Carbon Black Response
통합 버전: 31.0
Google Security Operations와 함께 작동하도록 VMware Carbon Black EDR (EDR) 구성
API 키
API 키를 가져오려면 다음 단계를 완료하세요.
- 콘솔에 로그인
- 오른쪽 상단에서 사용자 이름을 클릭합니다.
- 프로필 정보로 이동합니다.
왼쪽의 API 토큰 버튼을 클릭하여 API 토큰을 표시합니다.
API 토큰이 표시되지 않으면 재설정 버튼을 클릭하여 새 토큰을 만듭니다.
네트워크
| 함수 | 기본 포트 | 방향 | 프로토콜 |
|---|---|---|---|
| API | Multivalues | 아웃바운드 | apikey |
Google SecOps에서 Carbon Black Response 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://x.x.x.x | 예 | VMware Carbon Black EDR (EDR) 인스턴스의 주소입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | VMware Carbon Black EDR (EDR) 콘솔에서 생성된 API 키입니다. |
| 버전 | 문자열 | 6.3 | 예 | 제품 버전입니다. 버전의 약어를 제공해야 합니다. 예를 들어 7.4.0을 제공하는 대신 7.4를 제공합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
바이너리 무료 쿼리
설명
무료 쿼리로 바이너리를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 예: md5:* AND original_filename:{file-name} |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"host_count": x,
"digsig_result":"Signed",
"Observed_filename": ["c:\\\\windows\\\\system32\\\\xxxxxx.exe"],
"product_version": "10.0.17134.1",
"digsig_issuer": "Microsoft Windows Production PCA 2011",
"legal_copyright": "\\\\u00a9 Microsoft Corporation. All rights reserved.",
"digsig_sign_time": "2018-04-11T19:19:00Z",
"orig_mod_len": 20888,
"is_executable_image": true,
"is_64bit": true,
"digsig_subject": "Microsoft Windows",
"digsig_publisher": "Microsoft Corporation",
"group": ["Default Group"],
"file_version": "10.0.17134.1 (WinBuild.160101.0800)",
"company_name": "Microsoft Corporation",
"internal_name": "xxxxxxx.exe",
"product_name": "Microsoft\\\\u00ae Windows\\\\u00ae Operating System",
"digsig_result_code": "0",
"timestamp": "2018-12-30T03:55:55.376Z",
"copied_mod_len": 20888,
"server_added_timestamp": "2018-12-30T03:55:55.376Z",
"digsig_prog_name": "Microsoft Windows",
"md5": "2528137C6745C4EADD87817A1909677E",
"endpoint": ["DESKTOP-CEIFS6E|15",
"DESKTOP-CEIFS6E|16",
"LP-AVITAL|17",
"LAPTOP-66I4I93K|18"],
"watchlists": [
{
"wid": "3",
"value": "2018-12-30T04:00:03.635Z"
}],
"signed": "Signed",
"original_filename": "xxxxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": "COM Surrogate",
"last_seen": "2019-02-21T15:27:33.231Z"
}
]
블록 해시
설명
해시 차단
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
관심 목록 만들기
설명
프로세스 (type = events) 또는 바이너리 (type = modules)의 관심 목록을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 관심 목록 이름 | 문자열 | 해당 사항 없음 | 예 | 이 관심 목록의 이름입니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 이 관심 목록과 일치하는 원시 Carbon Black 쿼리입니다. |
| 관심 목록 유형 | 문자열 | 해당 사항 없음 | 예 | 관심 목록의 유형입니다(예: 모듈). |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
바이너리 다운로드
설명
바이너리를 다운로드합니다.
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIb",
"Entity": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
바이너리 보강
설명
CB Response의 바이너리 정보로 해시를 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | success:False |
JSON 결과
[
{
"EntityResult": {
"host_count": x,
"digsig_result": "Unsigned",
"observed_filename":["c:\\\\\\\\TEST_source\\\\\\\\main\\\\\\\\client\\\\\\\\wpf\\\\\\\\TEST.client\\\\\\\\bin\\\\\\\\release\\\\\\\\TEST.client.exe"],
"product_version": "x.x.x.x",
"legal_copyright": "TEST",
"orig_mod_len": 4108800,
"is_executable_image": "True",
"is_64bit": "False",
"group": ["Default Group"],
"file_version": "x.x.x.x",
"comments": "Flavor=Release",
"company_name": "TEST",
"internal_name": "TEST.xxxxxx.exe",
"icon": "iVBORw0KGgoAAAANSUhEUg",
"product_name": "(unknown)",
"digsig_result_code": "xxxxxxx",
"timestamp": "2016-12-11T18:54:03.352Z",
"copied_mod_len": 4108800,
"server_added_timestamp": "2016-12-11T18:54:03.352Z",
"md5": "82A2C91219F140BB2A4FE34A7390B6C7",
"endpoint": ["WS-ALON|4"],
"Watchlists": [
{
"wid": "3", "value": "2016-12-11T19:00:03.232Z"
}],
"signed": "Unsigned",
"original_filename": "TEST.xxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": " ",
"last_seen": "2016-12-11T19:00:04.178Z"
},
"Entity": "82A2C91219F140BB2A4FE34A7123B6C7"
}
]
보강 프로세스
설명
CB 응답의 데이터로 프로세스 엔티티를 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- 처리
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [
{
"modload_count": 28,
"sensor_id": 14,
"filtering_known_dlls": "False",
"process_md5": "d752c96401e2540a123c599154fc6fa9",
"parent_unique_id": "0000000e-0000-13d4-01d4-a04566d108ba-00000001",
"emet_count": 0,
"cmdline": "\\\\\\\\??\\\\\\\\C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\conhost.exe 0xffffffff -ForceV1",
"last_update": "2018-12-30T13:41:43.904Z",
"id": "x-x-x-x-x",
"parent_name": "python.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "TEST",
"filemod_count": 0,
"start": "2018-12-30T13:41:43.885Z",
"emet_config": "",
"netconn_count": 0,
"interface_ip": 167772456,
"process_pid": xxxx,
"username": "TEST\\\\\\\\xxxxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"parent_pid": 5076,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": 1,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 0,
"unique_id": "0000000e-0000-1310-01d4-a04566d29849-00000001"
}],
"Entity": "process.exe"
}
]
프로세스의 FileMod 데이터 가져오기
설명
ID로 프로세스의 filemod 데이터를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 프로세스 ID | 문자열 | 해당 사항 없음 | 예 | 프로세스 고유 ID입니다. |
| 세그먼트 ID | 문자열 | 해당 사항 없음 | 예 | 예: 1. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxx.exe",
"start": "2013-09-19T22:07:07Z",
"regmod_complete": [
"2|2013-09-19 22:07:07.000000|\\\\\\\\registry\\\\\\\\user\\\\\\\\s-1-5-19\\\\\\\\software\\\\\\\\microsoft\\\\\\\\sqmclient\\\\\\\\reliability\\\\\\\\adaptivesqm\\\\\\\\manifestinfo\\\\\\\\version",
"2|2013-09-19 22:09:07.000000|\\\\\\\\registry\\\\\\\\machine\\\\\\\\software\\\\\\\\microsoft\\\\\\\\reliability analysis\\\\\\\\rac\\\\\\\\wmilasttime"],
"cmdline": "xxxxxxx.exe $(arg0)",
"Filemod_complete": [
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\statedata\\\\\\\\racmetadata.dat|",
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\temp\\\\\\\\sql4475.tmp|"],
"parent_id": "",
"modload_complete": [
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\ntdll.dll"],
"id": "xxxxxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "windows",
"last_update": "2013-09-19T22:09:07Z",
"hostname": "xxxx-xxxxxxxxxxx"
},
"elapsed": 0.0126001834869
}
라이선스 가져오기
설명
CB 응답에서 현재 라이선스를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
프로세스 트리 데이터 가져오기
설명
ID별 프로세스의 프로세스 트리 데이터를 가져옵니다(JSON).
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 프로세스 ID | 문자열 | 해당 사항 없음 | 예 | 프로세스 고유 ID입니다. |
| 세그먼트 ID | 문자열 | 해당 사항 없음 | 예 | 예: 1. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"cmdline": "taskhost.exe $(arg0)",
"start": "2013-09-19T22:07:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "xxxxxxx",
"hostname": "xxxxxxx-xxxxxx"
},
"Siblings": [
{
"process_md5": "c78655bc80301d76ed4fef1c1ea40a7d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxxx.exe",
"last_update": "2013-09-19T22:34:49Z",
"start": "2013-09-10T04:10:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type":"xxxxxx",
"hostname": "xxx-xxxxxxx"
}],
"children": [],
"parent": {
"process_md5": "24acb7e5be595468e3b9aa488b9b4fcb",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"start": "2013-09-10T04:09:51Z",
"parent_id": "xxxxxxxxxxxx",
"id": "xxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type": "xxxxxx",
"hostname": "xxx-xxxxxxxx"
}
}
시스템 정보 가져오기
설명
CB Response에서 센서의 시스템 정보를 가져와 항목을 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"systemvolume_total_size": "479127379968",
"computer_name": "LP-WORKER",
"os_environment_display_string": "Windows 10 Professional, 64-bit",
"systemvolume_free_size": "319940304896",
"physical_memory_size": "17058787328",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "10840",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "1640459",
"computer_dns_name":"xx-xxxxxx.xxxxxx.xxxxx",
"emet_report_setting": "(Locally configured)",
"last_update": "2018-06-25 13:27:47.442521+03:00",
"parity_host_id": "0",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2018-06-25 13:28:13.089904+03:00",
"status": "Offline",
"num_eventlog_bytes": "13771",
"sensor_health_message": "Elevated memory usage",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-x-x-x",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path":"",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxxx|",
"sensor_health_status": 90,
"registration_time": "2018-03-01 08:12:47.420579+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 5,
"cookie": 292474955,
"shard_id": x,
"boot_id": "xx",
"last_checkin_time": "2018-06-25 13:27:43.091387+03:00",
"os_type": 1,
"group_id": x,
"display": "True",
"sensor_uptime": "x",
"uninstall":"False"
},
"Entity": "xx-xxxxx"
}
]
프로세스별 호스트
설명
특정 프로세스와 관련된 호스트를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 프로세스 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [
{
"systemvolume_total_size": "160534884352",
"computer_name": "COMPUTER",
"os_environment_display_string": "Windows 10 Server Server Standard (Evaluation), 64-bit",
"systemvolume_free_size": "120903110656",
"physical_memory_size": "8589463552",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "7348",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "5888902",
"computer_dns_name": "COMPUTER",
"emet_report_setting": " (Locally configured)",
"last_update": "2019-01-07 11:07:17.187979+02:00",
"parity_host_id": "x",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2019-01-07 11:07:44.348203+02:00",
"status": "Offline",
"num_eventlog_bytes": "34800",
"sensor_health_message": "Healthy",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-405201704-2854221227-856099807",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path": "",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxx|",
"sensor_health_status": 100,
"registration_time": "2018-12-22 02:46:33.629175+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 8,
"cookie": 1164577502,
"shard_id": 0,
"boot_id": "1",
"last_checkin_time": "2019-01-07 11:07:14.349477+02:00",
"os_type": 1,
"group_id": 1,
"display": "True",
"sensor_uptime": "1412441",
"uninstall": "False"
}],
"Entity": "xxxxxx.xxx"
}
]
호스트 격리
설명
네트워크에서 엔드포인트를 격리합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
프로세스 종료
설명
특정 호스트에서 프로세스를 종료합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- 처리
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
프로세스 나열
설명
지정된 항목과 관련된 프로세스를 나열합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [
{
"modload_count": 63,
"sensor_id": xx,
"filtering_known_dlls": "False",
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"cmdline": "python.exe C:\\\\\\\\HOST_Server\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "xxxxxx-xxxx-xxxxx-xxxxxx-xxxxxxx",
"parent_name": "xxxx.xxxxxx.xxxxxxx.xxxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": 167772456,
"process_pid": 6024,
"username": "xxxx\\\\\\\\xxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\python.exe",
"regmod_count": 0,
"parent_pid": 4152,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}],
"Entity": "HOST"
}
]
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
무료 쿼리 처리
설명
무료 쿼리로 프로세스를 나열합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 예: process_name:python.exe |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"sensor_id": xx,
"filtering_known_dlls": "False",
"modload_count": 63,
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"group": "Default Group",
"cmdline": "python.exe C:\\\\\\\\bin\\\\\\\\\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "x-x-x-x-x",
"parent_name": "xxxx.xxxxxx.xxxxxx.xxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"parent_pid": 4152,
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": xxxxxxxx,
"process_pid": 6024,
"username": "xxxxx\\\\\\\\xxxxx",
"terminated": "True",
"process_name": "xxxxxx.xxx",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}
]
알림 해결
설명
알림을 해결합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 해결할 알림의 ID입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
차단 해제 해시
설명
해시 차단 해제
매개변수
해당 사항 없음
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
호스트 격리 해제
설명
엔드포인트를 네트워크에 다시 가입시킵니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
커넥터
Carbon Black Response 커넥터
Google SecOps에서 Carbon Black Response Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 환경 | DDL | 해당 사항 없음 | 예 | 필요한 환경을 선택합니다. 예: '고객 1' 알림의 환경 필드가 비어 있는 경우 이 알림이 이 환경에 삽입됩니다. |
| 실행 빈도 | 정수 | 0:0:0:10 | 아니요 | 연결을 실행할 시간을 선택합니다. |
| 제품 필드 이름 | 문자열 | device_product | 예 | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| 이벤트 필드 이름 | 문자열 | name | 예 | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| 스크립트 제한 시간(초) | 문자열 | 60 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 문자열 | null | 예 | https://x.x.x.x |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사항 없음 |
| 버전 | 문자열 | 6.3 | 예 | CB 서버 버전입니다. 기본값 6.3이 사용됩니다. |
| 알림 수 제한 | 정수 | 20 | 예 | 모든 주기에서 알림 수를 제한합니다. 예: 20 |
| 최대 이전 일수 | 정수 | 3 | 예 | 이 필드는 커넥터의 첫 번째 실행 주기에서 사용되며 커넥터 시작 시간을 결정합니다. 예: 3 |
| 환경 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 환경 필드의 이름입니다. |
| 목록 유형 | 문자열 | 해당 사항 없음 | 아니요 | 허용 목록 또는 차단 목록일 수 있습니다. |
| 통신사 목록 | 문자열 | 해당 사항 없음 | 아니요 | 'exact', 'start with', 'ends with' 또는 'contains'일 수 있습니다. |
| 필드 나열 | 문자열 | 해당 사항 없음 | 아니요 | 필드 목록(쉼표로 구분)입니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.