Carbon Black Response
整合版本:31.0
設定 VMware Carbon Black EDR (EDR),以便與 Google Security Operations 搭配使用
API 金鑰
如要取得 API 金鑰,請完成下列步驟:
- 登入控制台
- 按一下右上方的使用者名稱
- 前往「個人資料資訊」。
按一下左側的「API 權杖」按鈕,即可顯示 API 權杖。
如果沒有顯示 API 權杖,請按一下「重設」按鈕建立新權杖。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
在 Google SecOps 中設定 Carbon Black Response 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://x.x.x.x | 是 | VMware Carbon Black EDR (EDR) 執行個體的位址。 |
| API 金鑰 | 字串 | 不適用 | 是 | 在 VMware Carbon Black EDR (EDR) 控制台中產生的 API 金鑰。 |
| 版本 | 字串 | 6.3 | 是 | 產品版本。請務必提供較短的版本形式。舉例來說,請提供 7.4,而非 7.4.0。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
Binary Free Query
說明
依免費查詢列出二進位檔。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 範例:md5:* AND original_filename:{file-name} |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"host_count": x,
"digsig_result":"Signed",
"Observed_filename": ["c:\\\\windows\\\\system32\\\\xxxxxx.exe"],
"product_version": "10.0.17134.1",
"digsig_issuer": "Microsoft Windows Production PCA 2011",
"legal_copyright": "\\\\u00a9 Microsoft Corporation. All rights reserved.",
"digsig_sign_time": "2018-04-11T19:19:00Z",
"orig_mod_len": 20888,
"is_executable_image": true,
"is_64bit": true,
"digsig_subject": "Microsoft Windows",
"digsig_publisher": "Microsoft Corporation",
"group": ["Default Group"],
"file_version": "10.0.17134.1 (WinBuild.160101.0800)",
"company_name": "Microsoft Corporation",
"internal_name": "xxxxxxx.exe",
"product_name": "Microsoft\\\\u00ae Windows\\\\u00ae Operating System",
"digsig_result_code": "0",
"timestamp": "2018-12-30T03:55:55.376Z",
"copied_mod_len": 20888,
"server_added_timestamp": "2018-12-30T03:55:55.376Z",
"digsig_prog_name": "Microsoft Windows",
"md5": "2528137C6745C4EADD87817A1909677E",
"endpoint": ["DESKTOP-CEIFS6E|15",
"DESKTOP-CEIFS6E|16",
"LP-AVITAL|17",
"LAPTOP-66I4I93K|18"],
"watchlists": [
{
"wid": "3",
"value": "2018-12-30T04:00:03.635Z"
}],
"signed": "Signed",
"original_filename": "xxxxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": "COM Surrogate",
"last_seen": "2019-02-21T15:27:33.231Z"
}
]
區塊雜湊
說明
封鎖雜湊值。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
建立觀察清單
說明
為程序 (類型 = 事件) 或二進位檔 (類型 = 模組) 建立監控清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 觀察清單名稱 | 字串 | 不適用 | 是 | 這份觀察清單的名稱。 |
| 查詢 | 字串 | 不適用 | 是 | 這個監控清單相符的原始 Carbon Black 查詢。 |
| 觀察名單類型 | 字串 | 不適用 | 是 | 追蹤清單類型,例如模組。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
下載二進位檔
說明
下載二進位檔。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIb",
"Entity": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
充實二進位檔
說明
使用 CB Response 的二進位資訊擴充雜湊。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | success:False |
JSON 結果
[
{
"EntityResult": {
"host_count": x,
"digsig_result": "Unsigned",
"observed_filename":["c:\\\\\\\\TEST_source\\\\\\\\main\\\\\\\\client\\\\\\\\wpf\\\\\\\\TEST.client\\\\\\\\bin\\\\\\\\release\\\\\\\\TEST.client.exe"],
"product_version": "x.x.x.x",
"legal_copyright": "TEST",
"orig_mod_len": 4108800,
"is_executable_image": "True",
"is_64bit": "False",
"group": ["Default Group"],
"file_version": "x.x.x.x",
"comments": "Flavor=Release",
"company_name": "TEST",
"internal_name": "TEST.xxxxxx.exe",
"icon": "iVBORw0KGgoAAAANSUhEUg",
"product_name": "(unknown)",
"digsig_result_code": "xxxxxxx",
"timestamp": "2016-12-11T18:54:03.352Z",
"copied_mod_len": 4108800,
"server_added_timestamp": "2016-12-11T18:54:03.352Z",
"md5": "82A2C91219F140BB2A4FE34A7390B6C7",
"endpoint": ["WS-ALON|4"],
"Watchlists": [
{
"wid": "3", "value": "2016-12-11T19:00:03.232Z"
}],
"signed": "Unsigned",
"original_filename": "TEST.xxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": " ",
"last_seen": "2016-12-11T19:00:04.178Z"
},
"Entity": "82A2C91219F140BB2A4FE34A7123B6C7"
}
]
充實程序
說明
使用 CB Response 的資料擴充程序實體。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 程序
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"modload_count": 28,
"sensor_id": 14,
"filtering_known_dlls": "False",
"process_md5": "d752c96401e2540a123c599154fc6fa9",
"parent_unique_id": "0000000e-0000-13d4-01d4-a04566d108ba-00000001",
"emet_count": 0,
"cmdline": "\\\\\\\\??\\\\\\\\C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\conhost.exe 0xffffffff -ForceV1",
"last_update": "2018-12-30T13:41:43.904Z",
"id": "x-x-x-x-x",
"parent_name": "python.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "TEST",
"filemod_count": 0,
"start": "2018-12-30T13:41:43.885Z",
"emet_config": "",
"netconn_count": 0,
"interface_ip": 167772456,
"process_pid": xxxx,
"username": "TEST\\\\\\\\xxxxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"parent_pid": 5076,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": 1,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 0,
"unique_id": "0000000e-0000-1310-01d4-a04566d29849-00000001"
}],
"Entity": "process.exe"
}
]
取得程序的 FileMod 資料
說明
依 ID 取得程序的 filemod 資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 程序 ID | 字串 | 不適用 | 是 | 程序的專屬 ID。 |
| 區隔 ID | 字串 | 不適用 | 是 | 例如:1. |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxx.exe",
"start": "2013-09-19T22:07:07Z",
"regmod_complete": [
"2|2013-09-19 22:07:07.000000|\\\\\\\\registry\\\\\\\\user\\\\\\\\s-1-5-19\\\\\\\\software\\\\\\\\microsoft\\\\\\\\sqmclient\\\\\\\\reliability\\\\\\\\adaptivesqm\\\\\\\\manifestinfo\\\\\\\\version",
"2|2013-09-19 22:09:07.000000|\\\\\\\\registry\\\\\\\\machine\\\\\\\\software\\\\\\\\microsoft\\\\\\\\reliability analysis\\\\\\\\rac\\\\\\\\wmilasttime"],
"cmdline": "xxxxxxx.exe $(arg0)",
"Filemod_complete": [
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\statedata\\\\\\\\racmetadata.dat|",
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\temp\\\\\\\\sql4475.tmp|"],
"parent_id": "",
"modload_complete": [
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\ntdll.dll"],
"id": "xxxxxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "windows",
"last_update": "2013-09-19T22:09:07Z",
"hostname": "xxxx-xxxxxxxxxxx"
},
"elapsed": 0.0126001834869
}
可取得授權
說明
從 CB Response 取得目前的授權。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
取得程序樹狀結構資料
說明
依 ID(JSON) 取得程序的程序樹狀結構資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 程序 ID | 字串 | 不適用 | 是 | 程序的專屬 ID。 |
| 區隔 ID | 字串 | 不適用 | 是 | 例如:1. |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"cmdline": "taskhost.exe $(arg0)",
"start": "2013-09-19T22:07:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "xxxxxxx",
"hostname": "xxxxxxx-xxxxxx"
},
"Siblings": [
{
"process_md5": "c78655bc80301d76ed4fef1c1ea40a7d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxxx.exe",
"last_update": "2013-09-19T22:34:49Z",
"start": "2013-09-10T04:10:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type":"xxxxxx",
"hostname": "xxx-xxxxxxx"
}],
"children": [],
"parent": {
"process_md5": "24acb7e5be595468e3b9aa488b9b4fcb",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"start": "2013-09-10T04:09:51Z",
"parent_id": "xxxxxxxxxxxx",
"id": "xxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type": "xxxxxx",
"hostname": "xxx-xxxxxxxx"
}
}
取得系統資訊
說明
從 CB Response 取得感應器的系統資訊,並擴充實體。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"systemvolume_total_size": "479127379968",
"computer_name": "LP-WORKER",
"os_environment_display_string": "Windows 10 Professional, 64-bit",
"systemvolume_free_size": "319940304896",
"physical_memory_size": "17058787328",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "10840",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "1640459",
"computer_dns_name":"xx-xxxxxx.xxxxxx.xxxxx",
"emet_report_setting": "(Locally configured)",
"last_update": "2018-06-25 13:27:47.442521+03:00",
"parity_host_id": "0",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2018-06-25 13:28:13.089904+03:00",
"status": "Offline",
"num_eventlog_bytes": "13771",
"sensor_health_message": "Elevated memory usage",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-x-x-x",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path":"",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxxx|",
"sensor_health_status": 90,
"registration_time": "2018-03-01 08:12:47.420579+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 5,
"cookie": 292474955,
"shard_id": x,
"boot_id": "xx",
"last_checkin_time": "2018-06-25 13:27:43.091387+03:00",
"os_type": 1,
"group_id": x,
"display": "True",
"sensor_uptime": "x",
"uninstall":"False"
},
"Entity": "xx-xxxxx"
}
]
依程序列出主機
說明
取得與特定程序相關的主機。
參數
不適用
執行時間
這項動作會在「程序」實體上執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"systemvolume_total_size": "160534884352",
"computer_name": "COMPUTER",
"os_environment_display_string": "Windows 10 Server Server Standard (Evaluation), 64-bit",
"systemvolume_free_size": "120903110656",
"physical_memory_size": "8589463552",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "7348",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "5888902",
"computer_dns_name": "COMPUTER",
"emet_report_setting": " (Locally configured)",
"last_update": "2019-01-07 11:07:17.187979+02:00",
"parity_host_id": "x",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2019-01-07 11:07:44.348203+02:00",
"status": "Offline",
"num_eventlog_bytes": "34800",
"sensor_health_message": "Healthy",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-405201704-2854221227-856099807",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path": "",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxx|",
"sensor_health_status": 100,
"registration_time": "2018-12-22 02:46:33.629175+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 8,
"cookie": 1164577502,
"shard_id": 0,
"boot_id": "1",
"last_checkin_time": "2019-01-07 11:07:14.349477+02:00",
"os_type": 1,
"group_id": 1,
"display": "True",
"sensor_uptime": "1412441",
"uninstall": "False"
}],
"Entity": "xxxxxx.xxx"
}
]
隔離主機
說明
將端點與網路隔離。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
終止程序
說明
終止特定主機上的程序。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 程序
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
列出程序
說明
列出與特定實體相關的程序。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"modload_count": 63,
"sensor_id": xx,
"filtering_known_dlls": "False",
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"cmdline": "python.exe C:\\\\\\\\HOST_Server\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "xxxxxx-xxxx-xxxxx-xxxxxx-xxxxxxx",
"parent_name": "xxxx.xxxxxx.xxxxxxx.xxxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": 167772456,
"process_pid": 6024,
"username": "xxxx\\\\\\\\xxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\python.exe",
"regmod_count": 0,
"parent_pid": 4152,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}],
"Entity": "HOST"
}
]
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
處理免費查詢
說明
依任意查詢列出程序。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 例如:process_name:python.exe。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"sensor_id": xx,
"filtering_known_dlls": "False",
"modload_count": 63,
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"group": "Default Group",
"cmdline": "python.exe C:\\\\\\\\bin\\\\\\\\\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "x-x-x-x-x",
"parent_name": "xxxx.xxxxxx.xxxxxx.xxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"parent_pid": 4152,
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": xxxxxxxx,
"process_pid": 6024,
"username": "xxxxx\\\\\\\\xxxxx",
"terminated": "True",
"process_name": "xxxxxx.xxx",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}
]
解決快訊
說明
解決快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 要解決的快訊 ID。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
解除封鎖雜湊
說明
解除封鎖雜湊值。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
Unisolate Host
說明
將端點重新加入網路。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
連接器
Carbon Black Response 連接器
在 Google SecOps 中設定 Carbon Black Response 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 環境 | DDL | 不適用 | 是 | 選取所需環境。例如「Customer One」。 如果警報的「環境」欄位空白,警報就會插入此環境。 |
| 執行頻率 | 整數 | 0:0:0:10 | 否 | 選取執行連線的時間。 |
| 產品欄位名稱 | 字串 | device_product | 是 | 用來判斷裝置產品的欄位名稱。 |
| 事件欄位名稱 | 字串 | 名稱 | 是 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| 指令碼逾時 (秒) | 字串 | 60 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根層級 | 字串 | null | 是 | https://x.x.x.x |
| API 金鑰 | 密碼 | 不適用 | 是 | 不適用 |
| 版本 | 字串 | 6.3 | 是 | CB 伺服器版本,預設會使用 6.3 |
| 快訊數量上限 | 整數 | 20 | 是 | 限制每個週期內的快訊數量。範例:20 |
| 最多可回溯的天數 | 整數 | 3 | 是 | 這個欄位會在連接器第一個執行週期中使用,並決定連接器啟動時間。範例:3 |
| 環境欄位名稱 | 字串 | 不適用 | 否 | 環境欄位的名稱。 |
| 名單類型 | 字串 | 不適用 | 否 | 可以是許可清單或封鎖清單。 |
| 列出運算子 | 字串 | 不適用 | 否 | 可以是「exact」、「start with」、「ends with」或「contains」。 |
| 可列出欄位 | 字串 | 不適用 | 否 | 以半形逗號分隔的欄位清單。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。