Carbon Black Protection
集成版本:7.0
配置 VMware Carbon Black App Control (App Control) 以与 Google Security Operations 搭配使用
API 密钥
如需查找与特定 VMware Carbon Black App Control (App Control) 用户账号对应的 API 密钥,请完成以下步骤:
- 以管理员身份登录控制台。
- 依次选择管理 > 登录账号。
- 在列表中找到相应用户,然后点击包含其用户名的行左侧的修改按钮。
网络
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | apikey |
在 Google SecOps 中配置 Carbon Black Protection 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://x.x.x.x | 是 | VMware Carbon Black App Control (App Control) 实例的地址。 |
| API 密钥 | 字符串 | 不适用 | 是 | 在 VMware Carbon Black App Control (App Control) 的控制台中生成的 API 密钥。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
分析文件
说明
分析文件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 连接器名称 | 字符串 | 不适用 | 是 | 分析连接器的名称。示例:Palo Alto Networks |
| 优先级 | 字符串 | 不适用 | 是 | 分析的优先级(-2 到 2)。 |
| 超时 | 字符串 | 不适用 | 是 | 等待超时。示例:120 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
如果 CB Protection 检测到签名后附加了数据的 MSI 文件,则会将相应实体标记为可疑。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| computerId | 返回 JSON 结果中是否存在相应值 |
| connectorId | 返回 JSON 结果中是否存在相应值 |
| analysisStatus | 返回 JSON 结果中是否存在相应值 |
| dateCreated | 返回 JSON 结果中是否存在相应值 |
| 优先级 | 返回 JSON 结果中是否存在相应值 |
| createdByUserId | 返回 JSON 结果中是否存在相应值 |
| is_malicious | 返回 JSON 结果中是否存在相应值 |
| pathName | 返回 JSON 结果中是否存在相应值 |
| fileCatalogId | 返回 JSON 结果中是否存在相应值 |
| createdBy | 返回 JSON 结果中是否存在相应值 |
| analysisResult | 返回 JSON 结果中是否存在相应值 |
| dateModified | 返回 JSON 结果中是否存在相应值 |
| fileName | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| analysisTarget | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
块哈希
说明
在特定政策中或全局范围内屏蔽哈希。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 否 | 示例:默认政策、本地审批政策 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
更改计算机政策
说明
将计算机移至新政策。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 新政策名称。示例:默认政策 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
查找文件
说明
在多台计算机上查找文件实例。
参数
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 已执行 | 返回 JSON 结果中是否存在相应值 |
| fileName | 返回 JSON 结果中是否存在相应值 |
| computerId | 返回 JSON 结果中是否存在相应值 |
| unifiedSource | 返回 JSON 结果中是否存在相应值 |
| policyId | 返回 JSON 结果中是否存在相应值 |
| detailedLocalState | 返回 JSON 结果中是否存在相应值 |
| dateCreated | 返回 JSON 结果中是否存在相应值 |
| topLevel | 返回 JSON 结果中是否存在相应值 |
| certificateId | 返回 JSON 结果中是否存在相应值 |
| pathName | 返回 JSON 结果中是否存在相应值 |
| localState | 返回 JSON 结果中是否存在相应值 |
| initialized | 返回 JSON 结果中是否存在相应值 |
| detachedCertificateId | 返回 JSON 结果中是否存在相应值 |
| detachedPublisherId | 返回 JSON 结果中是否存在相应值 |
| fileInstanceGroupId | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| fileCatalogId | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
按文件获取电脑
说明
获取存在具有指定 SHA-256 值的文件所在的计算机。
参数
不适用
运行于
此操作在 Filehash 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
获取系统信息
说明
获取有关计算机的信息。
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| macAddress | 返回 JSON 结果中是否存在相应值 |
| systemMemoryDumps | 返回 JSON 结果中是否存在相应值 |
| policyStatusDetails | 返回 JSON 结果中是否存在相应值 |
| 优先 | 返回 JSON 结果中是否存在相应值 |
| platformId | 返回 JSON 结果中是否存在相应值 |
| upgradeErrorTime | 返回 JSON 结果中是否存在相应值 |
| tdCount | 返回 JSON 结果中是否存在相应值 |
| hasDuplicates | 返回 JSON 结果中是否存在相应值 |
| disconnectedEnforcementLevel | 返回 JSON 结果中是否存在相应值 |
| hasHealthCheckErrors | 返回 JSON 结果中是否存在相应值 |
| syncPercent | 返回 JSON 结果中是否存在相应值 |
| agentVersion | 返回 JSON 结果中是否存在相应值 |
| activeDebugLevel | 返回 JSON 结果中是否存在相应值 |
| templateCloneCleanupMode | 返回 JSON 结果中是否存在相应值 |
| processorCount | 返回 JSON 结果中是否存在相应值 |
| kernelDebugLevel | 返回 JSON 结果中是否存在相应值 |
| refreshFlags | 返回 JSON 结果中是否存在相应值 |
| activeKernelDebugLevel | 返回 JSON 结果中是否存在相应值 |
| 用户 | 返回 JSON 结果中是否存在相应值 |
| policyName | 返回 JSON 结果中是否存在相应值 |
| enforcementLevel | 返回 JSON 结果中是否存在相应值 |
| templateDate | 返回 JSON 结果中是否存在相应值 |
| previousPolicyId | 返回 JSON 结果中是否存在相应值 |
| memorySize | 返回 JSON 结果中是否存在相应值 |
| machineModel | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| policyStatus | 返回 JSON 结果中是否存在相应值 |
| processorSpeed | 返回 JSON 结果中是否存在相应值 |
| ccFlags | 返回 JSON 结果中是否存在相应值 |
| 模板 | 返回 JSON 结果中是否存在相应值 |
| 正在初始化 | 返回 JSON 结果中是否存在相应值 |
| initPercent | 返回 JSON 结果中是否存在相应值 |
| 已卸载 | 返回 JSON 结果中是否存在相应值 |
| computerTag | 返回 JSON 结果中是否存在相应值 |
| templateComputerId | 返回 JSON 结果中是否存在相应值 |
| initPercent | 返回 JSON 结果中是否存在相应值 |
| 已卸载 | 返回 JSON 结果中是否存在相应值 |
| computerTag | 返回 JSON 结果中是否存在相应值 |
| templateComputerId | 返回 JSON 结果中是否存在相应值 |
| daysOffline | 返回 JSON 结果中是否存在相应值 |
| upgradeError | 返回 JSON 结果中是否存在相应值 |
| automaticPolicy | 返回 JSON 结果中是否存在相应值 |
| 说明 | 返回 JSON 结果中是否存在相应值 |
| osShortName | 返回 JSON 结果中是否存在相应值 |
| 已删除 | 返回 JSON 结果中是否存在相应值 |
| localApproval | 返回 JSON 结果中是否存在相应值 |
| tamperProtectionActive | 返回 JSON 结果中是否存在相应值 |
| lastPollDate | 返回 JSON 结果中是否存在相应值 |
| activeDebugFlags | 返回 JSON 结果中是否存在相应值 |
| CLIPassword | 返回 JSON 结果中是否存在相应值 |
| dateCreated | 返回 JSON 结果中是否存在相应值 |
| virtualPlatform | 返回 JSON 结果中是否存在相应值 |
| 已连接 | 返回 JSON 结果中是否存在相应值 |
| supportedKernel | 返回 JSON 结果中是否存在相应值 |
| debugLevel | 返回 JSON 结果中是否存在相应值 |
| cbSensorVersion | 返回 JSON 结果中是否存在相应值 |
| upgradeStatus | 返回 JSON 结果中是否存在相应值 |
| upgradeErrorCount | 返回 JSON 结果中是否存在相应值 |
| upgradeErrorCount | 返回 JSON 结果中是否存在相应值 |
| isActive | 返回 JSON 结果中是否存在相应值 |
| debugFlags | 返回 JSON 结果中是否存在相应值 |
| agentMemoryDumps | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| lastRegisterDate | 返回 JSON 结果中是否存在相应值 |
| ipAddress | 返回 JSON 结果中是否存在相应值 |
| cbSensorId | 返回 JSON 结果中是否存在相应值 |
| SCEPStatus | 返回 JSON 结果中是否存在相应值 |
| agentCacheSize | 返回 JSON 结果中是否存在相应值 |
| cbSensorFlags | 返回 JSON 结果中是否存在相应值 |
| clVersion | 返回 JSON 结果中是否存在相应值 |
| osName | 返回 JSON 结果中是否存在相应值 |
| templateCloneCleanupTimeScale | 返回 JSON 结果中是否存在相应值 |
| policyId | 返回 JSON 结果中是否存在相应值 |
| forceUpgrade | 返回 JSON 结果中是否存在相应值 |
| templateTrackModsOnly | 返回 JSON 结果中是否存在相应值 |
| templateCloneCleanupTime | 返回 JSON 结果中是否存在相应值 |
| agentQueueSize | 返回 JSON 结果中是否存在相应值 |
| 虚拟化 | 返回 JSON 结果中是否存在相应值 |
| ccLevel | 返回 JSON 结果中是否存在相应值 |
| debugDuration | 返回 JSON 结果中是否存在相应值 |
| processorModel | 返回 JSON 结果中是否存在相应值 |
| syncFlags | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
说明
测试连接性。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
取消屏蔽哈希
说明
在特定政策或全局范围内解除对哈希的屏蔽。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 否 | 以英文逗号分隔。示例:默认政策、本地审批政策 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。