本頁面由 Cloud Translation API 翻譯而成。

Carbon Black Protection

整合版本：7.0

設定 VMware Carbon Black App Control (App Control)，以便與 Google Security Operations 搭配使用

API 金鑰

如要找出與特定 VMware Carbon Black App Control (App Control) 使用者帳戶對應的 API 金鑰，請完成下列步驟：

以管理員身分登入控制台。
依序選取「管理」 >「登入帳戶」。
在清單中找出使用者，然後按一下使用者名稱所在資料列左側的「編輯」按鈕。

網路

函式	預設通訊埠	方向	通訊協定
API	多個值	傳出	apikey

在 Google SecOps 中設定 Carbon Black Protection 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
執行個體名稱	字串	不適用	否	您要設定整合的執行個體名稱。
說明	字串	不適用	否	執行個體的說明。
API 根目錄	字串	https://x.x.x.x	是	VMware Carbon Black App Control (App Control) 執行個體的位址。
API 金鑰	字串	不適用	是	在 VMware Carbon Black App Control (App Control) 的控制台中產生的 API 金鑰。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

分析檔案

說明

分析檔案。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
連接器名稱	字串	不適用	是	分析連接器的名稱。範例：Palo Alto Networks
優先順序	字串	不適用	是	分析的優先順序 (-2 到 2)。
逾時	字串	不適用	是	等待逾時。範例：120

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充

如果 CB Protection 偵測到 MSI 檔案在簽章後附加資料，就會將實體標示為可疑。

補充資料欄位名稱	邏輯 - 適用時機
computerId	如果 JSON 結果中存在該值，則傳回該值
connectorId	如果 JSON 結果中存在該值，則傳回該值
analysisStatus	如果 JSON 結果中存在該值，則傳回該值
dateCreated	如果 JSON 結果中存在該值，則傳回該值
優先順序	如果 JSON 結果中存在該值，則傳回該值
createdByUserId	如果 JSON 結果中存在該值，則傳回該值
is_malicious	如果 JSON 結果中存在該值，則傳回該值
pathName	如果 JSON 結果中存在該值，則傳回該值
fileCatalogId	如果 JSON 結果中存在該值，則傳回該值
createdBy	如果 JSON 結果中存在該值，則傳回該值
analysisResult	如果 JSON 結果中存在該值，則傳回該值
dateModified	如果 JSON 結果中存在該值，則傳回該值
fileName	如果 JSON 結果中存在該值，則傳回該值
id	如果 JSON 結果中存在該值，則傳回該值
analysisTarget	如果 JSON 結果中存在該值，則傳回該值

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

JSON 結果

[{
    "EntityResult":
        {
          "computerId": 1,
          "connectorId": 2,
          "analysisStatus": 0,
          "dateCreated": "2019-01-17T09:17:41.663Z",
          "priority": 0,
          "createdByUserId": 0,
          "is_malicious": "True",
          "pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
          "fileCatalogId": 23718,
          "createdBy": "admin",
          "analysisResult": 0,
          "dateModified": "2019-01-17T09:30:28.053Z",
          "fileName": "iexpress.exe",
          "id": 17,
          "analysisTarget": ""
         },
     "Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]

區塊雜湊

說明

在特定政策或全域封鎖雜湊值。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
政策名稱	字串	不適用	否	範例：預設政策、本機核准政策

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

變更電腦政策

說明

將電腦移至新原則。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
政策名稱	字串	不適用	是	新政策名稱。範例：預設政策

執行時間

這項動作會對下列實體執行：

IP 位址
主機名稱

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

尋找檔案

說明

在多部電腦上尋找檔案執行個體。

參數

不適用

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充

補充資料欄位名稱	邏輯 - 適用時機
已執行	如果 JSON 結果中存在該值，則傳回該值
fileName	如果 JSON 結果中存在該值，則傳回該值
computerId	如果 JSON 結果中存在該值，則傳回該值
unifiedSource	如果 JSON 結果中存在該值，則傳回該值
policyId	如果 JSON 結果中存在該值，則傳回該值
detailedLocalState	如果 JSON 結果中存在該值，則傳回該值
dateCreated	如果 JSON 結果中存在該值，則傳回該值
topLevel	如果 JSON 結果中存在該值，則傳回該值
certificateId	如果 JSON 結果中存在該值，則傳回該值
pathName	如果 JSON 結果中存在該值，則傳回該值
localState	如果 JSON 結果中存在該值，則傳回該值
已初始化	如果 JSON 結果中存在該值，則傳回該值
detachedCertificateId	如果 JSON 結果中存在該值，則傳回該值
detachedPublisherId	如果 JSON 結果中存在該值，則傳回該值
fileInstanceGroupId	如果 JSON 結果中存在該值，則傳回該值
id	如果 JSON 結果中存在該值，則傳回該值
fileCatalogId	如果 JSON 結果中存在該值，則傳回該值

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

JSON 結果

[{
   "executed": "true",
   "fileName": "iexpress.exe",
   "computerId": 1,
   "unifiedSource": "null",
   "policyId": 1,
   "detailedLocalState": 3,
   "dateCreated": "2018-05-29T10:09:27Z",
   "topLevel": "false",
   "certificateId": 0,
   "pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
   "localState": 3,
   "initialized": "true",
   "detachedCertificateId": 33,
   "detachedPublisherId": 8,
   "fileInstanceGroupId": 1,
   "id": 37372,
   "fileCatalogId": 23718
}]

依檔案取得電腦

說明

取得含有指定 SHA-256 值的檔案所在的電腦。

參數

不適用

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

JSON 結果

[
    {
        "EntityResult": "00:50:56:11:22:33",
        "Entity": "macAddress"
    }, {
        "EntityResult": 0,
        "Entity": "systemMemoryDumps"
    }, {
        "EntityResult": "Agent did not receive all the rules yet",
        "Entity": "policyStatusDetails"
    }, {
        "EntityResult": "False",
        "Entity": "prioritized"
    }, {
        "EntityResult": 1,
        "Entity": "platformId"
    }, {
        "EntityResult": "None",
        "Entity": "upgradeErrorTime"
    }, {
        "EntityResult": 0,
        "Entity": "tdCount"
    }, {
        "EntityResult": "False",
        "Entity": "hasDuplicates"
    }, {
        "EntityResult": 60,
        "Entity": "disconnectedEnforcementLevel"
    }, {
        "EntityResult": "False",
        "Entity": "hasHealthCheckErrors"
    }, {
        "EntityResult": 100,
        "Entity": "syncPercent"
    }, {
        "EntityResult": 0,
        "Entity": "agentQueueSize"
    }, {
        "EntityResult": "1.1.1.1",
        "Entity": "agentVersion"
    }, {
        "EntityResult": 0,
        "Entity": "activeDebugLevel"
    }, {
        "EntityResult": "True",
        "Entity": "tamperProtectionActive"
    }, {
        "EntityResult": 0,
        "Entity": "refreshFlags"
    }, {
        "EntityResult": 0,
        "Entity": "cbSensorFlags"
    }, {
        "EntityResult": "None",
        "Entity": "templateCloneCleanupMode"
    }, {
        "EntityResult": 2,
        "Entity": "activeKernelDebugLevel"
    }, {
        "EntityResult": "None",
        "Entity": "description"
    }, {
        "EntityResult": "Default Policy",
        "Entity": "policyName"
    }, {
        "EntityResult": 60,
        "Entity": "enforcementLevel"
    }, {
        "EntityResult": "None",
        "Entity": "templateDate"
    }, {
        "EntityResult": 6,
        "Entity": "previousPolicyId"
    }, {
        "EntityResult": 8192,
        "Entity": "memorySize"
    }, {
        "EntityResult": 1212,
        "Entity": "clVersion"
    }, {
        "EntityResult": 1,
        "Entity": "id"
    }, {
        "EntityResult": "Approvals out of date",
        "Entity": "policyStatus"
    }, {
        "EntityResult": 2200.0,
        "Entity": "processorSpeed"
    }, {
        "EntityResult": 0,
        "Entity": "ccFlags"
    }, {
        "EntityResult": "False",
        "Entity": "template"
    }, {
        "EntityResult": "False",
        "Entity": "initializing"
    }, {
        "EntityResult": "False",
        "Entity": "uninstalled"
    }, {
        "EntityResult": 0,
        "Entity": "upgradeErrorCount"
    }, {
        "EntityResult": 0,
        "Entity": "templateComputerId"
    }, {
        "EntityResult": 55,
        "Entity": "daysOffline"
    }, {
        "EntityResult": "None",
        "Entity": "upgradeError"
    }, {
        "EntityResult": "False",
        "Entity": "automaticPolicy"
    }, {
        "EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
        "Entity": "users"
    }, {
        "EntityResult": "Windows Server 2012",
        "Entity": "osShortName"
    }, {
        "EntityResult": "False",
        "Entity": "deleted"
    }, {
        "EntityResult": 100,
        "Entity": "initPercent"
    }, {
        "EntityResult": "False",
        "Entity": "templateTrackModsOnly"
    }, {
        "EntityResult": 16,
        "Entity": "activeDebugFlags"
    }, {
        "EntityResult": "TEST-TEST-TEST-TEST",
        "Entity": "CLIPassword"
    }, {
        "EntityResult": "2018-05-29T10:10:19.26Z",
        "Entity": "dateCreated"
    }, {
        "EntityResult": "Yes",
        "Entity": "virtualized"
    }, {
        "EntityResult": 0,
        "Entity": "agentMemoryDumps"
    }, {
        "EntityResult": "False",
        "Entity": "connected"
    }, {
        "EntityResult": -1,
        "Entity": "debugLevel"
    }, {
        "EntityResult": "None",
        "Entity": "cbSensorVersion"
    }, {
        "EntityResult": "Up to date",
        "Entity": "upgradeStatus"
    }, {
        "EntityResult": "False",
        "Entity": "localApproval"
    }, {
        "EntityResult": "False",
        "Entity": "isActive"
    }, {
        "EntityResult": "WORKGROUP\\\\\\\\TEST",
        "Entity": "name"
    }, {
        "EntityResult": 0,
        "Entity": "debugFlags"
    }, {
        "EntityResult": "VMware",
        "Entity": "virtualPlatform"
    }, {
        "EntityResult": "None",
        "Entity": "computerTag"
    }, {
        "EntityResult": "2018-11-22T10:49:41.583Z",
        "Entity": "lastRegisterDate"
    }, {
        "EntityResult": 0,
        "Entity": "debugDuration"
    }, {
        "EntityResult": 0,
        "Entity": "cbSensorId"
    }, {
        "EntityResult": 0,
        "Entity": "SCEPStatus"
    }, {
        "EntityResult": 43432,
        "Entity": "agentCacheSize"
    }, {
        "EntityResult": 4,
        "Entity": "processorCount"
    }, {
        "EntityResult": "VMware Virtual Platform",
        "Entity": "machineModel"
    }, {
        "EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
        "Entity": "osName"
    }, {
        "EntityResult": "None",
        "Entity": "templateCloneCleanupTimeScale"
    }, {
        "EntityResult": 1,
        "Entity": "policyId"
    }, {
        "EntityResult": "False",
        "Entity": "forceUpgrade"
    }, {
        "EntityResult": "2018-11-23T21:59:12.613Z",
        "Entity": "lastPollDate"
    }, {
        "EntityResult": "None",
        "Entity": "templateCloneCleanupTime"
    }, {
        "EntityResult": "True",
        "Entity": "supportedKernel"
    }, {
        "EntityResult": 0,
        "Entity": "kernelDebugLevel"
    }, {
        "EntityResult": 0,
        "Entity": "ccLevel"
    }, {
        "EntityResult": "1.1.1.1",
        "Entity": "ipAddress"
    }, {
        "EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
        "Entity": "processorModel"
    }, {
        "EntityResult": 8,
        "Entity": "syncFlags"
    }
]

取得系統資訊

說明

取得電腦相關資訊。

執行時間

這項動作會對下列實體執行：

IP 位址
主機名稱

動作執行結果

實體擴充

補充資料欄位名稱	邏輯 - 適用時機
macAddress	如果 JSON 結果中存在該值，則傳回該值
systemMemoryDumps	如果 JSON 結果中存在該值，則傳回該值
policyStatusDetails	如果 JSON 結果中存在該值，則傳回該值
優先處理	如果 JSON 結果中存在該值，則傳回該值
platformId	如果 JSON 結果中存在該值，則傳回該值
upgradeErrorTime	如果 JSON 結果中存在該值，則傳回該值
tdCount	如果 JSON 結果中存在該值，則傳回該值
hasDuplicates	如果 JSON 結果中存在該值，則傳回該值
disconnectedEnforcementLevel	如果 JSON 結果中存在該值，則傳回該值
hasHealthCheckErrors	如果 JSON 結果中存在該值，則傳回該值
syncPercent	如果 JSON 結果中存在該值，則傳回該值
agentVersion	如果 JSON 結果中存在該值，則傳回該值
activeDebugLevel	如果 JSON 結果中存在該值，則傳回該值
templateCloneCleanupMode	如果 JSON 結果中存在該值，則傳回該值
processorCount	如果 JSON 結果中存在該值，則傳回該值
kernelDebugLevel	如果 JSON 結果中存在該值，則傳回該值
refreshFlags	如果 JSON 結果中存在該值，則傳回該值
activeKernelDebugLevel	如果 JSON 結果中存在該值，則傳回該值
使用者	如果 JSON 結果中存在該值，則傳回該值
policyName	如果 JSON 結果中存在該值，則傳回該值
enforcementLevel	如果 JSON 結果中存在該值，則傳回該值
templateDate	如果 JSON 結果中存在該值，則傳回該值
previousPolicyId	如果 JSON 結果中存在該值，則傳回該值
memorySize	如果 JSON 結果中存在該值，則傳回該值
machineModel	如果 JSON 結果中存在該值，則傳回該值
id	如果 JSON 結果中存在該值，則傳回該值
policyStatus	如果 JSON 結果中存在該值，則傳回該值
processorSpeed	如果 JSON 結果中存在該值，則傳回該值
ccFlags	如果 JSON 結果中存在該值，則傳回該值
範本	如果 JSON 結果中存在該值，則傳回該值
啟動中	如果 JSON 結果中存在該值，則傳回該值
initPercent	如果 JSON 結果中存在該值，則傳回該值
已解除安裝	如果 JSON 結果中存在該值，則傳回該值
computerTag	如果 JSON 結果中存在該值，則傳回該值
templateComputerId	如果 JSON 結果中存在該值，則傳回該值
initPercent	如果 JSON 結果中存在該值，則傳回該值
已解除安裝	如果 JSON 結果中存在該值，則傳回該值
computerTag	如果 JSON 結果中存在該值，則傳回該值
templateComputerId	如果 JSON 結果中存在該值，則傳回該值
daysOffline	如果 JSON 結果中存在該值，則傳回該值
upgradeError	如果 JSON 結果中存在該值，則傳回該值
automaticPolicy	如果 JSON 結果中存在該值，則傳回該值
說明	如果 JSON 結果中存在該值，則傳回該值
osShortName	如果 JSON 結果中存在該值，則傳回該值
已刪除	如果 JSON 結果中存在該值，則傳回該值
localApproval	如果 JSON 結果中存在該值，則傳回該值
tamperProtectionActive	如果 JSON 結果中存在該值，則傳回該值
lastPollDate	如果 JSON 結果中存在該值，則傳回該值
activeDebugFlags	如果 JSON 結果中存在該值，則傳回該值
CLIPassword	如果 JSON 結果中存在該值，則傳回該值
dateCreated	如果 JSON 結果中存在該值，則傳回該值
virtualPlatform	如果 JSON 結果中存在該值，則傳回該值
已連接	如果 JSON 結果中存在該值，則傳回該值
supportedKernel	如果 JSON 結果中存在該值，則傳回該值
debugLevel	如果 JSON 結果中存在該值，則傳回該值
cbSensorVersion	如果 JSON 結果中存在該值，則傳回該值
upgradeStatus	如果 JSON 結果中存在該值，則傳回該值
upgradeErrorCount	如果 JSON 結果中存在該值，則傳回該值
upgradeErrorCount	如果 JSON 結果中存在該值，則傳回該值
isActive	如果 JSON 結果中存在該值，則傳回該值
debugFlags	如果 JSON 結果中存在該值，則傳回該值
agentMemoryDumps	如果 JSON 結果中存在該值，則傳回該值
名稱	如果 JSON 結果中存在該值，則傳回該值
lastRegisterDate	如果 JSON 結果中存在該值，則傳回該值
ipAddress	如果 JSON 結果中存在該值，則傳回該值
cbSensorId	如果 JSON 結果中存在該值，則傳回該值
SCEPStatus	如果 JSON 結果中存在該值，則傳回該值
agentCacheSize	如果 JSON 結果中存在該值，則傳回該值
cbSensorFlags	如果 JSON 結果中存在該值，則傳回該值
clVersion	如果 JSON 結果中存在該值，則傳回該值
osName	如果 JSON 結果中存在該值，則傳回該值
templateCloneCleanupTimeScale	如果 JSON 結果中存在該值，則傳回該值
policyId	如果 JSON 結果中存在該值，則傳回該值
forceUpgrade	如果 JSON 結果中存在該值，則傳回該值
templateTrackModsOnly	如果 JSON 結果中存在該值，則傳回該值
templateCloneCleanupTime	如果 JSON 結果中存在該值，則傳回該值
agentQueueSize	如果 JSON 結果中存在該值，則傳回該值
虛擬化	如果 JSON 結果中存在該值，則傳回該值
ccLevel	如果 JSON 結果中存在該值，則傳回該值
debugDuration	如果 JSON 結果中存在該值，則傳回該值
processorModel	如果 JSON 結果中存在該值，則傳回該值
syncFlags	如果 JSON 結果中存在該值，則傳回該值

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

JSON 結果

{
  "macAddress": "00:50:56:B5:30:57",
  "systemMemoryDumps": 0,
  "policyStatusDetails": "Agent did not receive all the rules yet",
  "prioritized": "False",
  "platformId": 1,
  "upgradeErrorTime": "None",
  "tdCount": 0,
  "hasDuplicates": "False",
  "disconnectedEnforcementLevel": 60,
  "hasHealthCheckErrors": "False",
  "syncPercent": 100,
  "agentVersion": "8.0.0.2562",
  "activeDebugLevel": 0,
  "templateCloneCleanupMode": "None",
  "processorCount": 4,
  "kernelDebugLevel": 0,
  "refreshFlags": 0,
  "activeKernelDebugLevel": 2,
  "users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
  "policyName": "Default Policy",
  "enforcementLevel": 60,
  "templateDate": "None",
  "previousPolicyId": 6,
  "memorySize": 8192,
  "machineModel": "VMware Virtual Platform",
  "id": 1,
  "policyStatus": "Approvals out of date",
  "processorSpeed": 2200.0,
  "ccFlags": 0,
  "template": "False",
  "initializing": "False",
  "initPercent": 100,
  "uninstalled": "False",
  "computerTag": "None",
  "templateComputerId": 0,
  "daysOffline": 55,
  "upgradeError": "None",
  "automaticPolicy": "False",
  "description": "None",
  "osShortName": "Windows Server 2012",
  "deleted": "False",
  "localApproval": "False",
  "tamperProtectionActive": "True",
  "lastPollDate": "2018-11-23T21:59:12.613Z",
  "activeDebugFlags": 16,
  "CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
  "dateCreated": "2018-05-29T10:10:19.26Z",
  "virtualPlatform": "VMware",
  "connected": "False",
  "supportedKernel": "True",
  "debugLevel": -1,
  "cbSensorVersion": "None",
  "upgradeStatus": "Up to date",
  "upgradeErrorCount": 0,
  "isActive": "False",
  "debugFlags": 0,
  "agentMemoryDumps": 0,
  "name": "WORKGROUP\\\\\\\\SIEMPLIFY",
  "lastRegisterDate": "2018-11-22T10:49:41.583Z",
  "ipAddress": "10.0.0.67",
  "cbSensorId": 0,
  "SCEPStatus": 0,
  "agentCacheSize": 43432,
  "cbSensorFlags": 0,
  "clVersion": 1212,
  "osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
  "templateCloneCleanupTimeScale": "None",
  "policyId": 1,
   "forceUpgrade": "False",
   "templateTrackModsOnly": "False",
   "templateCloneCleanupTime": "None",
   "agentQueueSize": 0,
   "virtualized": "Yes",
   "ccLevel": 0,
   "debugDuration": 0,
   "processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
   "syncFlags": 8
}

乒乓

說明

測試連線。

參數

不適用

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

解除封鎖雜湊

說明

解除特定政策或全域的雜湊封鎖。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
政策名稱	字串	不適用	否	以半形逗號分隔，範例：預設政策、本機核准政策

執行時間

這項動作會對 Filehash 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
成功	True/False	success:False

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。