| localApproval | JSON の結果に存在する場合に返す |
| tamperProtectionActive | JSON の結果に存在する場合に返す |
| lastPollDate | JSON の結果に存在する場合に返す |
| activeDebugFlags | JSON の結果に存在する場合に返す |
| CLIPassword | JSON の結果に存在する場合に返す |
| dateCreated | JSON の結果に存在する場合に返す |
| virtualPlatform | JSON の結果に存在する場合に返す |
| 接続されています | JSON の結果に存在する場合に返す |
| supportedKernel | JSON の結果に存在する場合に返す |
| debugLevel | JSON の結果に存在する場合に返す |
| cbSensorVersion | JSON の結果に存在する場合に返す |
| upgradeStatus | JSON の結果に存在する場合に返す |
| upgradeErrorCount | JSON の結果に存在する場合に返す |
| upgradeErrorCount | JSON の結果に存在する場合に返す |
| isActive | JSON の結果に存在する場合に返す |
| debugFlags | JSON の結果に存在する場合に返す |
| agentMemoryDumps | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| lastRegisterDate | JSON の結果に存在する場合に返す |
| ipAddress | JSON の結果に存在する場合に返す |
| cbSensorId | JSON の結果に存在する場合に返す |
| SCEPStatus | JSON の結果に存在する場合に返す |
| agentCacheSize | JSON の結果に存在する場合に返す |
| cbSensorFlags | JSON の結果に存在する場合に返す |
| clVersion | JSON の結果に存在する場合に返す |
| osName | JSON の結果に存在する場合に返す |
| templateCloneCleanupTimeScale | JSON の結果に存在する場合に返す |
| policyId | JSON の結果に存在する場合に返す |
| forceUpgrade | JSON の結果に存在する場合に返す |
| templateTrackModsOnly | JSON の結果に存在する場合に返す |
| templateCloneCleanupTime | JSON の結果に存在する場合に返す |
| agentQueueSize | JSON の結果に存在する場合に返す |
| 仮想化された | JSON の結果に存在する場合に返す |
| ccLevel | JSON の結果に存在する場合に返す |
| debugDuration | JSON の結果に存在する場合に返す |
| processorModel | JSON の結果に存在する場合に返す |
| syncFlags | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
ハッシュのブロックを解除する
説明
特定のポリシーまたはグローバルでハッシュのブロックを解除します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | いいえ | カンマで区切ります。例: デフォルト ポリシー、ローカル承認ポリシー |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。