Proteção do Carbon Black
Versão da integração: 7.0
Configurar o VMware Carbon Black App Control (App Control) para trabalhar com as Operações de segurança do Google
Chave de API
Para encontrar uma chave de API correspondente a uma conta de usuário específica do VMware Carbon Black App Control (App Control), siga estas etapas:
- Faça login no console como administrador.
- Selecione Administração > Contas de login.
- Encontre o usuário na lista e clique no botão Editar à esquerda da linha que contém o nome de usuário dele.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Configurar a integração do Carbon Black Protection no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://x.x.x.x | Sim | O endereço da instância do VMware Carbon Black App Control (App Control). |
| Chave da API | String | N/A | Sim | Chave de API gerada no console do VMware Carbon Black App Control (App Control). |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Analisar arquivo
Descrição
Analise um arquivo.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do conector | String | N/A | Sim | O nome do conector de análise. Exemplo: Palo Alto Networks |
| Prioridade | String | N/A | Sim | A prioridade da análise (-2 a 2). |
| Tempo limite | String | N/A | Sim | Tempo limite de espera. Exemplo: 120 |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
Uma entidade é marcada como suspeita se a proteção do CB detectar um arquivo MSI que tenha dados anexados após a assinatura.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| computerId | Retorna se ele existe no resultado JSON |
| connectorId | Retorna se ele existe no resultado JSON |
| analysisStatus | Retorna se ele existe no resultado JSON |
| dateCreated | Retorna se ele existe no resultado JSON |
| prioridade | Retorna se ele existe no resultado JSON |
| createdByUserId | Retorna se ele existe no resultado JSON |
| is_malicious | Retorna se ele existe no resultado JSON |
| pathName | Retorna se ele existe no resultado JSON |
| fileCatalogId | Retorna se ele existe no resultado JSON |
| createdBy | Retorna se ele existe no resultado JSON |
| analysisResult | Retorna se ele existe no resultado JSON |
| dateModified | Retorna se ele existe no resultado JSON |
| fileName | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| analysisTarget | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash de bloco
Descrição
Bloquear um hash em políticas específicas ou globalmente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de políticas | String | N/A | Não | Exemplo: política padrão, política de aprovação local |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Mudar política de computador
Descrição
Mover um computador para uma nova política.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | O nome da nova política. Exemplo: política padrão |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Encontrar arquivo
Descrição
Encontrar uma instância de arquivo em vários computadores.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| executado | Retorna se ele existe no resultado JSON |
| fileName | Retorna se ele existe no resultado JSON |
| computerId | Retorna se ele existe no resultado JSON |
| unifiedSource | Retorna se ele existe no resultado JSON |
| policyId | Retorna se ele existe no resultado JSON |
| detailedLocalState | Retorna se ele existe no resultado JSON |
| dateCreated | Retorna se ele existe no resultado JSON |
| topLevel | Retorna se ele existe no resultado JSON |
| certificateId | Retorna se ele existe no resultado JSON |
| pathName | Retorna se ele existe no resultado JSON |
| localState | Retorna se ele existe no resultado JSON |
| inicializada | Retorna se ele existe no resultado JSON |
| detachedCertificateId | Retorna se ele existe no resultado JSON |
| detachedPublisherId | Retorna se ele existe no resultado JSON |
| fileInstanceGroupId | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| fileCatalogId | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
GetComputersByFile
Descrição
Recebe os computadores em que um arquivo com o valor SHA-256 especificado existe.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Receber informações do sistema
Descrição
Receber informações sobre um computador.
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| macAddress | Retorna se ele existe no resultado JSON |
| systemMemoryDumps | Retorna se ele existe no resultado JSON |
| policyStatusDetails | Retorna se ele existe no resultado JSON |
| priorizada | Retorna se ele existe no resultado JSON |
| platformId | Retorna se ele existe no resultado JSON |
| upgradeErrorTime | Retorna se ele existe no resultado JSON |
| tdCount | Retorna se ele existe no resultado JSON |
| hasDuplicates | Retorna se ele existe no resultado JSON |
| disconnectedEnforcementLevel | Retorna se ele existe no resultado JSON |
| hasHealthCheckErrors | Retorna se ele existe no resultado JSON |
| syncPercent | Retorna se ele existe no resultado JSON |
| agentVersion | Retorna se ele existe no resultado JSON |
| activeDebugLevel | Retorna se ele existe no resultado JSON |
| templateCloneCleanupMode | Retorna se ele existe no resultado JSON |
| processorCount | Retorna se ele existe no resultado JSON |
| kernelDebugLevel | Retorna se ele existe no resultado JSON |
| refreshFlags | Retorna se ele existe no resultado JSON |
| activeKernelDebugLevel | Retorna se ele existe no resultado JSON |
| usuários | Retorna se ele existe no resultado JSON |
| policyName | Retorna se ele existe no resultado JSON |
| enforcementLevel | Retorna se ele existe no resultado JSON |
| templateDate | Retorna se ele existe no resultado JSON |
| previousPolicyId | Retorna se ele existe no resultado JSON |
| memorySize | Retorna se ele existe no resultado JSON |
| machineModel | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| policyStatus | Retorna se ele existe no resultado JSON |
| processorSpeed | Retorna se ele existe no resultado JSON |
| ccFlags | Retorna se ele existe no resultado JSON |
| modelo | Retorna se ele existe no resultado JSON |
| inicializando | Retorna se ele existe no resultado JSON |
| initPercent | Retorna se ele existe no resultado JSON |
| desinstalado | Retorna se ele existe no resultado JSON |
| computerTag | Retorna se ele existe no resultado JSON |
| templateComputerId | Retorna se ele existe no resultado JSON |
| initPercent | Retorna se ele existe no resultado JSON |
| desinstalado | Retorna se ele existe no resultado JSON |
| computerTag | Retorna se ele existe no resultado JSON |
| templateComputerId | Retorna se ele existe no resultado JSON |
| daysOffline | Retorna se ele existe no resultado JSON |
| upgradeError | Retorna se ele existe no resultado JSON |
| automaticPolicy | Retorna se ele existe no resultado JSON |
| descrição | Retorna se ele existe no resultado JSON |
| osShortName | Retorna se ele existe no resultado JSON |
| excluído | Retorna se ele existe no resultado JSON |
| localApproval | Retorna se ele existe no resultado JSON |
| tamperProtectionActive | Retorna se ele existe no resultado JSON |
| lastPollDate | Retorna se ele existe no resultado JSON |
| activeDebugFlags | Retorna se ele existe no resultado JSON |
| CLIPassword | Retorna se ele existe no resultado JSON |
| dateCreated | Retorna se ele existe no resultado JSON |
| virtualPlatform | Retorna se ele existe no resultado JSON |
| conectado | Retorna se ele existe no resultado JSON |
| supportedKernel | Retorna se ele existe no resultado JSON |
| debugLevel | Retorna se ele existe no resultado JSON |
| cbSensorVersion | Retorna se ele existe no resultado JSON |
| upgradeStatus | Retorna se ele existe no resultado JSON |
| upgradeErrorCount | Retorna se ele existe no resultado JSON |
| upgradeErrorCount | Retorna se ele existe no resultado JSON |
| isActive | Retorna se ele existe no resultado JSON |
| debugFlags | Retorna se ele existe no resultado JSON |
| agentMemoryDumps | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| lastRegisterDate | Retorna se ele existe no resultado JSON |
| ipAddress | Retorna se ele existe no resultado JSON |
| cbSensorId | Retorna se ele existe no resultado JSON |
| SCEPStatus | Retorna se ele existe no resultado JSON |
| agentCacheSize | Retorna se ele existe no resultado JSON |
| cbSensorFlags | Retorna se ele existe no resultado JSON |
| clVersion | Retorna se ele existe no resultado JSON |
| osName | Retorna se ele existe no resultado JSON |
| templateCloneCleanupTimeScale | Retorna se ele existe no resultado JSON |
| policyId | Retorna se ele existe no resultado JSON |
| forceUpgrade | Retorna se ele existe no resultado JSON |
| templateTrackModsOnly | Retorna se ele existe no resultado JSON |
| templateCloneCleanupTime | Retorna se ele existe no resultado JSON |
| agentQueueSize | Retorna se ele existe no resultado JSON |
| virtualizado | Retorna se ele existe no resultado JSON |
| ccLevel | Retorna se ele existe no resultado JSON |
| debugDuration | Retorna se ele existe no resultado JSON |
| processorModel | Retorna se ele existe no resultado JSON |
| syncFlags | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Hash de desbloqueio
Descrição
Desbloquear um hash em políticas específicas ou globalmente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de políticas | String | N/A | Não | Separados por vírgulas. Exemplo: política padrão, política de aprovação local |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.