VMware Carbon Black Cloud

Dieses Dokument enthält eine Anleitung für Administratoren zum Konfigurieren und Einbinden von VMware Carbon Black Cloud in das SOAR-Modul von Google Security Operations.

Integrationsversion: 32.0

Übersicht

Die VMware Carbon Black Cloud-Integration unterstützt Sie bei den folgenden Aufgaben:

• VMware Carbon Black Cloud-Ereignisse und ‑Benachrichtigungen aufnehmen, um Benachrichtigungen zu erstellen.

  Google SecOps verwendet Benachrichtigungen, um Orchestrierungen mit Playbooks oder manuellen Analysen durchzuführen.

• Anreicherungsaktionen durchführen

  Daten aus der VMware Carbon Black Cloud abrufen, um Daten in Google SecOps-Benachrichtigungen anzureichern.

• Aktive Aktionen ausführen

  Mit dem VMware Carbon Black Cloud-Agent können Sie einen Scan planen und einen Host in Google SecOps SOAR unter Quarantäne stellen.

In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.

Vorbereitung

Dieser Abschnitt bezieht sich auf die Erstkonfiguration der Integration. Damit die Daten wie erwartet von VMware Carbon Black Cloud zu Google SecOps fließen, führen Sie die in diesem Abschnitt aufgeführten Schritte in VMware Carbon Black Cloud aus.

So konfigurieren Sie den API-Zugriff für die VMware Carbon Black Cloud-Integration:

1. Konfigurieren Sie die Zugriffsebene.
2. Einen API-Schlüssel erstellen

Für diese Integration gelten Einschränkungen. Weitere Informationen zu Einschränkungen finden Sie in der VMware Carbon Black Cloud-Dokumentation unter Configure Reputation Override.

Zugriffsebene konfigurieren

So konfigurieren Sie die Zugriffsebene für die VMware Carbon Black Cloud-Integration:

1. Rufen Sie in der VMware Carbon Black Cloud Console Settings > API Access auf.

2. Wählen Sie Zugriffsebenen aus.

3. Klicken Sie auf Zugriffsebene hinzufügen.

4. Geben Sie einen Namen und eine Beschreibung für die neue Zugriffsebene ein und wählen Sie die folgenden Berechtigungen aus:

   Kategorie	Name der Berechtigung	.Notation name	Berechtigungstyp
   Benachrichtigungen	Allgemeine Informationen	org.alerts	Lesen
   Benachrichtigungen	Schließen	org.alerts.dismiss	Ausführen
   Gerät	Quarantäne	device.quarantine	Ausführen
   Gerät	Umgehen	device.bypass	Ausführen
   Gerät	Allgemeine Informationen	Gerät	Lesen
   Gerät	Polizeieinsatz	device.policy	Aktualisieren
   Gerät	Hintergrundscan	device.bg-scan	Ausführen
   Suchen	Ereignisse	org.search.events	Erstellen Lesen

5. Klicken Sie auf Speichern.

API-Schlüssel erstellen

Führen Sie die folgenden Schritte aus, um einen API-Schlüssel für die VMware Carbon Black Cloud-Integration zu erstellen:

1. Rufen Sie in der VMware Carbon Black Cloud Console Einstellungen> API-Zugriff > API-Schlüssel auf.

2. Klicken Sie auf API-Schlüssel hinzufügen.

3. Geben Sie den Namen für den Schlüssel ein und wählen Sie die Zugriffsebene aus, die Sie im vorherigen Abschnitt erstellt haben.

4. Klicken Sie auf Speichern, um Ihr API-Paar aus geheimem Schlüssel und API-ID zu erhalten.

   Speichern Sie den Wert Ihres API-Secret-Schlüssels, da Sie ihn später nicht mehr abrufen können.

VMware Carbon Black Cloud in Google SecOps einbinden

Wenn Sie die Integrationsparameter konfigurieren oder bearbeiten möchten, müssen Sie in Google SecOps in der Berechtigungsgruppe „Administratoren“ enthalten sein. Weitere Informationen zu Berechtigungsgruppen für Nutzer finden Sie unter Mit Berechtigungsgruppen arbeiten.

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Sie können die Konfiguration bei Bedarf später ändern. Nachdem Sie die Instanzen konfiguriert haben, können Sie sie in Playbooks verwenden. Ausführliche Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Ping

Verbindung zu VMware Carbon Black Cloud testen

Parameter

Keine.

Anwendungsfälle

Die Aktion testet die Verbindung, wenn sie auf der Seite mit der Integrationskonfiguration auf dem Tab „Google SecOps Marketplace“ ausgeführt wird. Sie können diese Aktion manuell ausführen, aber nicht in Ihren Playbooks verwenden.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Ping“ beschrieben:

Ausgabemeldungen

In einer Fallwand werden bei der Ping-Aktion die folgenden Ausgabenachrichten angezeigt:

Entitäten anreichern

Google SecOps SOAR-Host- oder IP-Adressentitäten mit Geräteinformationen aus der VMware Carbon Black Cloud anreichern.

Diese Aktion wird für die folgenden Einheiten ausgeführt:

• IP-Adresse
• Host

Anwendungsfälle

Google SecOps SOAR-Host- oder IP-Entitäten mit Informationen aus VMware Carbon Black Cloud anreichern, wenn der Carbon Black-Agent auf einer entsprechenden IP-Adresse oder Host-Entität installiert ist.

Um einem Incident Responder bei der Untersuchung einer möglichen Malware-Warnung von einem Host mit installiertem Sensor zu helfen, kann VMware Carbon Black Cloud Anreicherungsdaten wie die Hostinformationen, den Sensorstatus und die zugehörige Carbon Black-Richtlinie bereitstellen.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Entitätsanreicherung

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Entitäten anreichern“ beschrieben:

JSON-Ergebnis

Das folgende Beispiel beschreibt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion „Entitäten anreichern“ empfangen wird:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}

Ausgabemeldungen

In einem Fall-Repository werden mit der Aktion „Entitäten anreichern“ die folgenden Ausgabemeldungen generiert:

VMware Carbon Black Cloud-Benachrichtigung schließen

Schließen Sie die VMware Carbon Black Cloud-Benachrichtigung.

In Ereignissen, die vom VMware Carbon Black Cloud Alerts Connector erstellt werden, kann das Feld Event.id als Platzhalter für die Benachrichtigungs-ID übergeben werden, um eine Benachrichtigung in der Aktion „VMware Carbon Black Cloud-Benachrichtigung schließen“ zu schließen.

Bei dieser Aktion werden Benachrichtigungs-IDs im alphanumerischen Format wie 27162661199ea9a043c11ea9a29a93652bc09fd akzeptiert, nicht im Format, das in der Benutzeroberfläche angezeigt wird, z. B. DONAELUN.

Parameter

Anwendungsfälle

VMware Carbon Black Cloud-Benachrichtigungen basierend auf der in Google SecOps SOAR durchgeführten Analyse schließen oder schließen.

Nachdem die Benachrichtigung in Google SecOps SOAR verarbeitet wurde, muss der Nutzer eine Aktion ausführen, mit der die VMware Carbon Black Cloud-Benachrichtigung in Google SecOps SOAR geschlossen wird, damit der Benachrichtigungsstatus zwischen VMware Carbon Black Cloud und Google SecOps SOAR synchronisiert bleibt.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „VMware Carbon Black Cloud-Warnung ablehnen“ beschrieben:

Ausgabemeldungen

In einer Case Wall werden mit der Aktion „VMware Carbon Black Cloud-Benachrichtigung ablehnen“ die folgenden Ausgabenachrichten bereitgestellt:

Richtlinie für Gerät anhand der Richtlinien-ID aktualisieren

Ändern Sie eine Richtlinie für den VMware Carbon Black Cloud-Sensor auf einem Host. Der Aktionsbereich ist die IP-Adresse oder die Host-Einheit.

Parameter

Anwendungsfälle

Erstellen Sie über Google SecOps SOAR eine Richtlinienaktualisierungsaufgabe auf dem VMware Carbon Black Cloud-Server.

Bei der Analyse von Benachrichtigungen stellte ein Incident Responder fest, dass derselbe Host in kurzer Zeit mehrere Falsch-positiv-Benachrichtigungen generiert hatte. Mit dieser Aktion kann er eine Aufgabe zum Aktualisieren der Richtlinie erstellen, mit der die Sensorrichtlinie weniger restriktiv wird.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Richtlinie für Gerät nach Richtlinien-ID aktualisieren“ beschrieben:

Ausgabemeldungen

In einer Case Wall gibt die Aktion „Update a Policy for Device by Policy ID“ (Richtlinie für Gerät anhand der Richtlinien-ID aktualisieren) die folgenden Ausgabenachrichten aus:

Geräte-Hintergrundscan

Erstellen Sie auf dem VMware Carbon Black Cloud-Server eine Aufgabe zum Scannen von Geräten im Hintergrund, die auf den IP-Adress- oder Host-Entitäten basiert.

Anwendungsfälle

Erstellen Sie mit dem VMware Carbon Black Cloud-Sensor von Google SecOps SOAR eine Hintergrundscanaufgabe für den Host.

Bei der Analyse von Benachrichtigungen stellt ein Incident Responder fest, dass ein Host möglicherweise manipuliert wurde. Der Incident Responder kann mit dieser Aktion einen On-Demand-Hintergrundscan des Hosts anfordern. Bei diesem Scan wird geprüft, ob sich auf dem Host andere verdächtige ausführbare Dateien befinden. Der Sensor auf dem Host erstellt Warnungen für diese verdächtigen ausführbaren Dateien.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Geräte-Hintergrundscan“ beschrieben:

Ausgabemeldungen

In einer Case Wall werden bei der Aktion „Device Background Scan“ (Geräte-Hintergrundscan) die folgenden Ausgabenachrichten angezeigt:

Bypass-Modus für Gerät aktivieren

Aktivieren Sie die Aufgabe für den Bypass-Modus für ein Gerät auf dem VMware Carbon Black Cloud-Server. Die Aufgabe basiert auf den Google SecOps SOAR-Entitäten „IP Address“ oder „Host“.

Anwendungsfälle

Erstellen Sie auf dem VMware Carbon Black Cloud-Server über Google SecOps SOAR eine Aufgabe zum Aktivieren des Bypass-Modus.

Bei der Analyse von Benachrichtigungen zu einem bestimmten Plattformsensor oder Host stellte ein Incident Responder fest, dass der Sensor mehrere Falsch-positiv-Benachrichtigungen generiert. Mit dieser Aktion können sie den Bypass-Modus aktivieren, um zu verfolgen, welche Ereignisse der Remote-Agent als Benachrichtigungen verarbeitet, und die Richtlinien zu aktualisieren.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Bypass-Modus für Gerät aktivieren“ beschrieben:

Ausgabemeldungen

In einer Case Wall gibt die Aktion „Bypass-Modus für Gerät aktivieren“ die folgenden Ausgabenachrichten aus:

Bypass-Modus für Gerät deaktivieren

Erstellen Sie eine Aufgabe zum Deaktivieren des Bypass-Modus für Geräte auf dem VMware Carbon Black Cloud-Server. Die Aufgabe basiert auf den Google SecOps SOAR-IP-Adressen oder Host-Entitäten.

Anwendungsfälle

Nachdem der Bypass-Modus für einen bestimmten Sensor aktiviert und die VMware Carbon Black Cloud-Konfiguration und -Richtlinien behoben wurden, entschied ein Incident Responder, dass der Carbon Black-Sensor wie erwartet funktioniert und nicht im Bypass-Modus ausgeführt werden muss. Sie führen die Aktion „Create Disable Bypass Mode Task for Device“ (Aufgabe zum Deaktivieren des Bypass-Modus für Gerät erstellen) aus, um eine Aufgabe zum Deaktivieren des Bypass-Modus auf einem bestimmten Host zu erstellen.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Bypass-Modus für Gerät deaktivieren“ beschrieben:

Ausgabemeldungen

In einer Case Wall gibt die Aktion „Bypass-Modus für Gerät deaktivieren“ die folgenden Ausgabenachrichten aus:

Gerät unter Quarantäne stellen

Erstellen Sie auf dem VMware Carbon Black Cloud-Server eine Aufgabe zum Isolieren des Geräts basierend auf den Google SecOps SOAR-IP-Adressen oder Host-Entitäten.

Anwendungsfälle

Ein Incident Responder hat festgestellt, dass ein Host Anzeichen dafür aufweist, dass er manipuliert wurde, und kann ihn mit dieser Aufgabe unter Quarantäne stellen.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Gerät unter Quarantäne stellen“ beschrieben:

JSON-Ergebnis

Das folgende Beispiel beschreibt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion „Gerät unter Quarantäne stellen“ empfangen wird:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]

Ausgabemeldungen

In einem Fall-Repository werden bei der Aktion „Gerät unter Quarantäne stellen“ die folgenden Ausgabenachrichten angezeigt:

Gerät aus der Quarantäne entfernen

Erstellen Sie auf dem VMware Carbon Black Cloud-Server eine Aufgabe zum Aufheben der Quarantäne für ein Gerät, die auf den Google SecOps SOAR-IP-Adressen oder Host-Entitäten basiert.

Anwendungsfälle

Nach der Analyse und Behebung einer Benachrichtigung in Bezug auf einen bestimmten Host, der von der VMware Carbon Black Cloud verwaltet wird, stellte ein Incident Responder fest, dass der Host nicht kompromittiert ist. Sie führen die Aktion „Unquarantine Device“ (Gerät aus Quarantäne entfernen) aus, um auf dem VMware Carbon Black Cloud-Server eine Hostaufgabe zum Entfernen der Quarantäne zu erstellen und eine Verbindung zum Host herzustellen.

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Gerät aus Quarantäne entfernen“ beschrieben:

Ausgabemeldungen

In einem Fall-Repository werden bei der Aktion „Gerät aus Quarantäne entfernen“ die folgenden Ausgabenachrichten angezeigt:

Suche nach Entitätsprozessen ausführen

Mit dieser Aktion können Sie nach Informationen zu Prozessen suchen, die in der VMware Carbon Black Cloud gespeichert sind.

Diese Aktion wird für die folgenden Einheiten ausgeführt:

• IP-Adresse
• Host
• Nutzer
• Hash
• Prozess

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Entitätsanreicherung

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Execute Entity Process Search“ beschrieben:

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Execute Entity Processes Search“ empfangen wird:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}

Ausgabemeldungen

In einer Case Wall liefert die Aktion „Execute Entity Processes Search“ die folgenden Ausgabemeldungen:

Reputationsüberschreibungen auflisten

Mit dieser Aktion können Sie die in VMware Carbon Black Cloud konfigurierten Reputation-Overrides auflisten.

Diese Aktion wird nicht für Elemente ausgeführt.

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Auf der Case Wall finden Sie in der Liste „Reputation Overrides“ (Reputationsüberschreibungen) die folgenden Tabellen:

• SHA-256-Tabelle

  Tabellenname: Gefundene SHA-256-Reputationsüberschreibungen

  Tabellenspalten:

  • SHA-256-Hash
  • Dateiname
  • ID
  • Überschreibungsliste
  • Beschreibung
  • Quelle
  • Quellenverweis
  • Erstellungszeitpunkt
  • Erstellt von

• CERT-Tabelle

  Tabellenname:Gefundene CERT-Reputationsüberschreibungen

  Tabellenspalten:

  • Zertifizierungsstelle
  • Signiert von
  • ID
  • Überschreibungsliste
  • Beschreibung
  • Quelle
  • Quellenverweis
  • Erstellungszeitpunkt
  • Erstellt von

• Tabelle „IT TOOL“

  Tabellenname:Found IT_TOOL Reputation Overrides

  Tabellenspalten:

  • IT-Tool-Pfad
  • Untergeordnete Prozesse einbeziehen
  • ID
  • Überschreibungsliste
  • Beschreibung
  • Quelle
  • Quellenverweis
  • Erstellungszeitpunkt
  • Erstellt von

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Reputationsüberschreibungen auflisten“ beschrieben:

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „List Reputation Overrides“ (Reputationsüberschreibungen auflisten) für ein Zertifikat empfangen wird:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „Reputationsüberschreibungen auflisten“ für einen SHA-256-Hash empfangen wird:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Reputationsoverrides auflisten“ für ein IT-Tool empfangen wird:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Ausgabemeldungen

In einem Fall-Repository werden mit der Aktion „Reputationsüberschreibungen auflisten“ die folgenden Ausgabemeldungen generiert:

Reputationsüberschreibung für Zertifikat erstellen

Erstellen Sie einen Reputations-Override für das Zertifikat. Weitere Informationen zum Überschreiben der Reputation finden Sie unter Reputation Override.

Diese Aktion wird nicht für Elemente ausgeführt.

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Reputationsüberschreibung für Zertifikat erstellen“ beschrieben:

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Reputationsüberschreibung für Zertifikat erstellen“ empfangen wird:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}

Ausgabemeldungen

In einer Case Wall werden mit der Aktion „Reputationsüberschreibung für Zertifikat erstellen“ die folgenden Ausgabenachrichten generiert:

Reputationsüberschreibung für SHA-256-Hash erstellen

Erstellen Sie einen Reputations-Override für den angegebenen Hash im SHA-256-Format. Weitere Informationen zum Überschreiben der Reputation finden Sie unter Reputation Override.

Diese Aktion wird für die FileHash-Entität ausgeführt, sofern sie angegeben ist.

Sie können den SHA-256-Hash entweder als Google SecOps SOAR-FileHash-Entität (Artefakt) oder als Aktionsparameter angeben. Wenn der Hash sowohl als Entität als auch als Eingabeparameter an die Aktion übergeben wird, wird die Aktion für den Eingabeparameter ausgeführt.

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Reputationsüberschreibung für SHA-256-Hash erstellen“ beschrieben:

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Create a Reputation Override for SHA-256 Hash“ (Reputationsüberschreibung für SHA-256-Hash erstellen) empfangen wird:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}

Ausgabemeldungen

In einer Case Wall werden mit der Aktion „Reputationsüberschreibung für SHA-256-Hash erstellen“ die folgenden Ausgabenachrichten bereitgestellt:

Reputationsüberschreibung für IT-Tool erstellen

Mit dieser Aktion können Sie eine Reputationsüberschreibung für das jeweilige IT-Tool wie Jira oder ServiceNow erstellen. Die Überschreibung der Reputation basiert auf einem Dateinamen und einem Pfad. Weitere Informationen zum Überschreiben der Reputation finden Sie unter Reputation Override.

Diese Aktion wird für die Datei-Entität ausgeführt, sofern sie angegeben ist.

Sie können den Dateinamen entweder als Google SecOps SOAR-Datei-Entität (Artefakt) oder als Aktions-Eingabeparameter angeben. Wenn der Dateiname sowohl als Entität als auch als Eingabeparameter an die Aktion übergeben wird, verwendet die Aktion den Eingabeparameter. Durch die Aktion wird der Dateiname an den Parameter Dateipfad angehängt, um den resultierenden Pfad zu erhalten und der Überschreibung hinzuzufügen.

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Reputationsüberschreibung für IT-Tool erstellen“ beschrieben:

JSON-Ergebnis

Das folgende Beispiel beschreibt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion „Create Reputation Override for IT Tool“ (Reputationsüberschreibung für IT-Tool erstellen) empfangen wird:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Ausgabemeldungen

In einer Case Wall werden mit der Aktion „Reputationsüberschreibung für IT-Tool erstellen“ die folgenden Ausgabemeldungen generiert:

Überschreibung des Rufs löschen

Löschen Sie einen Reputations-Override mit der angegebenen Reputations-Override-ID. Weitere Informationen zum Überschreiben der Reputation finden Sie unter Reputation Override.

Diese Aktion wird nicht für Elemente ausgeführt.

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Reputationsüberschreibung löschen“ beschrieben:

Ausgabemeldungen

In einem Fall-Repository werden mit der Aktion „Reputationsüberschreibung löschen“ die folgenden Ausgabenachrichten generiert:

Host-Sicherheitslücken auflisten

Mit dieser Aktion können Sie Sicherheitslücken auflisten, die von Carbon Black Cloud auf dem Host gefunden wurden.

Diese Aktion wird für die folgenden Einheiten ausgeführt:

• IP-Adresse
• Hostname

Parameter

Aktionsausgaben

Die Aktion bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Host-Sicherheitslücken auflisten“ beschrieben:

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion „List Host Vulnerabilities“ (Host-Sicherheitslücken auflisten) empfangen wird:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}

Ausgabemeldungen

In einer Case Wall werden mit der Aktion „Host-Schwachstellen auflisten“ die folgenden Ausgabemeldungen bereitgestellt:

Connectors

Die folgenden Connectors sind für die Verwendung in der VMware Carbon Black Cloud-Integration verfügbar:

1. Der Alert Connector ist veraltet. Es werden dieselben Carbon Black-Benachrichtigungsdaten für Google SecOps SOAR-Benachrichtigungen und ‑Ereignisse verwendet, sodass die Carbon Black-Ereignisdaten vollständig fehlen. Verwenden Sie stattdessen den Baseline-Connector oder den Tracking-Connector.

2. Der Baseline Connector ruft sowohl Benachrichtigungen als auch Ereignisse aus Carbon Black ab. Dieser Connector überwacht nicht, ob Carbon Black-Benachrichtigungen neue Ereignisse hinzugefügt werden.

3. Der Tracking Connector ruft sowohl Benachrichtigungen als auch Ereignisse aus Carbon Black ab und überwacht, ob bereits aufgenommenen Benachrichtigungen neue Ereignisse hinzugefügt werden. Wenn ein neues Ereignis in einer CB-Benachrichtigung angezeigt wird, erstellt der Connector eine neue Google SecOps SOAR-Benachrichtigung mit Ereignissen, die einer Carbon Black-Benachrichtigung hinzugefügt wurden.

Eine Anleitung zum Konfigurieren eines Connectors in Google SecOps SOAR finden Sie unter Connector konfigurieren.

VMware Carbon Black Cloud Alerts Connector – eingestellt

Sie erhalten Benachrichtigungen von VMware Carbon Black Cloud als Google SecOps SOAR-Benachrichtigungen zur Analyse auf der Google SecOps SOAR-Plattform.

Übersicht über Connectors

Der Connector stellt regelmäßig eine Verbindung zum VMware Carbon Black Cloud API-Endpunkt her und ruft eine Liste der Warnungen ab, die in einem bestimmten Zeitraum generiert wurden. Wenn neue Benachrichtigungen vorhanden sind, erstellt der Connector Google SecOps SOAR-Benachrichtigungen basierend auf den Carbon Black Cloud-Benachrichtigungen und speichert den Connector-Zeitstempel als die Zeit der letzten erfolgreich aufgenommenen Benachrichtigung. Bei der nächsten Ausführung des Connectors werden von diesem nur Warnungen abgefragt, die nach dem Zeitstempel erstellt wurden.

Der Connector sucht nach doppelten Benachrichtigungen (als „Overflow“ gekennzeichnete Benachrichtigungen) und erstellt keine Google SecOps SOAR-Benachrichtigungen aus den doppelten Benachrichtigungen.

Testmodus:Der Connector verfügt über einen Testmodus für Debugging und Fehlerbehebung. Im Testmodus führt der Connector die folgenden Schritte aus:

• Der Zeitstempel der letzten Ausführung wird nicht aktualisiert.
• Ruft Benachrichtigungen basierend auf der angegebenen Anzahl von Stunden ab.
• Gibt eine einzelne Benachrichtigung für die Aufnahme zurück.

Verschlüsselte Kommunikation:Der Connector unterstützt verschlüsselte Kommunikation (SSL oder TLS).

Proxy-Unterstützung:Der Connector unterstützt die Verbindung zu den API-Endpunkten über einen Proxy für HTTPS-Traffic.

Unicode-Unterstützung:Der Connector unterstützt die Unicode-Codierung für die verarbeiteten Benachrichtigungen.

API-Berechtigungen

Der Carbon Black Cloud-Connector verwendet dieselben API-Anmeldedaten wie die Carbon Black Cloud-Integration. Weitere Informationen zur API-Konfiguration für Carbon Black Cloud finden Sie im Abschnitt Voraussetzungen.

Connector-Parameter

Wenn Sie die Connector-Parameter konfigurieren oder bearbeiten möchten, müssen Sie in Google SecOps Mitglied der Berechtigungsgruppe „Administratoren“ sein. Weitere Informationen zu Berechtigungsgruppen für Nutzer finden Sie unter Mit Berechtigungsgruppen arbeiten.

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Connector-Regeln

• Der Connector unterstützt die Verwendung von Proxys.

VMware Carbon Black Cloud Alerts and Events Baseline Connector

Übersicht

Mit dem VMware Carbon Black Cloud Baseline Connector können Sie die Carbon Black Cloud-Benachrichtigungen und zugehörigen Ereignisse für Benachrichtigungen erfassen. Nachdem Warnungen aufgenommen wurden, werden sie in Google SecOps als verarbeitet gekennzeichnet und es werden keine Updates für sie abgerufen. Verwenden Sie den Tracking-Connector, um Benachrichtigungsaktualisierungen abzurufen.

Felder „Benachrichtigungsname“ und „Regelgenerator“ in Google SecOps anpassen

Mit dem Connector können Sie die Feldwerte Alert Name (Name der Benachrichtigung) und Rule Generator (Regelgenerator) von Google SecOps SOAR mithilfe von Vorlagen anpassen. Bei Vorlagen ruft der Connector Daten aus den von der API zurückgegebenen Carbon Black Cloud-Benachrichtigungsdaten ab.

Im Folgenden finden Sie ein Beispiel für die Carbon Black Cloud-Benachrichtigungsdaten, die von der API zurückgegeben werden. Die Benachrichtigungsdaten verweisen auf die in der Benachrichtigung verfügbaren Felder und können für Vorlagen verwendet werden:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Connector-Parameter

Wenn Sie die Connector-Parameter konfigurieren oder bearbeiten möchten, müssen Sie in Google SecOps Mitglied der Berechtigungsgruppe „Administratoren“ sein. Weitere Informationen zu Berechtigungsgruppen für Nutzer finden Sie unter Mit Berechtigungsgruppen arbeiten.

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Connector-Regeln

• Der Connector unterstützt die Verwendung von Proxys.

VMware Carbon Black Cloud Alerts and Events Tracking Connector

Übersicht

Mit dem VMware Carbon Black Cloud Tracking-Connector können Sie Carbon Black Cloud-Benachrichtigungen und zugehörige Ereignisse abrufen. Wenn der Connector neue Ereignisse für bereits verarbeitete Carbon Black Cloud-Benachrichtigungen erkennt, wird für jedes neu erkannte Ereignis eine zusätzliche Google SecOps SOAR-Benachrichtigung erstellt.

Felder „Benachrichtigungsname“ und „Regelgenerator“ in Google SecOps anpassen

Mit dem Connector können Sie die Feldwerte Alert Name und Rule Generator von Google SecOps SOAR über Vorlagen anpassen. Bei Vorlagen ruft der Connector Daten aus den von der API zurückgegebenen Carbon Black Cloud-Benachrichtigungsdaten ab.

Im Folgenden finden Sie ein Beispiel für die Carbon Black Cloud-Benachrichtigungsdaten, die von der API zurückgegeben werden. Die Benachrichtigungsdaten verweisen auf die in der Benachrichtigung verfügbaren Felder und können für Vorlagen verwendet werden:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Connector-Parameter

Wenn Sie die Connector-Parameter konfigurieren oder bearbeiten möchten, müssen Sie in Google SecOps Mitglied der Berechtigungsgruppe „Administratoren“ sein. Weitere Informationen zu Berechtigungsgruppen für Nutzer finden Sie unter Mit Berechtigungsgruppen arbeiten.

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Connector-Regeln

• Der Connector unterstützt die Verwendung von Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten