Se usó la API de Cloud Translation para traducir esta página.

VMware Carbon Black Cloud

En este documento, se proporciona orientación a los administradores sobre cómo configurar e integrar VMware Carbon Black Cloud con el módulo SOAR de Google Security Operations.

Versión de integración: 32.0

Descripción general

La integración de VMware Carbon Black Cloud te ayuda con las siguientes tareas:

Ingiere eventos y alertas de VMware Carbon Black Cloud para crear alertas.

Google SecOps usa alertas para realizar orquestaciones con manuales o análisis manuales.
Realizar acciones de enriquecimiento

Obtén datos de VMware Carbon Black Cloud para enriquecer los datos en las alertas de SecOps de Google.
Realizar acciones activas

Programa un análisis y pon en cuarentena un host en Google SecOps SOAR con el agente de VMware Carbon Black Cloud.

Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el bucket de Cloud Storage.

Requisitos previos

Esta sección se aplica a la configuración inicial de la integración. Para asegurarte de que los datos fluyan según lo previsto desde VMware Carbon Black Cloud a Google SecOps, completa los pasos que se indican en esta sección en VMware Carbon Black Cloud.

Para configurar el acceso a la API para la integración de VMware Carbon Black Cloud, completa los siguientes pasos:

Configura el nivel de acceso.
Crear una clave de API

Esta integración tiene limitaciones. Para obtener más información sobre las limitaciones, consulta Configura la anulación de reputación en la documentación de VMware Carbon Black Cloud.

Configura el nivel de acceso

Para configurar el nivel de acceso de la integración de VMware Carbon Black Cloud, completa los siguientes pasos:

En la consola de VMware Carbon Black Cloud, ve a Settings > API Access.
Selecciona Niveles de acceso.
Haz clic en Agregar nivel de acceso.

Proporciona un nombre y una descripción para el nuevo nivel de acceso, y selecciona los siguientes permisos:

Categoría	Nombre del permiso	Nombre de la notación	Tipo de permiso
Alertas	Información general	org.alerts	Leer
Alertas	Descartar	org.alerts.dismiss	Ejecutar
Dispositivo	Poner los correos electrónicos en cuarentena	device.quarantine	Ejecutar
Dispositivo	Omitir	device.bypass	Ejecutar
Dispositivo	Información general	dispositivo	Leer
Dispositivo	Asignación policial	device.policy	Actualizar
Dispositivo	Análisis en segundo plano	device.bg-scan	Ejecutar
Buscar	Eventos	org.search.events	Crear Leer

Haz clic en Guardar.

Crea una clave de API

Para crear una clave de API para la integración de VMware Carbon Black Cloud, completa los siguientes pasos:

En la consola de VMware Carbon Black Cloud, ve a Configuración > Acceso a la API > Claves de API.
Haz clic en Agregar clave de API.
Ingresa el nombre de la clave y selecciona el nivel de acceso que creaste en una sección anterior.
Haz clic en Save para obtener tu par de clave secreta de la API y el ID de la API.

Guarda el valor de tu clave secreta de la API, ya que no podrás recuperarlo más adelante.

Integra VMware Carbon Black Cloud con Google SecOps

Para configurar o editar los parámetros de integración, debes estar incluido en el grupo de permisos de administradores en Google SecOps. Para obtener más detalles sobre los grupos de permisos para usuarios, consulta Cómo trabajar con grupos de permisos.

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	String	No aplicable	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	No aplicable	No	Es la descripción de la instancia.
Raíz de la API	String	`https://defense.conferdeploy.net/`	Sí	Es la URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	String	No aplicable	Sí	Es la clave de la organización de VMware Carbon Black Cloud.
ID de API	String	No aplicable	Sí	Es el ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	String	No aplicable	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Verificar SSL	Casilla de verificación	Seleccionado	No	Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para la conexión al servidor de VMware Carbon Black Cloud sea válido.
Ejecutar de forma remota	Casilla de verificación	Sin seleccionar	No	Selecciona la casilla de verificación para ejecutar la integración configurada de forma remota. Después de seleccionar la casilla de verificación, aparecerá la opción para seleccionar al usuario remoto (agente).

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes cambiar la configuración más adelante. Después de configurar las instancias, puedes usarlas en los playbooks. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta Admite varias instancias.

Acciones

Ping

Prueba la conectividad a VMware Carbon Black Cloud.

Parámetros

Ninguno

Casos de uso

La acción prueba la conectividad cuando se ejecuta desde la página de configuración de la integración en la pestaña de Google SecOps Marketplace. Puedes ejecutar esta acción de forma manual, pero no puedes usarla en tus guías.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Resultado de secuencia de comandos	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Ping proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters! La acción se completó correctamente.

Mensaje de salida	Descripción del mensaje
`Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters!`	La acción se completó correctamente.
`Failed to connect to the VMware Carbon Black Cloud server! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Failed to connect to the VMware Carbon Black Cloud server! Error
      is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Enriquece entidades

Enriquece las entidades de host o dirección IP de SOAR de Google SecOps según la información del dispositivo de VMware Carbon Black Cloud.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Casos de uso

Enriquece las entidades de host o IP de SOAR de Google SecOps con información de VMware Carbon Black Cloud, si el agente de Carbon Black está instalado en una entidad de host o dirección IP respectiva.

Para ayudar a un personal de respuesta ante incidentes a investigar una posible alerta de software malicioso de un host con un sensor instalado, VMware Carbon Black Cloud puede proporcionar datos de enriquecimiento, como la información del host, el estado del sensor y su política de Carbon Black.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	Disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Enriquecimiento de entidades

Campo de enriquecimiento	Aplicabilidad
CB_Cloud.device_id	Siempre
CB_Cloud.antivirus_status	Siempre
CB_Cloud.antivirus_last_scan_time	Si la información se muestra en el resultado JSON
CB_Cloud.owner_email	Si la información se muestra en el resultado JSON
CB_Cloud.owner_first_name	Si la información se muestra en el resultado JSON
CB_Cloud.owner_last_name	Si la información se muestra en el resultado JSON
CB_Cloud.last_contact_time	Siempre
CB_Cloud._last_device_policy_changed_time	Si la información se muestra en el resultado JSON
CB_Cloud.last_external_ip_address	Siempre
CB_Cloud.last_internal_ip_address	Siempre
CB_Cloud.last_location	Siempre
CB_Cloud.full_device_name	Siempre
CB_Cloud.organization_id	Siempre
CB_Cloud.organization_name	Siempre
CB_Cloud.device_os	Si la información se muestra en el resultado JSON
CB_Cloud.device_os_version	Si la información se muestra en el resultado JSON
CB_Cloud.passive_mode	Siempre
CB_Cloud.device_policy_id	Siempre
CB_Cloud.device_policy_name	Siempre
CB_Cloud.device_policy_override	Si es verdadero
CB_Cloud.quarantined	Siempre
CB_Cloud.scan_status	Si la información se muestra en el resultado JSON
CB_Cloud.sensor_out_of_date	Siempre
CB_Cloud.sensor_states	Siempre
CB_Cloud.sensor_version	Siempre
CB_Cloud.device_status	Siempre

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enrich Entities:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich Entities:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}

Mensajes de salida

En un muro de casos, la acción Enrich Entities proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully enriched entities: ENTITY_ID_LIST` `No entities were enriched.` `Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute Enrich Entities action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully enriched entities: ENTITY_ID_LIST

No entities were enriched.

Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute Enrich Entities action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Descartar la alerta de VMware Carbon Black Cloud

Descarta la alerta de VMware Carbon Black Cloud.

En los eventos creados por el conector de alertas de VMware Carbon Black Cloud, el campo Event.id se puede pasar como marcador de posición para el ID de alerta y descartar una alerta en la acción Dismiss VMware Carbon Black Cloud Alert.

Esta acción acepta IDs de alerta en formato alfanumérico, como 27162661199ea9a043c11ea9a29a93652bc09fd, no en el formato que aparece en la IU como DONAELUN.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de alerta	String	No aplicable	Sí	Es el ID de la alerta que se descartará en el servidor de VMware Carbon Black Cloud. Especifica el ID de la alerta en formato alfanumérico, como `27162661199ea9a043c11ea9a29a93652bc09fd`, no en el formato que aparece en la IU como `DONAELUN`.
Motivo del descarte	DDL	No hay motivo para descartar	No	Es el motivo por el que se descartó la alerta de VMware Carbon Black Cloud. Los valores posibles son los siguientes: No hay motivo para descartar Resuelto Resuelto: Benigno/Conocido Duplicado/Limpieza Otro
Determinación	DDL	Ninguno	No	Es el valor de determinación que se establecerá para una alerta. Los valores posibles son los siguientes: Ninguno Verdadero positivo Falso positivo
Mensaje para descartar la alerta	String	No aplicable	No	Es el mensaje que se agregará al descarte de la alerta.

Casos de uso

Descartar o cerrar una alerta de VMware Carbon Black Cloud según el análisis realizado en Google SecOps SOAR

Después de que se procesó la alerta en Google SecOps SOAR, para mantener sincronizado el estado de la alerta entre VMware Carbon Black Cloud y Google SecOps SOAR, el usuario necesita una acción que descarte (cierre) la alerta de VMware Carbon Black Cloud desde Google SecOps SOAR.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Dismiss VMware Carbon Black Cloud Alert:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Dismiss VMware Carbon Black Cloud Alert proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID` `Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON`	La acción se completó correctamente.
`Failed to execute Dismiss alert action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID

Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON

La acción se completó correctamente.

Failed to execute Dismiss alert action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Actualiza una política para un dispositivo según el ID de política

Cambiar una política en el sensor de VMware Carbon Black Cloud en un host El alcance de la acción es la entidad Dirección IP o Host.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de la política	Número entero	No aplicable	Sí	Especifica una política para asociar con el sensor de VMware Carbon Black Cloud.

Casos de uso

Crea una tarea de actualización de políticas en el servidor de VMware Carbon Black Cloud desde Google SecOps SOAR.

Cuando analizaba las alertas, un especialista en respuestas ante incidentes notó que el mismo host generó varias alertas de falso positivo en un período breve. Pueden usar esta acción para crear una tarea de actualización de políticas que cambie la política del sensor para que sea menos restrictiva.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Update a Policy for Device by Policy ID:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Update a Policy for Device by Policy ID proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Análisis en segundo plano del dispositivo

Crea una tarea de análisis en segundo plano del dispositivo en el servidor de VMware Carbon Black Cloud basada en las entidades de dirección IP o host.

Casos de uso

Crea una tarea de análisis en segundo plano para el host con el sensor de VMware Carbon Black Cloud de Google SecOps SOAR.

Cuando analiza las alertas, el personal de respuesta ante incidentes nota que un host podría estar en riesgo. El personal de respuesta a incidentes puede usar esta acción para solicitar un análisis en segundo plano a pedido del host. Este análisis verifica si hay otros ejecutables sospechosos en el host, y el sensor del host crea alertas para estos ejecutables sospechosos.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Device Background Scan:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción de análisis en segundo plano del dispositivo proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created a background scan task for the following entities: ENTITY_ID_LIST` `No tasks were created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created a background scan task for the following entities: ENTITY_ID_LIST

No tasks were created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Cómo habilitar el modo de bypass para el dispositivo

Habilita la tarea de modo de omisión para un dispositivo en el servidor de VMware Carbon Black Cloud. La tarea se basa en las entidades de dirección IP o host de SOAR de SecOps de Google.

Casos de uso

Crea una tarea Enable Bypass Mode en el servidor de VMware Carbon Black Cloud desde Google SecOps SOAR.

Cuando analizaba las alertas relacionadas con un sensor o un host de una plataforma específica, un encargado de respuesta ante incidentes notó que el sensor crea varias alertas de falso positivo. Pueden usar esta acción para habilitar el modo de omisión y hacer un seguimiento de los eventos que el agente remoto procesa como alertas y actualizar las políticas.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enable Bypass Mode for Device:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Enable Bypass Mode for Device proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST` `No taskswere created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST

No taskswere created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Inhabilita el modo de bypass para el dispositivo

Crea una tarea de modo de anulación de inhabilitación para los dispositivos en el servidor de VMware Carbon Black Cloud. La tarea se basa en las entidades de dirección IP o host de SOAR de SecOps de Google.

Casos de uso

Después de habilitar el modo de omisión en un sensor específico y solucionar problemas de la configuración y las políticas de VMware Carbon Black Cloud, un encargado de respuesta ante incidentes decidió que el sensor de Carbon Black funciona según lo previsto y no requiere funcionar en modo de omisión. Ejecutan la acción Create Disable Bypass Mode Task for Device para crear una tarea que inhabilite el modo de bypass en un host específico.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Disable Bypass Mode for Device:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un Case Wall, la acción Disable Bypass Mode for Device proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Poner el dispositivo en cuarentena

Crea una tarea de aislamiento de dispositivos en el servidor de VMware Carbon Black Cloud según las entidades de dirección IP o host de Google SecOps SOAR.

Casos de uso

Un personal de respuesta ante incidentes notó que un host mostraba signos de estar comprometido y puede usar esta tarea para ponerlo en cuarentena.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Quarantine Device:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Quarantine Device:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]

Mensajes de salida

En un muro de casos, la acción Quarantine Device proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Cómo quitar la cuarentena de un dispositivo

Crea una tarea para quitar la cuarentena de un dispositivo en el servidor de VMware Carbon Black Cloud según las entidades de dirección IP o host de Google SecOps SOAR.

Casos de uso

Después de analizar y corregir una alerta relacionada con un host específico que administra VMware Carbon Black Cloud, un encargado de respuesta ante incidentes descubrió que el host no está comprometido. Ejecutan la acción Unquarantine Device para crear una tarea de host de Unquarantine en el servidor de VMware Carbon Black Cloud y conectarse al host.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Unquarantine Device:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Unquarantine Device proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Failed to execute action! Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Failed to execute action! Error is
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Ejecuta la búsqueda de procesos de entidades

Usa esta acción para buscar información sobre los procesos almacenados en VMware Carbon Black Cloud.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Usuario
Hash
Proceso

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Comenzar desde la fila	Número entero	0	No	Especifica la fila de la que se recuperarán los datos.
Cantidad máxima de filas que se devolverán	Número entero	50	No	Especifica cuántas filas debe devolver la acción.
Crear estadística	Casilla de verificación	Sin seleccionar	No	Si se selecciona, la acción crea una estadística de SOAR de Google SecOps basada en la información del proceso de Carbon Black Cloud.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Enriquecimiento de entidades

Campo de enriquecimiento	Lógica
IsSuspicous	Se establece en verdadero cuando los datos devueltos incluyen una categoría de alerta (`alert_category`) establecida en `THREAT` y una lista de IDs de alerta (`alert_ids`) asociados con el proceso.

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Execute Entity Process Search:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción de búsqueda de procesos de entidades de ejecución:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}

Mensajes de salida

En un muro de casos, la acción de búsqueda de procesos de entidades de ejecución proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Process information was found for the following entities ENTITY_ID_LIST` `Process information was not found for all of the provided entities.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	La acción se completó correctamente.
`Error executing action "Execute Entity Processes Search". Error is ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Process information was found for the following entities ENTITY_ID_LIST

Process information was not found for all of the provided entities.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Error executing action "Execute Entity Processes Search". Error
      is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Enumera las anulaciones de reputación

Usa esta acción para enumerar las anulaciones de reputación configuradas en VMware Carbon Black Cloud.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Lista de anulación de reputación	DDL	No especificado Valores posibles: No especificado White_List Black_List	No	Especifica la acción de la lista de anulaciones que se debe devolver.
Tipo de anulación de reputación	DDL	Sin especificar Valores posibles: No especificado CERTIFICADO SHA256 IT_TOOL	No	Especifica el tipo de anulación que debe devolver la acción.
Comenzar desde la fila	Número entero	0	No	Especifica desde qué fila se deben recuperar los datos.
Cantidad máxima de filas que se devolverán	Número entero	50	No	Especifica cuántas filas debe devolver la acción.
Orden de clasificación de filas	DDL	ASC Valores posibles: ASC DESC		Especifica el orden de clasificación de las filas devueltas. Las filas se ordenan según el valor de `create_time`.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	Disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Tabla del muro de casos

En el muro de casos, la opción List Reputation Overrides proporciona las siguientes tablas:

Tabla de SHA-256

Nombre de la tabla: Invalidaciones de reputación con SHA-256 encontradas

Columnas de la tabla:
- Hash SHA-256
- Nombre del archivo
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Fecha de creación
- Creado por
Tabla de CERT

Nombre de la tabla: Anulaciones de reputación de CERT encontradas

Columnas de la tabla:
- Autoridad certificadora
- Firmado por
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Fecha de creación
- Creado por
Tabla IT TOOL

Nombre de la tabla: Anulaciones de reputación de IT_TOOL

Columnas de la tabla:
- Ruta de la herramienta de TI
- Incluir procesos secundarios
- ID
- Lista de anulaciones
- Descripción
- Fuente
- Referencia de la fuente
- Fecha de creación
- Creado por

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Reputation Overrides:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción List Reputation Overrides para un certificado:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción List Reputation Overrides para un hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción List Reputation Overrides para una herramienta de TI:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensajes de salida

En un muro de casos, la acción List Reputation Overrides proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Reputation overrides found.` `No reputation overrides found.`	La acción se completó correctamente.
`Error executing action "List Reputation Overrides". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Reputation overrides found.

No reputation overrides found.

La acción se completó correctamente.

Error executing action "List Reputation Overrides". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Crea una anulación de reputación para el certificado

Crea una anulación de reputación para el certificado. Para obtener más información sobre la anulación de reputación, consulta Anulación de reputación.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Autoridad certificadora	String	No aplicable	No	Especifica la autoridad de certificación que autoriza la validez del certificado que se agregará a la anulación de reputación.
Firmado por	String		Sí	Especifica el nombre del firmante que se agregará a la anulación de reputación.
Descripción	String	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulación de reputación	DDL	No especificado	Sí	Especifica una lista de reemplazos para crear.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Create a Reputation Override for Certificate:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Create a Reputation Override for Certificate:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}

Mensajes de salida

En un muro de casos, la acción Create a Reputation Override for Certificate proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created new reputation override: OVERRIDE_ID` `Action failed to create a new certificate reputation override. Reason:ERROR_REASON`	La acción se completó correctamente.
`Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for Certificate". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created new reputation override: OVERRIDE_ID

Action failed to create a new certificate reputation override. Reason:ERROR_REASON

La acción se completó correctamente.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for
      Certificate". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Crea una anulación de reputación para el hash SHA-256

Crea una anulación de reputación para el hash proporcionado en formato SHA-256. Para obtener más información sobre la anulación de reputación, consulta Anulación de reputación.

Esta acción se ejecuta en la entidad FileHash si se proporciona.

Puedes proporcionar el hash SHA-256 como una entidad (artefacto) FileHash de Google SecOps SOAR o como un parámetro de entrada de acción. Si el hash se pasa a la acción como una entidad y como un parámetro de entrada, la acción se ejecuta en el parámetro de entrada.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Hash SHA-256	String	No aplicable	No	Especifica un valor de hash SHA-256 para crear una anulación.
Nombre del archivo	String	No aplicable	Sí	Especifica un nombre de archivo correspondiente para agregar a una anulación de reputación.
Descripción	String	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulación de reputación	DDL	No especificado	Sí	Especifica una lista de reemplazos para crear.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Create a Reputation Override for SHA-256 Hash:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Create a Reputation Override for SHA-256 Hash:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}

Mensajes de salida

En un muro de casos, la acción Create a Reputation Override for SHA-256 Hash proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully created reputation override for the following entities: ENTITY_ID_LIST` `Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR` `No reputation overrides were created.`	La acción se completó correctamente.
`Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.` `Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully created reputation override for the following entities: ENTITY_ID_LIST

Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

No reputation overrides were created.

La acción se completó correctamente.

Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Crea una anulación de reputación para la herramienta de TI

Usa esta acción para crear una anulación de reputación para la herramienta de TI específica, como Jira o ServiceNow. La anulación de reputación se basa en un nombre de archivo y una ruta de acceso. Para obtener más información sobre la anulación de reputación, consulta Anulación de reputación.

Esta acción se ejecuta en la entidad File si se proporciona.

Puedes proporcionar el nombre del archivo como una entidad (artefacto) de archivo de Google SecOps SOAR o como un parámetro de entrada de acción. Si el nombre de archivo se pasa a la acción como una entidad y como un parámetro de entrada, la acción usa el parámetro de entrada. La acción agrega el nombre del archivo al parámetro Ruta de acceso al archivo para obtener la ruta de acceso resultante y agregarla a la anulación.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del archivo	String	No aplicable	No	Especifica el nombre de archivo correspondiente que se agregará a la anulación de reputación.
Ruta de acceso al archivo	String	No aplicable	Sí	Especifica la ruta de acceso en la que se almacena la herramienta de TI correspondiente en el disco para agregar la ruta de acceso a la anulación de reputación. A continuación, se muestra un ejemplo: `C\\TMP\\`.
Incluir procesos secundarios	Casilla de verificación	Sin seleccionar	No	Si se selecciona, incluye los procesos secundarios de la herramienta de TI en la lista de aprobados.
Descripción	String	No aplicable	No	Especifica una descripción para la anulación de reputación creada.
Lista de anulación de reputación	DDL	No especificado	Sí	Especifica la lista de anulaciones que se creará.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Create Reputation Override for IT Tool:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Create Reputation Override for IT Tool:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensajes de salida

En un muro de casos, la acción Create a Reputation Override for IT Tool proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully created reputation override for the following entities: ENTITY_ID_LIST

No reputation overrides were created.

Action failed to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

La acción se completó correctamente.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for IT Tool". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Cómo borrar una anulación de reputación

Borra una anulación de reputación con el ID de anulación de reputación proporcionado. Para obtener más información sobre la anulación de reputación, consulta Anulación de reputación.

Esta acción no se ejecuta en entidades.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de anulación de reputación	String	No aplicable	Sí	Especifica el ID de anulación de reputación que se borrará.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Delete Reputation Override:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Mensajes de salida

En un muro de casos, la acción Delete a Reputation Override proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully deleted reputation override OVERRIDE_ID_

No tasks were created.

Action failed to delete reputation override OVERRIDE_ID. Reason: ERROR_REASON

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

La acción se completó correctamente.

Error executing action "Delete a Reputation Override". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Enumera las vulnerabilidades del host

Usa esta acción para enumerar las vulnerabilidades que Carbon Black Cloud encontró en el host.

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Parámetros

Nombre visible del parámetro

Tipo

Valor predeterminado

Es obligatorio

Descripción

Filtro de gravedad

CSV

No aplicable

Especifica la lista de niveles de gravedad de las vulnerabilidades separados por comas.

Si no se proporciona nada, la acción incorpora todas las vulnerabilidades relacionadas.

Valores posibles: Critical, Important, Moderate y Low.

Cantidad máxima de vulnerabilidades que se pueden devolver

Número entero

100

Especifica la cantidad de vulnerabilidades que se devolverán para cada host.

Si no se proporciona nada, la acción procesa todas las vulnerabilidades relacionadas.

Resultados de la acción

La acción proporciona los siguientes resultados:

Tipo de salida de la acción
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Enriquecimiento de entidades	No disponible
Resultado de secuencia de comandos	Disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Host Vulnerabilities:

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción List Host Vulnerabilities:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}

Mensajes de salida

En un muro de casos, la acción List Host Vulnerabilities proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully retrieved vulnerabilities for the following hosts: ENTITIES

No vulnerabilities were found.

No vulnerabilities were found for the following hosts: ENTITIES

La acción se completó correctamente.

Error executing action "List Host Vulnerabilities". Reason: ERROR_REASON

Error executing action "List Host Vulnerabilities". Reason: Invalid value provided in the "Severity Filter parameter. Possible values: Critical, High, Medium, Low, Unknown.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Conectores

Los siguientes conectores están disponibles para usarse en la integración de VMware Carbon Black Cloud:

AlertConnector, en desuso. Utiliza los mismos datos de alertas de Carbon Black para las alertas y los eventos de SOAR de SecOps de Google, por lo que no se incluyen los datos de eventos de Carbon Black. En su lugar, usa el conector de referencia o el conector de seguimiento.
El conector de referencia recupera tanto las alertas como los eventos de Carbon Black. Este conector no supervisa si se agregan eventos nuevos a las alertas de Carbon Black.
El conector de seguimiento recupera tanto las alertas como los eventos de Carbon Black y supervisa si se agregan eventos nuevos a las alertas ya transferidas. Si aparece un evento nuevo en una alerta de CB, el conector crea una nueva alerta de SOAR de Google SecOps con los eventos que se agregaron a una alerta de Carbon Black.

Si quieres obtener instrucciones para configurar un conector en Google SecOps SOAR, consulta Cómo configurar el conector.

Conector de alertas de VMware Carbon Black Cloud (obsoleto)

Recibe alertas de VMware Carbon Black Cloud como alertas de Google SecOps SOAR para su análisis en la plataforma de Google SecOps SOAR.

Descripción general del conector

El conector se conecta periódicamente al extremo de API de VMware Carbon Black Cloud y extrae una lista de alertas que se generaron durante un período específico. Si hay alertas nuevas, el conector crea alertas de SOAR de Google SecOps basadas en las alertas de Carbon Black Cloud y guarda la marca de tiempo del conector como la última hora de alerta ingerida correctamente. Durante la siguiente ejecución del conector, este consultará la API de Carbon Black solo para las alertas que se crearon después de la marca de tiempo.

El conector verifica si hay alertas duplicadas (conocidas como alertas marcadas como desbordamiento) y no crea alertas de SOAR de Google SecOps a partir de las alertas duplicadas.

Modo de prueba: El conector tiene un modo de prueba para depurar y solucionar problemas. En el modo de prueba, el conector hace lo siguiente:

No actualizar la marca de tiempo de la última ejecución
Recupera alertas según la cantidad de horas especificadas para las que se recuperarán las alertas.
Devuelve una sola alerta para la transferencia.

Comunicaciones encriptadas: El conector admite comunicaciones encriptadas (SSL o TLS).

Compatibilidad con proxy: El conector admite la conexión a los extremos de la API a través de un proxy para el tráfico HTTPS.

Compatibilidad con Unicode: El conector admite la codificación Unicode para las alertas procesadas.

Permisos de la API

El conector de Carbon Black Cloud usa las mismas credenciales de API que la integración de Carbon Black Cloud. Para obtener más detalles sobre la configuración de la API para Carbon Black Cloud, consulta la sección Requisitos previos.

Parámetros del conector

Para configurar o editar los parámetros del conector, debes estar incluido en el grupo de permisos de administradores de Google SecOps. Para obtener más detalles sobre los grupos de permisos para usuarios, consulta Cómo trabajar con grupos de permisos.

Usa los siguientes parámetros para configurar el conector:

Parámetro	Tipo	Valor predeterminado	Obligatorio	Descripción
Entorno	DDL	No aplicable	Sí	Selecciona el entorno requerido. Por ejemplo, "Cliente uno". Si el campo Environment de la alerta está vacío, la alerta se inyectará en este entorno.
Ejecutar cada	Número entero	0:0:0:10	No	Selecciona la hora en la que se ejecutará la conexión.
Nombre del campo del producto	String	ProductName	Sí	Es el nombre del campo en el que se almacena el nombre del producto.
Nombre del campo del evento	String	AlertName	Sí	Es el nombre del campo en el que se almacena el nombre del evento.
ID de clase de evento	String	AlertName	No	Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).
Tiempo de espera del proceso de Python	String	180	Sí	Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta el script actual.
Nombre del campo del entorno	String	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es `""`.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	String	No aplicable	Sí	Es la URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	String	N/A	Sí	Es la clave de la organización de VMware Carbon Black Cloud.
ID de API	String	N/A	Sí	Es el ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	String	N/A	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Tiempo de desfase en horas	Número entero	24	Sí	Cantidad de horas desde las que se recuperarán las alertas.
Cantidad máxima de alertas por ciclo	Número entero	10	Sí	Cantidad de alertas que se procesarán en una sola ejecución del conector.
Gravedad mínima para recuperar	Número entero	N/A	No	Es la gravedad mínima de la alerta de Carbon Black Cloud que se debe transferir a Google SecOps SOAR.
Qué campo de alerta usar para el campo Nombre	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son type y policy_name.
Qué campo de alerta usar para el generador de reglas	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo del generador de reglas de alerta de SOAR de Google SecOps. Los valores posibles son type, category y policy_name.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se usará para la conexión.
Nombre de usuario del servidor proxy	String	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.

Reglas del conector

El conector admite el uso de proxies.

Conector de referencia de eventos y alertas de VMware Carbon Black Cloud

Descripción general

Usa el conector de VMware Carbon Black Cloud Baseline para transferir las alertas de Carbon Black Cloud y los eventos relacionados con las alertas. Después de la transferencia de alertas, Google SecOps las etiqueta como procesadas y no recupera ninguna actualización para ellas. Para recuperar actualizaciones de alertas, usa el conector de seguimiento.

Personaliza los campos Nombre de alerta y Generador de reglas en Google SecOps

El conector proporciona una opción para personalizar los valores de los campos Alert Name y Rule Generator de Google SecOps SOAR con plantillas. En el caso de las plantillas, el conector obtiene datos de los datos de alertas de Carbon Black Cloud que devuelve la API.

A continuación, se muestra un ejemplo de los datos de alerta de Carbon Black Cloud que se devuelven desde la API. Los datos de la alerta hacen referencia a los campos disponibles en la alerta y se pueden usar para las plantillas:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	ProductName	Sí	Es el nombre del campo en el que se almacena el nombre del producto.
Nombre del campo del evento	String	AlertName	Sí	Es el nombre del campo en el que se almacena el nombre del evento.
Nombre del campo del entorno	String	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es `""`.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	String	`https://defense.conferdeploy.net`	Sí	Es la URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	String	No aplicable	Sí	Es la clave de la organización de VMware Carbon Black Cloud. Por ejemplo, 7DDDD9DD.
ID de API	String	No aplicable	Sí	Es el ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	String	No aplicable	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Tiempo de desfase en horas	Número entero	24	Sí	Cantidad de horas desde las que se recuperarán las alertas.
Cantidad máxima de alertas por ciclo	Número entero	10	Sí	Cantidad de alertas que se procesarán en una sola ejecución del conector.
Gravedad mínima para recuperar	Número entero	N/A	No	Es la gravedad mínima de la alerta de Carbon Black Cloud que se puede transferir a Google SecOps SOAR. Por ejemplo, 4 o 7.
Qué campo de alerta usar para el campo Nombre	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son type y policy_name.
Qué campo de alerta usar para el generador de reglas	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo del generador de reglas de alerta de SOAR de Google SecOps. Los valores posibles son type, category y policy_name.
Reputación de alerta para la transferencia	String	No aplicable	No	Es la reputación de Carbon Black Cloud de la alerta que se transferirá. Este parámetro acepta varios valores como una cadena separada por comas.
Límite de eventos que se pueden transferir por alerta	Número entero	25	Sí	Es la cantidad de eventos que se deben transferir a cada alerta de Carbon Black Cloud.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se usará para la conexión.
Nombre de usuario del servidor proxy	String	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.
Plantilla de nombre de alerta	String	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para completar el campo Nombre de la alerta. Puedes proporcionar marcadores de posición en el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usa el nombre de alerta predeterminado.
Plantilla del generador de reglas	String	N/A	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para completar el campo Rule Generator. Puedes proporcionar marcadores de posición en el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usa el valor predeterminado del generador de reglas.

Reglas del conector

El conector admite el uso de proxies.

Conector de seguimiento de eventos y alertas de VMware Carbon Black Cloud

Descripción general

Usa el conector de seguimiento de VMware Carbon Black Cloud para recuperar alertas y eventos relacionados de Carbon Black Cloud. Si el conector detecta eventos nuevos para las alertas de Carbon Black Cloud que ya se procesaron, crea una alerta adicional de Google SecOps SOAR para cada evento nuevo detectado.

Personaliza los campos Nombre de alerta y Generador de reglas en Google SecOps

El conector proporciona una opción para personalizar los valores de los campos Alert Name y Rule Generator de Google SecOps SOAR a través de plantillas. En el caso de las plantillas, el conector obtiene datos de los datos de alertas de Carbon Black Cloud que devuelve la API.

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Parámetro	Tipo	Valor predeterminado	Obligatorio	Descripción
Nombre del campo del producto	String	ProductName	Sí	Es el nombre del campo en el que se almacena el nombre del producto.
Nombre del campo del evento	String	AlertName	Sí	Es el nombre del campo en el que se almacena el nombre del evento.
Nombre del campo del entorno	String	""	No	Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es `""`.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es `""`.
Raíz de la API	String	`https://defense.conferdeploy.net`	Sí	Es la URL raíz de la API de VMware Carbon Black Cloud.
Clave de organización	String	No aplicable	Sí	Es la clave de la organización de VMware Carbon Black Cloud. Por ejemplo, 7DDDD9DD.
ID de API	String	No aplicable	Sí	Es el ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada).
Clave secreta de la API	String	N/A	Sí	Clave secreta de la API de VMware Carbon Black Cloud (clave secreta de la API personalizada).
Tiempo de desfase en horas	Número entero	24	Sí	Cantidad de horas desde las que se recuperarán las alertas.
Cantidad máxima de alertas por ciclo	Número entero	10	Sí	Es la cantidad de alertas que se procesarán en una sola ejecución del conector.
Gravedad mínima para recuperar	Número entero	No aplicable	No	Es la gravedad mínima de la alerta de Carbon Black Cloud que se debe transferir a Google SecOps SOAR. Por ejemplo, 4 o 7.
Qué campo de alerta usar para el campo Nombre	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo Nombre de alerta de Google SecOps SOAR. Los valores posibles son type y policy_name.
Qué campo de alerta usar para el generador de reglas	String	tipo	Sí	Es el campo de alerta de Carbon Black Cloud que se usará para el campo del generador de reglas de alerta de SOAR de Google SecOps. Los valores posibles son type, category y policy_name.
Reputación de alerta para la transferencia	String	No aplicable	No	Es la alerta de reputación de la alerta de Carbon Black Cloud que se transferirá. Este parámetro acepta varios valores como una cadena separada por comas.
Período de relleno de eventos (horas)	Número entero	24	Sí	Cantidad de horas desde las que se recuperarán los eventos de alerta.
Límite de eventos que se pueden transferir por alerta	Número entero	25	Sí	Es la cantidad de eventos que se deben ingerir en una sola alerta de Carbon Black Cloud para cada iteración del conector.
Dirección del servidor proxy	IP_OR_HOST	No aplicable	No	Servidor proxy que se usará para la conexión.
Nombre de usuario del servidor proxy	String	No aplicable	No	Nombre de usuario del servidor proxy.
Contraseña del servidor proxy	Contraseña	No aplicable	No	Contraseña del servidor proxy.
Plantilla de nombre de alerta	String	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para completar el campo Nombre de la alerta. Puedes proporcionar marcadores de posición en el siguiente formato: [nombre del campo]. Ejemplo: Alerta: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usa el valor predeterminado del nombre de la alerta.
Plantilla del generador de reglas	String	No aplicable	No	Si se especifica, el conector usa este valor de los datos de alerta de la respuesta de la API de Carbon Black Cloud para completar el campo Rule Generator. Puedes proporcionar marcadores de posición en el siguiente formato: [nombre del campo]. Ejemplo: Regla: [motivo]. La longitud máxima del campo es de 256 caracteres. Si no se proporciona nada o se proporciona una plantilla no válida, el conector usa el valor predeterminado del generador de reglas.
Límite total de eventos por alerta	Número entero	100	No	Es la cantidad total de eventos que recupera el conector para cada alerta de Carbon Black Cloud. Si se alcanza este límite, el conector no recupera eventos nuevos para una alerta. Para no limitar la cantidad total de eventos para cada alerta, deja este valor de parámetro vacío.

Reglas del conector

El conector admite el uso de proxies.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.