Esta página se ha traducido con Cloud Translation API.

VMware Carbon Black Cloud

En este documento se ofrece información a los administradores sobre cómo configurar e integrar VMware Carbon Black Cloud con el módulo SOAR de Google Security Operations.

Versión de integración: 32.0

Información general

La integración de VMware Carbon Black Cloud te ayuda con las siguientes tareas:

Ingiere eventos y alertas de VMware Carbon Black Cloud para crear alertas.

Google SecOps usa alertas para llevar a cabo orquestaciones con runbooks o análisis manuales.
Realiza acciones de enriquecimiento.

Obtén datos de VMware Carbon Black Cloud para enriquecer los datos de las alertas de Google SecOps.
Realizar acciones activas.

Programa un análisis y pon en cuarentena un host en Google SecOps SOAR mediante el agente de VMware Carbon Black Cloud.

Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el segmento de Cloud Storage.

Requisitos previos

Esta sección se aplica a la configuración inicial de la integración. Para asegurarte de que los datos fluyen como se espera desde VMware Carbon Black Cloud hasta Google SecOps, completa los pasos que se indican en esta sección en VMware Carbon Black Cloud.

Para configurar el acceso a la API para la integración de VMware Carbon Black Cloud, sigue estos pasos:

Configura el nivel de acceso.
Crea una clave de API.

Esta integración tiene limitaciones. Para obtener más información sobre las limitaciones, consulta Configurar la anulación de reputación en la documentación de VMware Carbon Black Cloud.

Configurar el nivel de acceso

Para configurar el nivel de acceso de la integración de VMware Carbon Black Cloud, sigue estos pasos:

En la consola de VMware Carbon Black Cloud, vaya a Configuración > Acceso a la API.
Selecciona Niveles de acceso.
Haz clic en Añadir nivel de acceso.

Proporciona un nombre y una descripción para el nuevo nivel de acceso y selecciona los siguientes permisos:

Categoría	Nombre del permiso	Nombre de la notación	Tipo de permiso
Alertas	Información general	org.alerts	Leer
Alertas	Cerrar	org.alerts.dismiss	Ejecutar
Dispositivo	Cuarentena	device.quarantine	Ejecutar
Dispositivo	Bypass	device.bypass	Ejecutar
Dispositivo	Información general	dispositivo	Leer
Dispositivo	Asignación policial	device.policy	Actualizar
Dispositivo	Análisis en segundo plano	device.bg-scan	Ejecutar
Buscar	Eventos	org.search.events	Crear Leer

Haz clic en Guardar.

Crear una clave de API

Para crear una clave de API para la integración de VMware Carbon Black Cloud, sigue estos pasos:

En la consola de VMware Carbon Black Cloud, ve a Configuración > Acceso a la API > Claves de API.
Haz clic en Añadir clave de API.
Introduce el nombre de la clave y selecciona el nivel de acceso que has creado en una sección anterior.
Haz clic en Guardar para obtener tu par de clave secreta de API e ID de API.

Guarda el valor de tu clave secreta de la API, ya que no podrás recuperarlo más adelante.

Integrar VMware Carbon Black Cloud con Google SecOps

Para configurar o editar los parámetros de integración, debes pertenecer al grupo de permisos Administradores de Google SecOps. Para obtener más información sobre los grupos de permisos de los usuarios, consulta el artículo Trabajar con grupos de permisos.

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	No aplicable	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	No aplicable	No	Descripción de la instancia.
Raíz de la API	Cadena	`https://defense.conferdeploy.net/`	Sí	URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	Cadena	No aplicable	Sí	Clave de organización de VMware Carbon Black Cloud.
ID de API	Cadena	No aplicable	Sí	ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	Cadena	No aplicable	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Verificar SSL	Casilla	Seleccionado	No	Si se selecciona esta opción, Google SecOps verifica que el certificado SSL de la conexión al servidor de VMware Carbon Black Cloud sea válido.
Ejecutar de forma remota	Casilla	No seleccionada	No	Seleccione la casilla para ejecutar la integración configurada de forma remota. Después de marcar la casilla, aparece la opción para seleccionar al usuario remoto (agente).

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes cambiar la configuración más adelante. Una vez que hayas configurado las instancias, podrás usarlas en los playbooks. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Ping

Prueba la conectividad con VMware Carbon Black Cloud.

Parámetros

Ninguno

Casos prácticos

La acción prueba la conectividad cuando se ejecuta desde la página de configuración de la integración en la pestaña Google SecOps Marketplace. Puedes ejecutar esta acción manualmente, pero no puedes usarla en tus guías.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de la secuencia de comandos	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un panel de casos, la acción Ping proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters! La acción se ha realizado correctamente.

Mensaje resultante	Descripción del mensaje
`Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters!`	La acción se ha realizado correctamente.
`Failed to connect to the VMware Carbon Black Cloud server! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the VMware Carbon Black Cloud server! Error
      is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Enriquecer entidades

Enriquece las entidades de host o dirección IP de Google SecOps SOAR en función de la información del dispositivo de VMware Carbon Black Cloud.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Casos prácticos

Enriquece las entidades de host o IP de Google SecOps SOAR con información de VMware Carbon Black Cloud si el agente de Carbon Black está instalado en la entidad de host o dirección IP correspondiente.

Para ayudar a un responsable de respuesta ante incidentes a investigar una posible alerta de malware de un host con un sensor instalado, VMware Carbon Black Cloud puede proporcionar datos complementarios, como la información del host, el estado del sensor y su política de Carbon Black.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	Disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Enriquecimiento de entidades

Campo de enriquecimiento	Aplicabilidad
CB_Cloud.device_id	Siempre
CB_Cloud.antivirus_status	Siempre
CB_Cloud.antivirus_last_scan_time	Si la información se muestra en el resultado JSON
CB_Cloud.owner_email	Si la información se muestra en el resultado JSON
CB_Cloud.owner_first_name	Si la información se muestra en el resultado JSON
CB_Cloud.owner_last_name	Si la información se muestra en el resultado JSON
CB_Cloud.last_contact_time	Siempre
CB_Cloud._last_device_policy_changed_time	Si la información se muestra en el resultado JSON
CB_Cloud.last_external_ip_address	Siempre
CB_Cloud.last_internal_ip_address	Siempre
CB_Cloud.last_location	Siempre
CB_Cloud.full_device_name	Siempre
CB_Cloud.organization_id	Siempre
CB_Cloud.organization_name	Siempre
CB_Cloud.device_os	Si la información se muestra en el resultado JSON
CB_Cloud.device_os_version	Si la información se muestra en el resultado JSON
CB_Cloud.passive_mode	Siempre
CB_Cloud.device_policy_id	Siempre
CB_Cloud.device_policy_name	Siempre
CB_Cloud.device_policy_override	Si es verdadero
CB_Cloud.quarantined	Siempre
CB_Cloud.scan_status	Si la información se muestra en el resultado JSON
CB_Cloud.sensor_out_of_date	Siempre
CB_Cloud.sensor_states	Siempre
CB_Cloud.sensor_version	Siempre
CB_Cloud.device_status	Siempre

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe el resultado en JSON que se recibe al usar la acción Enriquecer entidades:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}

Mensajes de salida

En un panel de casos, la acción Enriquecer entidades proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully enriched entities: ENTITY_ID_LIST` `No entities were enriched.` `Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute Enrich Entities action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully enriched entities: ENTITY_ID_LIST

No entities were enriched.

Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute Enrich Entities action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Cerrar alerta de VMware Carbon Black Cloud

Cierra la alerta de VMware Carbon Black Cloud.

En los eventos creados por el conector de alertas de VMware Carbon Black Cloud, el campo Event.id se puede usar como marcador de posición del ID de alerta para descartar una alerta en la acción Descartar alerta de VMware Carbon Black Cloud.

Esta acción acepta IDs de alerta en formato alfanumérico, como 27162661199ea9a043c11ea9a29a93652bc09fd, no en el formato que aparece en la interfaz de usuario, como DONAELUN.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de alerta	Cadena	No aplicable	Sí	ID de la alerta que se va a descartar en el servidor de VMware Carbon Black Cloud. Especifica el ID de alerta en formato alfanumérico, como `27162661199ea9a043c11ea9a29a93652bc09fd`, no en el formato que aparece en la interfaz de usuario, como `DONAELUN`.
Motivo del rechazo	DDL	No dismissal reason	No	Motivo del rechazo de la alerta de VMware Carbon Black Cloud. Estos son los valores posibles: No dismissal reason Resuelto Resuelto: benigno o bueno conocido Duplicar o limpiar Otro
Determinación	DDL	Ninguno	No	El valor de determinación que se debe definir para una alerta. Estos son los valores posibles: Ninguno Positivo verdadero Falso positivo
Mensaje para cerrar la alerta	Cadena	No aplicable	No	Mensaje que se añade al descartar la alerta.

Casos prácticos

Rechazar o cerrar una alerta de VMware Carbon Black Cloud en función del análisis realizado en Google SecOps SOAR.

Una vez que se haya procesado la alerta en Google SecOps SOAR, para mantener sincronizado el estado de la alerta entre VMware Carbon Black Cloud y Google SecOps SOAR, el usuario debe realizar una acción que cierre la alerta de VMware Carbon Black Cloud desde Google SecOps SOAR.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Dismiss VMware Carbon Black Cloud Alert:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción Descartar alerta de VMware Carbon Black Cloud proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID` `Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON`	La acción se ha realizado correctamente.
`Failed to execute Dismiss alert action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID

Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON

La acción se ha realizado correctamente.

Failed to execute Dismiss alert action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Actualizar una política de un dispositivo por ID de política

Cambiar una política en el sensor de VMware Carbon Black Cloud de un host. El ámbito de la acción es la entidad Dirección IP o Host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de política	Entero	No aplicable	Sí	Especifica una política para asociarla al sensor de VMware Carbon Black Cloud.

Casos prácticos

Crea una tarea de actualización de políticas en el servidor de VMware Carbon Black Cloud desde Google SecOps SOAR.

Al analizar las alertas, un encargado de responder a incidentes se dio cuenta de que el mismo host había generado varias alertas falsas positivas en un breve periodo de tiempo. Pueden usar esta acción para crear una tarea de actualización de la política que cambie la política del sensor para que sea menos restrictiva.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Actualizar una política de un dispositivo por ID de política:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción Update a Policy for Device by Policy ID (Actualizar una política de un dispositivo por su ID) proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Análisis en segundo plano del dispositivo

Crea una tarea de análisis en segundo plano de dispositivos en el servidor de VMware Carbon Black Cloud que se base en las entidades de dirección IP o de host.

Casos prácticos

Crea una tarea de análisis en segundo plano para el host mediante el sensor de VMware Carbon Black Cloud de Google SecOps SOAR.

Al analizar las alertas, la persona encargada de responder a los incidentes se da cuenta de que un host puede estar en peligro. El responsable de la respuesta ante incidentes puede usar esta acción para solicitar un análisis en segundo plano a petición del host. Este análisis comprueba si hay otros ejecutables sospechosos en el host y el sensor del host crea alertas para estos ejecutables sospechosos.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Análisis en segundo plano del dispositivo:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción de análisis en segundo plano del dispositivo proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created a background scan task for the following entities: ENTITY_ID_LIST` `No tasks were created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created a background scan task for the following entities: ENTITY_ID_LIST

No tasks were created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Habilitar el modo de derivación para un dispositivo

Habilita la tarea del modo de derivación para un dispositivo en el servidor VMware Carbon Black Cloud. La tarea se basa en las entidades de dirección IP o host de Google SecOps SOAR.

Casos prácticos

Crea una tarea Habilitar modo de derivación en el servidor VMware Carbon Black Cloud desde Google SecOps SOAR.

Al analizar las alertas relacionadas con un sensor de una plataforma específica o un host, un técnico de respuesta ante incidentes se dio cuenta de que el sensor crea varias alertas falsas positivas. Pueden usar esta acción para habilitar el modo de derivación y monitorizar qué eventos procesa el agente remoto como alertas, así como para actualizar las políticas.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Habilitar modo de derivación para dispositivo:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción Habilitar modo de derivación para dispositivo proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST` `No taskswere created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST

No taskswere created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Inhabilitar el modo de derivación en un dispositivo

Crea una tarea de modo de derivación de inhabilitación para los dispositivos del servidor VMware Carbon Black Cloud. La tarea se basa en la dirección IP o en las entidades de host de Google SecOps SOAR.

Casos prácticos

Después de habilitar el modo de derivación en un sensor específico y solucionar los problemas de configuración y políticas de VMware Carbon Black Cloud, un responsable de respuesta ante incidentes determinó que el sensor de Carbon Black funciona correctamente y no requiere funcionar en modo de derivación. Ejecutan la acción Crear tarea para inhabilitar el modo de derivación para crear una tarea que inhabilite el modo de derivación en un host específico.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Inhabilitar el modo de derivación del dispositivo:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción Inhabilitar modo de derivación para dispositivo proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Poner dispositivo en cuarentena

Crea una tarea de dispositivo en cuarentena en el servidor de VMware Carbon Black Cloud basada en las entidades de dirección IP o de host de Google SecOps SOAR.

Casos prácticos

Un técnico de respuesta ante incidentes ha detectado que un host muestra signos de estar en peligro y puede usar esta tarea para ponerlo en cuarentena.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Poner en cuarentena el dispositivo:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Poner en cuarentena dispositivo:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]

Mensajes de salida

En un panel de casos, la acción Poner dispositivo en cuarentena proporciona los siguientes mensajes:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Desaislar dispositivo

Crea una tarea de dispositivo sin cuarentena en el servidor de VMware Carbon Black Cloud en función de las entidades de dirección IP o host de Google SecOps SOAR.

Casos prácticos

Tras analizar y corregir una alerta relacionada con un host específico gestionado por VMware Carbon Black Cloud, un responsable de respuesta ante incidentes descubrió que el host no estaba en peligro. Ejecutan la acción UnquarantineDevice para crear una tarea de host sin cuarentena en el servidor de VMware Carbon Black Cloud y conectarse al host.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Desaislar dispositivo:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un panel de casos, la acción Desaislar dispositivo proporciona los siguientes mensajes:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Failed to execute action! Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Failed to execute action! Error is
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Ejecutar búsqueda de procesos de entidad

Usa esta acción para buscar información sobre procesos que se almacenan en VMware Carbon Black Cloud.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Usuario
Hash
Proceso

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Fila inicial	Entero	0	No	Especifica la fila de la que se van a obtener los datos.
Número máximo de filas que se devolverán	Entero	50	No	Especifica cuántas filas debe devolver la acción.
Crear estadística	Casilla	No seleccionada	No	Si se selecciona, la acción crea una estadística de Google SecOps SOAR basada en la información del proceso de Carbon Black Cloud.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Enriquecimiento de entidades

Campo de enriquecimiento	Lógica
IsSuspicous	Se le asigna el valor True cuando los datos devueltos incluyen una categoría de alerta (`alert_category`) con el valor `THREAT` y una lista de IDs de alerta (`alert_ids`) asociados al proceso.

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar búsqueda de proceso de entidad:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar búsqueda de procesos de entidad:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}

Mensajes de salida

En un Case Wall, la acción Ejecutar búsqueda de procesos de entidad proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Process information was found for the following entities ENTITY_ID_LIST` `Process information was not found for all of the provided entities.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se ha realizado correctamente.
`Error executing action "Execute Entity Processes Search". Error is ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Process information was found for the following entities ENTITY_ID_LIST

Process information was not found for all of the provided entities.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Error executing action "Execute Entity Processes Search". Error
      is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Mostrar anulaciones de reputación

Usa esta acción para enumerar las anulaciones de reputación configuradas en VMware Carbon Black Cloud.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Lista de anulaciones de reputación	DDL	Sin especificar Posibles valores: Sin especificar White_List Black_List	No	Especifica la acción de la lista de sustituciones que se debe devolver.
Tipo de anulación de reputación	DDL	Sin especificar Posibles valores: Sin especificar CERTIFICADO SHA256 IT_TOOL	No	Especifica el tipo de anulación que debe devolver la acción.
Fila inicial	Entero	0	No	Especifica desde qué fila debe obtener los datos la acción de la fila.
Número máximo de filas que se devolverán	Entero	50	No	Especifica cuántas filas debe devolver la acción.
Orden de las filas	DDL	ASC Posibles valores: Ascendente Descendente		Especifica el orden de las filas devueltas. Las filas se ordenan en función del valor de `create_time`.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	Disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Tabla del panel de casos

En el muro de casos, la lista de anulaciones de reputación proporciona las siguientes tablas:

Tabla SHA-256

Nombre de la tabla: Found SHA-256 Reputation Overrides

Columnas de la tabla:
- Hash SHA-256
- Nombre del archivo
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Hora de creación
- Creado por
Tabla CERT

Nombre de la tabla: Found CERT Reputation Overrides

Columnas de la tabla:
- Autoridad de certificación
- Firmado por
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Hora de creación
- Creado por
Tabla IT TOOL

Nombre de la tabla: Found IT_TOOL Reputation Overrides

Columnas de la tabla:
- Ruta de la herramienta de TI
- Incluir procesos secundarios
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Hora de creación
- Creado por

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Reputation Overrides:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción List Reputation Overrides (Listar anulaciones de reputación) de un certificado:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción List Reputation Overrides para un hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List Reputation Overrides (Listar anulaciones de reputación) de una herramienta de TI:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensajes de salida

En un panel de casos, la acción List Reputation Overrides (Listar anulaciones de reputación) proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Reputation overrides found.` `No reputation overrides found.`	La acción se ha realizado correctamente.
`Error executing action "List Reputation Overrides". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Reputation overrides found.

No reputation overrides found.

La acción se ha realizado correctamente.

Error executing action "List Reputation Overrides". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Crear una anulación de reputación para un certificado

Crea una anulación de reputación para el certificado. Para obtener más información sobre la anulación de la reputación, consulta Anulación de la reputación.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Autoridad de certificación	Cadena	No aplicable	No	Especifica la autoridad de certificación que autoriza la validez del certificado que se va a añadir a la anulación de reputación.
Firmado por	Cadena		Sí	Especifica el nombre del firmante que quieres añadir a la anulación de reputación.
Descripción	Cadena	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulaciones de reputación	DDL	Sin especificar	Sí	Especifica la lista de anulaciones que quieres crear.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Crear una anulación de reputación de certificado:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe el resultado en JSON que se recibe al usar la acción Crear una anulación de reputación para un certificado:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}

Mensajes de salida

En un panel de casos, la acción Crear una anulación de reputación para el certificado proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created new reputation override: OVERRIDE_ID` `Action failed to create a new certificate reputation override. Reason:ERROR_REASON`	La acción se ha realizado correctamente.
`Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for Certificate". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created new reputation override: OVERRIDE_ID

Action failed to create a new certificate reputation override. Reason:ERROR_REASON

La acción se ha realizado correctamente.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for
      Certificate". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Crear una anulación de reputación para un hash SHA-256

Crea una anulación de reputación para el hash proporcionado en formato SHA-256. Para obtener más información sobre la anulación de la reputación, consulta ReputationOverride.

Esta acción se ejecuta en la entidad FileHash si se proporciona.

Puedes proporcionar el hash SHA-256 como una entidad (artefacto) FileHash de Google SecOps SOAR o como un parámetro de entrada de acción. Si el hash se transfiere a la acción como entidad y como parámetro de entrada, la acción se ejecuta en el parámetro de entrada.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Hash SHA-256	Cadena	No aplicable	No	Especifica un valor de hash SHA-256 para crear una anulación.
Nombre del archivo	Cadena	No aplicable	Sí	Especifica el nombre de archivo correspondiente que quieres añadir a una anulación de reputación.
Descripción	Cadena	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulaciones de reputación	DDL	Sin especificar	Sí	Especifica la lista de anulaciones que quieres crear.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Crear una anulación de reputación para el hash SHA-256:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Crear una anulación de reputación para un hash SHA-256:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}

Mensajes de salida

En un muro de casos, la acción Crear una anulación de reputación para el hash SHA-256 proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mensaje resultante	Descripción del mensaje
`Successfully created reputation override for the following entities: ENTITY_ID_LIST` `Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR` `No reputation overrides were created.`	La acción se ha realizado correctamente.
`Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.` `Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON`	Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created reputation override for the following entities: ENTITY_ID_LIST

Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

No reputation overrides were created.

La acción se ha realizado correctamente.

Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Crear una anulación de reputación para una herramienta de TI

Usa esta acción para crear una anulación de reputación de la herramienta de TI específica, como Jira o ServiceNow. La anulación de la reputación se basa en un nombre de archivo y una ruta. Para obtener más información sobre la anulación de la reputación, consulta ReputationOverride.

Esta acción se ejecuta en la entidad File si se proporciona.

Puede proporcionar el nombre de archivo como una entidad (artefacto) de archivo de Google SecOps SOAR o como un parámetro de entrada de acción. Si el nombre de archivo se transfiere a la acción como entidad y como parámetro de entrada, la acción usará el parámetro de entrada. La acción añade el nombre del archivo al parámetro Ruta del archivo para obtener la ruta resultante y añadirla a la anulación.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del archivo	Cadena	No aplicable	No	Especifica el nombre de archivo correspondiente que quieres añadir a la anulación de reputación.
Ruta del archivo	Cadena	No aplicable	Sí	Especifica la ruta en la que se almacena en el disco la herramienta de TI correspondiente para añadir la ruta a la anulación de reputación. Aquí tienes un ejemplo: `C\\TMP\\`.
Incluir procesos secundarios	Casilla	No seleccionada	No	Si se selecciona, incluye los procesos secundarios de la herramienta de TI en la lista aprobada.
Descripción	Cadena	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulaciones de reputación	DDL	Sin especificar	Sí	Especifica la lista de anulaciones que quieres crear.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Crear anulación de reputación para herramienta de TI:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Crear anulación de reputación para herramienta de TI:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensajes de salida

En un muro de casos, la acción Crear una anulación de reputación para la herramienta de TI proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully created reputation override for the following entities: ENTITY_ID_LIST

No reputation overrides were created.

Action failed to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

La acción se ha realizado correctamente.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for IT Tool". Reason: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Eliminar una anulación de reputación

Elimina una anulación de reputación mediante el ID de anulación de reputación proporcionado. Para obtener más información sobre la anulación de la reputación, consulta ReputationOverride.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de anulación de reputación	Cadena	No aplicable	Sí	Especifica el ID de la anulación de reputación que quieres eliminar.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Eliminar anulación de reputación:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un panel de casos, la acción Eliminar una anulación de reputación proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully deleted reputation override OVERRIDE_ID_

No tasks were created.

Action failed to delete reputation override OVERRIDE_ID. Reason: ERROR_REASON

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se ha realizado correctamente.

Error executing action "Delete a Reputation Override". Reason:
      ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Mostrar vulnerabilidades de hosts

Usa esta acción para enumerar las vulnerabilidades que Carbon Black Cloud ha encontrado en el host.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Parámetros

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Filtro de gravedad

CSV

No aplicable

Especifica la lista separada por comas de las gravedades de las vulnerabilidades.

Si no se proporciona nada, la acción ingiere todas las vulnerabilidades relacionadas.

Valores posibles: Crítico, Importante, Moderado y Bajo.

Número máximo de vulnerabilidades que se devolverán

Entero

100

Especifica el número de vulnerabilidades que se devolverán por cada host.

Si no se proporciona nada, la acción procesa todas las vulnerabilidades relacionadas.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de la secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Host Vulnerabilities:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List Host Vulnerabilities:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}

Mensajes de salida

En un Case Wall, la acción List Host Vulnerabilities proporciona los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully retrieved vulnerabilities for the following hosts: ENTITIES

No vulnerabilities were found.

No vulnerabilities were found for the following hosts: ENTITIES

La acción se ha realizado correctamente.

Error executing action "List Host Vulnerabilities". Reason: ERROR_REASON

Error executing action "List Host Vulnerabilities". Reason: Invalid value provided in the "Severity Filter parameter. Possible values: Critical, High, Medium, Low, Unknown.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Los siguientes conectores se pueden usar en la integración de VMware Carbon Black Cloud:

Alert Connector, deprecated. Usa los mismos datos de alertas de Carbon Black para las alertas y los eventos de SOAR de Google SecOps, por lo que no tiene en cuenta los datos de eventos de Carbon Black. En su lugar, usa el conector de línea de base o el de seguimiento.
Baseline Connector obtiene tanto alertas como eventos de Carbon Black. Este conector no monitoriza si se añaden eventos nuevos a las alertas de Carbon Black.
Tracking Connector obtiene tanto alertas como eventos de Carbon Black y monitoriza si se añaden eventos nuevos a las alertas ya ingeridas. Si aparece un evento nuevo en una alerta de CB, el conector crea una alerta de SOAR de Google SecOps con los eventos que se han añadido a una alerta de Carbon Black.

Para obtener instrucciones sobre cómo configurar un conector en Google SecOps SOAR, consulta el artículo sobre cómo configurar el conector.

Conector de alertas de VMware Carbon Black Cloud (obsoleto)

Recibe alertas de VMware Carbon Black Cloud como alertas de SOAR de Google SecOps para analizarlas en la plataforma SOAR de Google SecOps.

Descripción general de los conectores

El conector se conecta periódicamente al endpoint de la API de VMware Carbon Black Cloud y obtiene una lista de alertas que se han generado durante un periodo específico. Si hay alertas nuevas, el conector crea alertas de SOAR de Google SecOps basadas en las alertas de Carbon Black Cloud y guarda la marca de tiempo del conector como la última hora de alerta ingerida correctamente. Durante la siguiente ejecución del conector, este consulta la API de Carbon Black solo para obtener las alertas que se hayan creado después de la marca de tiempo.

El conector comprueba si hay alertas duplicadas (es decir, alertas marcadas como desbordamiento) y no crea alertas de Google SecOps SOAR a partir de ellas.

Modo de prueba: el conector tiene un modo de prueba para depurar y solucionar problemas. En el modo de prueba, el conector hace lo siguiente:

No actualiza la marca de tiempo de la última ejecución.
Recupera las alertas en función del número de horas especificado.
Devuelve una sola alerta para la ingestión.

Comunicaciones cifradas: el conector admite comunicaciones cifradas (SSL o TLS).

Compatibilidad con proxy: el conector admite la conexión a los endpoints de la API mediante proxy para el tráfico HTTPS.

Compatibilidad con Unicode: el conector admite la codificación Unicode para las alertas procesadas.

Permisos de APIs

El conector de Carbon Black Cloud usa las mismas credenciales de API que la integración de Carbon Black Cloud. Para obtener más información sobre la configuración de la API de Carbon Black Cloud, consulta la sección Requisitos previos.

Parámetros del conector

Para configurar o editar los parámetros del conector, debes estar incluido en el grupo de permisos Administradores de Google SecOps. Para obtener más información sobre los grupos de permisos de los usuarios, consulta el artículo Trabajar con grupos de permisos.

Utiliza los siguientes parámetros para configurar el conector:

Parámetro	Tipo	Valor predeterminado	Obligatorio	Descripción
Entorno	DDL	No aplicable	Sí	Seleccione el entorno que quiera. Por ejemplo, "Cliente uno". Si el campo de entorno de la alerta está vacío, la alerta se inyectará en este entorno.
Ejecutar cada	Entero	0:0:0:10	No	Selecciona la hora a la que quieres que se ejecute la conexión.
Nombre del campo de producto	Cadena	ProductName	Sí	Nombre del campo en el que se almacena el nombre del producto.
Nombre del campo de evento	Cadena	AlertName	Sí	Nombre del campo en el que se almacena el nombre del evento.
ID de clase de evento	Cadena	AlertName	No	Nombre del campo que se usa para determinar el nombre del evento (subtipo).
Tiempo de espera del proceso de Python	Cadena	180	Sí	El límite de tiempo de espera (en segundos) del proceso de Python que está ejecutando la secuencia de comandos actual.
Nombre del campo de entorno	Cadena	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es `""`.
Patrón de regex de entorno	Cadena	.*	No	Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	Cadena	No aplicable	Sí	URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	Cadena	N/A	Sí	Clave de organización de VMware Carbon Black Cloud.
ID de API	Cadena	N/A	Sí	ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	Cadena	N/A	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Diferencia horaria	Entero	24	Sí	Número de horas a partir de las que se deben obtener las alertas.
Número máximo de alertas por ciclo	Entero	10	Sí	Número de alertas que se van a procesar en una sola ejecución del conector.
Gravedad mínima para obtener	Entero	N/A	No	La gravedad mínima de la alerta de Carbon Black Cloud que se va a ingerir en Google SecOps SOAR.
Qué campo de alerta usar para el campo Nombre	Cadena	tipo	Sí	El campo de alerta de Carbon Black Cloud que se va a usar en el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son type y policy_name.
Qué campo de alerta usar en el generador de reglas	Cadena	tipo	Sí	Campo de alerta de Carbon Black Cloud que se va a usar en el campo Generador de reglas de alertas de SOAR de SecOps de Google. Los valores posibles son type, category y policy_name.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se va a usar para la conexión.
Nombre de usuario del servidor proxy	Cadena	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.

Reglas de conectores

El conector admite el uso de proxies.

Conector de línea de base de alertas y eventos de VMware Carbon Black Cloud

Información general

Usa el conector de línea de base de VMware Carbon Black Cloud para ingerir las alertas de Carbon Black Cloud y los eventos relacionados con las alertas. Después de ingerir las alertas, Google SecOps las etiqueta como procesadas y no obtiene ninguna actualización sobre ellas. Para obtener actualizaciones de alertas, usa el conector de seguimiento.

Personalizar los campos Nombre de la alerta y Generador de reglas en Google SecOps

El conector ofrece la opción de personalizar los valores de los campos Nombre de alerta y Generador de reglas de Google SecOps SOAR mediante plantillas. En el caso de las plantillas, el conector obtiene datos de alerta de Carbon Black Cloud devueltos por la API.

A continuación, se muestra un ejemplo de los datos de alerta de Carbon Black Cloud que devuelve la API. Los datos de las alertas hacen referencia a los campos disponibles en la alerta y se pueden usar en plantillas:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	ProductName	Sí	Nombre del campo en el que se almacena el nombre del producto.
Nombre del campo de evento	Cadena	AlertName	Sí	Nombre del campo en el que se almacena el nombre del evento.
Nombre del campo de entorno	Cadena	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es `""`.
Patrón de regex de entorno	Cadena	.*	No	Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	Cadena	`https://defense.conferdeploy.net`	Sí	URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	Cadena	No aplicable	Sí	Clave de organización de VMware Carbon Black Cloud. Por ejemplo, 7DDDD9DD.
ID de API	Cadena	No aplicable	Sí	ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	Cadena	No aplicable	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Diferencia horaria	Entero	24	Sí	Número de horas a partir de las que se deben obtener las alertas.
Número máximo de alertas por ciclo	Entero	10	Sí	Número de alertas que se van a procesar en una sola ejecución del conector.
Gravedad mínima para obtener	Entero	N/A	No	Gravedad mínima de las alertas de Carbon Black Cloud que se van a ingerir en Google SecOps SOAR. Por ejemplo, 4 o 7.
Qué campo de alerta usar para el campo Nombre	Cadena	tipo	Sí	El campo de alerta de Carbon Black Cloud que se va a usar en el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son type y policy_name.
Qué campo de alerta usar en el generador de reglas	Cadena	tipo	Sí	Campo de alerta de Carbon Black Cloud que se va a usar en el campo Generador de reglas de alertas de SOAR de SecOps de Google. Los valores posibles son type, category y policy_name.
Alert Reputation to Ingest	Cadena	No aplicable	No	La reputación de la alerta de Carbon Black Cloud que se va a ingerir. Este parámetro acepta varios valores como una cadena separada por comas.
Límite de eventos que se pueden ingerir por alerta	Entero	25	Sí	Número de eventos que se van a ingerir en cada alerta de Carbon Black Cloud.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se va a usar para la conexión.
Nombre de usuario del servidor proxy	Cadena	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.
Plantilla de nombre de alerta	Cadena	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para rellenar el campo Nombre de alerta. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usará el nombre de alerta predeterminado.
Plantilla del generador de reglas	Cadena	N/A	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para rellenar el campo Generador de reglas. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usará el valor predeterminado del generador de reglas.

Reglas de conectores

El conector admite el uso de proxies.

Conector de seguimiento de alertas y eventos de VMware Carbon Black Cloud

Información general

Usa el conector de seguimiento de VMware Carbon Black Cloud para obtener alertas de Carbon Black Cloud y eventos relacionados. Si el conector detecta nuevos eventos de alertas de Carbon Black Cloud que ya se han procesado, crea una alerta de SOAR de Google SecOps adicional por cada nuevo evento detectado.

Personalizar los campos Nombre de la alerta y Generador de reglas en Google SecOps

El conector ofrece una opción para personalizar los valores de los campos Nombre de alerta y Generador de reglas de Google SecOps SOAR mediante plantillas. En el caso de las plantillas, el conector obtiene datos de alerta de Carbon Black Cloud devueltos por la API.

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Parámetro	Tipo	Valor predeterminado	Obligatorio	Descripción
Nombre del campo de producto	Cadena	ProductName	Sí	Nombre del campo en el que se almacena el nombre del producto.
Nombre del campo de evento	Cadena	AlertName	Sí	Nombre del campo en el que se almacena el nombre del evento.
Nombre del campo de entorno	Cadena	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es `""`.
Patrón de regex de entorno	Cadena	.*	No	Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo `Environment Field Name`. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares. Usa el valor predeterminado `.*` para obtener el valor sin formato `Environment Field Name` necesario. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	Cadena	`https://defense.conferdeploy.net`	Sí	URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	Cadena	No aplicable	Sí	Clave de organización de VMware Carbon Black Cloud. Por ejemplo, 7DDDD9DD.
ID de API	Cadena	No aplicable	Sí	ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	Cadena	N/A	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Diferencia horaria	Entero	24	Sí	Número de horas a partir de las que se deben obtener las alertas.
Número máximo de alertas por ciclo	Entero	10	Sí	Número de alertas que se procesarán en una sola ejecución del conector.
Gravedad mínima para obtener	Entero	No aplicable	No	Gravedad mínima de la alerta de Carbon Black Cloud que se va a ingerir en Google SecOps SOAR. Por ejemplo, 4 o 7.
Qué campo de alerta usar para el campo Nombre	Cadena	tipo	Sí	El campo de alerta de Carbon Black Cloud que se va a usar en el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son: type y policy_name.
Qué campo de alerta usar en el generador de reglas	Cadena	tipo	Sí	Campo de alerta de Carbon Black Cloud que se va a usar en el campo Generador de reglas de alertas de SOAR de SecOps de Google. Los valores posibles son type, category y policy_name.
Alert Reputation to Ingest	Cadena	No aplicable	No	La alerta de reputación de alertas de Carbon Black Cloud que se va a ingerir. Este parámetro acepta varios valores como una cadena separada por comas.
Periodo de relleno de eventos (horas)	Entero	24	Sí	Número de horas a partir de las cuales se obtendrán los eventos de alerta.
Límite de eventos que se pueden ingerir por alerta	Entero	25	Sí	Número de eventos que se ingieren en una sola alerta de Carbon Black Cloud por cada iteración del conector.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se va a usar para la conexión.
Nombre de usuario del servidor proxy	Cadena	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.
Plantilla de nombre de alerta	Cadena	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para rellenar el campo Nombre de alerta. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usará el valor predeterminado del nombre de la alerta.
Plantilla del generador de reglas	Cadena	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para rellenar el campo Generador de reglas. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Rule - [reason]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usa el valor predeterminado del generador de reglas.
Límite total de eventos por alerta	Entero	100	No	El número total de eventos que recupera el conector de cada alerta de Carbon Black Cloud. Si se alcanza este límite, el conector no recuperará ningún evento nuevo de una alerta. Para no limitar el número total de eventos de cada alerta, deje vacío el valor de este parámetro.

Reglas de conectores

El conector admite el uso de proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.