VMware Carbon Black Cloud

Questo documento fornisce indicazioni agli amministratori su come configurare e integrare VMware Carbon Black Cloud con il modulo SOAR di Google Security Operations.

Versione integrazione: 32.0

Panoramica

L'integrazione di VMware Carbon Black Cloud ti aiuta a svolgere le seguenti attività:

  • Inserisci eventi e avvisi di VMware Carbon Black Cloud per creare avvisi.

    Google SecOps utilizza gli avvisi per eseguire orchestrazioni con playbook o analisi manuali.

  • Eseguire azioni di arricchimento.

    Recupera i dati da VMware Carbon Black Cloud per arricchire i dati negli avvisi di Google SecOps.

  • Eseguire azioni attive.

    Pianifica una scansione e metti in quarantena un host in Google SecOps SOAR utilizzando l'agente VMware Carbon Black Cloud.

Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia del codice sorgente completo di questa integrazione dal bucket Cloud Storage.

Prerequisiti

Questa sezione si applica alla configurazione iniziale dell'integrazione. Per assicurarti che i dati vengano trasferiti come previsto da VMware Carbon Black Cloud a Google SecOps, completa i passaggi elencati in questa sezione in VMware Carbon Black Cloud.

Per configurare l'accesso API per l'integrazione di VMware Carbon Black Cloud, completa i seguenti passaggi:

  1. Configura il livello di accesso.
  2. Crea una chiave API.

Questa integrazione presenta delle limitazioni. Per ulteriori informazioni sulle limitazioni, consulta Configurare l'override della reputazione nella documentazione di VMware Carbon Black Cloud.

Configura il livello di accesso

Per configurare il livello di accesso per l'integrazione di VMware Carbon Black Cloud, completa i seguenti passaggi:

  1. Nella console VMware Carbon Black Cloud, vai a Impostazioni > Accesso API.

  2. Seleziona Livelli di accesso.

  3. Fai clic su Aggiungi livello di accesso.

  4. Specifica un nome e una descrizione per il nuovo livello di accesso e seleziona le seguenti autorizzazioni:

    Categoria Nome autorizzazione .Notation name Tipo di autorizzazione
    Avvisi Informazioni generali org.alerts Leggi
    Avvisi Ignora org.alerts.dismiss Esegui
    Dispositivo Quarantena device.quarantine Esegui
    Dispositivo Ignora device.bypass Esegui
    Dispositivo Informazioni generali dispositivo Leggi
    Dispositivo Assegnazione alla polizia device.policy Aggiorna
    Dispositivo Scansione in background device.bg-scan Esegui
    Cerca Eventi org.search.events

    Crea

    Leggi

  5. Fai clic su Salva.

Crea una chiave API

Per creare una chiave API per l'integrazione di VMware Carbon Black Cloud, completa i seguenti passaggi:

  1. Nella console VMware Carbon Black Cloud, vai a Impostazioni > Accesso API > Chiavi API.

  2. Fai clic su Aggiungi chiave API.

  3. Inserisci il nome della chiave e seleziona il livello di accesso che hai creato in una sezione precedente.

  4. Fai clic su Salva per ottenere la coppia di chiave segreta API e ID API.

    Salva il valore della chiave segreta API perché non potrai recuperarlo in un secondo momento.

Integra VMware Carbon Black Cloud con Google SecOps

Per configurare o modificare i parametri di integrazione, devi essere incluso nel gruppo di autorizzazioni Amministratori in Google SecOps. Per maggiori dettagli sui gruppi di autorizzazioni per gli utenti, vedi Utilizzare i gruppi di autorizzazioni.

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome istanza Stringa Non applicabile No Il nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione Stringa Non applicabile No Descrizione dell'istanza.
Root API Stringa https://defense.conferdeploy.net/ URL radice dell'API VMware Carbon Black Cloud.
Chiave dell'organizzazione Stringa Non applicabile Chiave dell'organizzazione VMware Carbon Black Cloud.
ID API Stringa Non applicabile ID API VMware Carbon Black Cloud (ID chiave API personalizzata).
Chiave segreta API Stringa Non applicabile Chiave segreta API VMware Carbon Black Cloud (chiave segreta API personalizzata).
Verifica SSL Casella di controllo Selezionato No Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server VMware Carbon Black Cloud sia valido.
Esegui da remoto Casella di controllo Non selezionato No Seleziona la casella di controllo per eseguire l'integrazione configurata da remoto. Dopo aver selezionato la casella di controllo, viene visualizzata l'opzione per selezionare l'utente remoto (agente).

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta la sezione Configurare le integrazioni.

Se necessario, puoi modificare la configurazione in un secondo momento. Dopo aver configurato le istanze, puoi utilizzarle nei playbook. Per informazioni dettagliate sulla configurazione e sul supporto di più istanze, vedi Supportare più istanze.

Azioni

Dindin

Testa la connettività a VMware Carbon Black Cloud.

Parametri

Nessuno.

Casi d'uso

L'azione verifica la connettività quando viene eseguita dalla pagina di configurazione dell'integrazione nella scheda Google SecOps Marketplace. Puoi eseguire questa azione manualmente, ma non puoi utilizzarla nei playbook.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Risultato dello script Disponibile
Messaggi di output Disponibile
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca richieste, l'azione Ping fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters! Azione riuscita.
Failed to connect to the VMware Carbon Black Cloud server! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Arricchisci entità

Arricchisci le entità Host SOAR o Indirizzo IP di Google SecOps in base alle informazioni sul dispositivo di VMware Carbon Black Cloud.

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Host

Casi d'uso

Arricchisci le entità host o IP di Google SecOps SOAR con informazioni provenienti da VMware Carbon Black Cloud, se l'agente Carbon Black è installato su un rispettivo indirizzo IP o entità host.

Per aiutare un responsabile della risposta agli incidenti a esaminare un possibile avviso di malware da un host con un sensore installato, VMware Carbon Black Cloud può fornire dati di arricchimento come le informazioni sull'host, lo stato del sensore e la relativa policy Carbon Black.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Arricchimento delle entità
Campo di arricchimento Applicabilità
CB_Cloud.device_id Sempre
CB_Cloud.antivirus_status Sempre
CB_Cloud.antivirus_last_scan_time Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.owner_email Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.owner_first_name Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.owner_last_name Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.last_contact_time Sempre
CB_Cloud._last_device_policy_changed_time Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.last_external_ip_address Sempre
CB_Cloud.last_internal_ip_address Sempre
CB_Cloud.last_location Sempre
CB_Cloud.full_device_name Sempre
CB_Cloud.organization_id Sempre
CB_Cloud.organization_name Sempre
CB_Cloud.device_os Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.device_os_version Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.passive_mode Sempre
CB_Cloud.device_policy_id Sempre
CB_Cloud.device_policy_name Sempre
CB_Cloud.device_policy_override Se è true
CB_Cloud.quarantined Sempre
CB_Cloud.scan_status Se le informazioni vengono visualizzate nel risultato JSON
CB_Cloud.sensor_out_of_date Sempre
CB_Cloud.sensor_states Sempre
CB_Cloud.sensor_version Sempre
CB_Cloud.device_status Sempre
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Arricchisci entità:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}
Messaggi di output

In una bacheca richieste, l'azione Arricchisci entità fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully enriched entities: ENTITY_ID_LIST

No entities were enriched.

Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute Enrich Entities action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Ignora l'avviso di VMware Carbon Black Cloud

Ignora l'avviso di VMware Carbon Black Cloud.

Negli eventi creati dal connettore VMware Carbon Black Cloud Alerts, il campo Event.id può essere passato come segnaposto per l'ID avviso per chiudere un avviso nell'azione Chiudi avviso VMware Carbon Black Cloud.

Questa azione accetta ID avviso in formato alfanumerico come 27162661199ea9a043c11ea9a29a93652bc09fd, non nel formato visualizzato nell'interfaccia utente come DONAELUN.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa Non applicabile ID avviso da ignorare sul server VMware Carbon Black Cloud. Specifica l'ID avviso nel formato alfanumerico come 27162661199ea9a043c11ea9a29a93652bc09fd, non nel formato visualizzato nella UI come DONAELUN.
Motivo del rifiuto DDL Nessun motivo per cui l'opportunità è stata ignorata No Motivo della chiusura dell'avviso di VMware Carbon Black Cloud. I valori possibili sono i seguenti:
  • Nessun motivo per cui l'opportunità è stata ignorata
  • Risolto
  • Risolto - Benigno/Noto come buono
  • Duplicati/Pulizia
  • Altro
Determinazione DDL Nessuno No Il valore di determinazione da impostare per un avviso. I valori possibili sono i seguenti:
  • Nessuno
  • Vero positivo
  • Falso positivo
Messaggio per la chiusura dell'avviso Stringa Non applicabile No Messaggio da aggiungere all'ignoramento dell'avviso.

Casi d'uso

Ignora o chiudi un avviso di VMware Carbon Black Cloud in base all'analisi eseguita in Google SecOps SOAR.

Dopo l'elaborazione dell'avviso in Google SecOps SOAR, per mantenere lo stato dell'avviso sincronizzato tra VMware Carbon Black Cloud e Google SecOps SOAR, l'utente ha bisogno di un'azione che chiuda l'avviso VMware Carbon Black Cloud da Google SecOps SOAR.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Ignora avviso VMware Carbon Black Cloud:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca dei casi, l'azione Ignora avviso VMware Carbon Black Cloud fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID

Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON

 Azione riuscita.
Failed to execute Dismiss alert action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Aggiorna una norma per dispositivo in base all'ID norma

Modifica una policy sul sensore VMware Carbon Black Cloud su un host. L'ambito dell'azione è l'entità Indirizzo IP o Host.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID policy Numero intero Non applicabile Specifica una policy da associare al sensore VMware Carbon Black Cloud.

Casi d'uso

Crea un'attività di aggiornamento delle policy sul server VMware Carbon Black Cloud da Google SecOps SOAR.

Durante l'analisi degli avvisi, un responsabile della risposta agli incidenti ha notato che lo stesso host ha generato più avvisi di falsi positivi in un breve periodo di tempo. Può utilizzare questa azione per creare un'attività di aggiornamento dei criteri che modifichi i criteri dei sensori in modo che siano meno restrittivi.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Aggiorna un criterio per dispositivo in base all'ID criterio:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca dei casi, l'azione Aggiorna un criterio per dispositivo in base all'ID criterio fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Analisi in background del dispositivo

Crea un'attività di scansione in background del dispositivo sul server VMware Carbon Black Cloud basata sulle entità Indirizzo IP o Host.

Casi d'uso

Crea un'attività di scansione in background per l'host utilizzando il sensore VMware Carbon Black Cloud da Google SecOps SOAR.

Durante l'analisi degli avvisi, un tecnico che interviene in caso di incidenti nota che un host potrebbe essere compromesso. Il responsabile della risposta agli incidenti può utilizzare questa azione per richiedere una scansione in background on demand dell'host. Questa scansione verifica la presenza di altri eseguibili sospetti sull'host e il sensore sull'host crea avvisi per questi eseguibili sospetti.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Scansione in background del dispositivo:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca dei casi, l'azione Scansione in background del dispositivo fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created a background scan task for the following entities: ENTITY_ID_LIST

No tasks were created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Attivare la modalità bypass per il dispositivo

Attiva l'attività della modalità di bypass per un dispositivo sul server VMware Carbon Black Cloud. L'attività si basa sulle entità Indirizzo IP o Host di Google SecOps SOAR.

Casi d'uso

Crea un'attività Abilita modalità bypass sul server VMware Carbon Black Cloud da Google SecOps SOAR.

Durante l'analisi degli avvisi relativi a un sensore o a un host di una piattaforma specifica, un responsabile della risposta agli incidenti ha notato che il sensore crea più avvisi di falsi positivi. Può utilizzare questa azione per attivare la modalità di bypass per monitorare gli eventi che l'agente remoto elabora come avvisi e aggiornare i criteri.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Attiva modalità bypass per dispositivo:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca dei casi, l'azione Attiva modalità bypass per dispositivo fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST

No taskswere created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Disattivare la modalità bypass per il dispositivo

Crea un'attività di modalità di bypass disattivata per i dispositivi sul server VMware Carbon Black Cloud. L'attività si basa sull'indirizzo IP o sulle entità host di Google SecOps SOAR.

Casi d'uso

Dopo aver attivato la modalità di bypass su un sensore specifico e risolto i problemi relativi alla configurazione e alle norme di VMware Carbon Black Cloud, un responsabile della risposta agli incidenti ha stabilito che il sensore Carbon Black funziona come previsto e non richiede di funzionare in modalità di bypass. Eseguono l'azione Crea attività di disattivazione della modalità di bypass per dispositivo per creare un'attività per disattivare la modalità di bypass su un host specifico.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Disattiva modalità bypass per dispositivo:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca dei casi, l'azione Disattiva modalità bypass per dispositivo fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Dispositivo in quarantena

Crea un'attività di quarantena del dispositivo sul server VMware Carbon Black Cloud in base alle entità IP o host di Google SecOps SOAR.

Casi d'uso

Un responsabile della risposta agli incidenti ha notato che un host mostrava segni di compromissione e può utilizzare questa attività per metterlo in quarantena.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Metti in quarantena dispositivo:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Metti in quarantena dispositivo:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]
Messaggi di output

In una bacheca richieste, l'azione Metti dispositivo in quarantena fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Rimuovi dalla quarantena il dispositivo

Crea un'attività di rimozione dalla quarantena del dispositivo sul server VMware Carbon Black Cloud in base alle entità Indirizzo IP o Host di Google SecOps SOAR.

Casi d'uso

Dopo aver analizzato e risolto un avviso relativo a un host specifico gestito da VMware Carbon Black Cloud, un responsabile della risposta agli incidenti ha scoperto che l'host non è compromesso. Eseguono l'azione Rimuovi dalla quarantena dispositivo per creare un'attività host di rimozione dalla quarantena sul server VMware Carbon Black Cloud e connettersi all'host.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Rimuovi dalla quarantena dispositivo:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca richieste, l'azione Rimuovi dalla quarantena dispositivo fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Failed to execute action! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Utilizza questa azione per cercare informazioni sui processi archiviati in VMware Carbon Black Cloud.

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Host
  • Utente
  • Hash
  • Processo
Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Inizia dalla riga Numero intero 0 No Specifica la riga da cui recuperare i dati.
Numero massimo di righe da restituire Numero intero 50 No Specifica il numero di righe che l'azione deve restituire.
Crea approfondimento Casella di controllo Non selezionato No Se selezionata, l'azione crea un approfondimento di Google SecOps SOAR basato sulle informazioni sul processo di Carbon Black Cloud.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Arricchimento delle entità
Campo di arricchimento Logic
IsSuspicous Impostato su True quando i dati restituiti includono una categoria di avviso (alert_category) impostata su THREAT e un elenco di ID avviso (alert_ids) associati al processo.
Risultato dello script

La tabella seguente descrive i valori dell'output dei risultati dello script quando si utilizza l'azione Esegui ricerca processo entità:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui ricerca processi entità:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}
Messaggi di output

In una bacheca della richiesta di assistenza, l'azione Esegui ricerca processi entità fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Process information was found for the following entities ENTITY_ID_LIST

Process information was not found for all of the provided entities.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Error executing action "Execute Entity Processes Search". Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Elenco override della reputazione

Utilizza questa azione per elencare gli override della reputazione configurati in VMware Carbon Black Cloud.

Questa azione non viene eseguita sulle entità.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Elenco di override della reputazione DDL

Non specificato

Valori possibili:

  • Non specificato
  • White_List
  • Black_List
 No Specifica l'azione che deve restituire l'elenco di override.
Tipo di override della reputazione DDL

Non specificato

Valori possibili:

  • Non specificato
  • SHA256 CERT
  • IT_TOOL
 No Specifica il tipo di override che deve restituire l'azione.
Inizia dalla riga Numero intero 0 No Specifica da quale riga devono essere recuperati i dati.
Numero massimo di righe da restituire Numero intero 50 No Specifica il numero di righe che l'azione deve restituire.
Ordinamento righe DDL

ASC

Valori possibili:

  • CRESC
  • DECR
 Specifica l'ordine di ordinamento per le righe restituite. Le righe sono ordinate in base al valore di create_time.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Tabella della bacheca casi

Nella bacheca delle richieste, l'elenco Override della reputazione fornisce le seguenti tabelle:

  • Tabella SHA-256

    Nome tabella: Override della reputazione SHA-256 trovati

    Colonne della tabella:

    • Hash SHA-256
    • Nome del file
    • ID
    • Elenco di override
    • Descrizione
    • Origine
    • Riferimento alla fonte
    • Data/ora creazione
    • Creato da

  • Tabella CERT

    Nome tabella: Found CERT Reputation Overrides

    Colonne della tabella:

    • Autorità di certificazione
    • Firmato da
    • ID
    • Elenco di override
    • Descrizione
    • Origine
    • Riferimento alla fonte
    • Data/ora creazione
    • Creato da

  • Tabella STRUMENTO IT

    Nome tabella: Found IT_TOOL Reputation Overrides

    Colonne della tabella:

    • Percorso dello strumento IT
    • Includi processi secondari
    • ID
    • Elenco di override
    • Descrizione
    • Origine
    • Riferimento alla fonte
    • Data/ora creazione
    • Creato da
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Elenca sostituzioni della reputazione:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione List Reputation Overrides per un certificato:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

Il seguente esempio descrive l'output del risultato JSON ricevuto quando utilizzi l'azione List Reputation Overrides per un hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Elenca override della reputazione per uno strumento IT:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}
Messaggi di output

In una bacheca richieste, l'azione Elenca override della reputazione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Reputation overrides found.

No reputation overrides found.

 Azione riuscita.
Error executing action "List Reputation Overrides". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Crea un override della reputazione per il certificato

Crea un override della reputazione per il certificato. Per ulteriori informazioni sull'override della reputazione, consulta Override della reputazione.

Questa azione non viene eseguita sulle entità.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Autorità di certificazione Stringa Non applicabile No Specifica l'autorità di certificazione che autorizza la validità del certificato da aggiungere all'override della reputazione.
Firmato da Stringa Specifica il nome del firmatario da aggiungere all'override della reputazione.
Descrizione Stringa Non applicabile No Specifica una descrizione per l'override della reputazione creato.
Elenco di override della reputazione DDL Non specificato Specifica un elenco di override da creare.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Crea una sostituzione della reputazione per il certificato:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Crea un override della reputazione per il certificato:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}
Messaggi di output

In una bacheca richieste, l'azione Crea un override della reputazione per il certificato fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created new reputation override: OVERRIDE_ID

Action failed to create a new certificate reputation override. Reason:ERROR_REASON

 Azione riuscita.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for Certificate". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Creare un override della reputazione per l'hash SHA-256

Crea un override della reputazione per l'hash fornito nel formato SHA-256. Per saperne di più sull'override della reputazione, vedi Override della reputazione.

Questa azione viene eseguita sull'entità FileHash, se fornita.

Puoi fornire l'hash SHA-256 come entità (artefatto) FileHash di Google SecOps SOAR o come parametro di input dell'azione. Se l'hash viene passato all'azione sia come entità sia come parametro di input, l'azione viene eseguita sul parametro di input.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Hash SHA-256 Stringa Non applicabile No Specifica un valore hash SHA-256 per cui creare una sostituzione.
Nome del file Stringa Non applicabile Specifica un nome file corrispondente da aggiungere a una sostituzione della reputazione.
Descrizione Stringa Non applicabile No Specifica una descrizione per l'override della reputazione creato.
Elenco di override della reputazione DDL Non specificato Specifica un elenco di override da creare.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Crea una sostituzione della reputazione per l'hash SHA-256:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Crea un override della reputazione per l'hash SHA-256:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}
Messaggi di output

In una bacheca dei casi, l'azione Crea una sostituzione della reputazione per l'hash SHA-256 fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created reputation override for the following entities: ENTITY_ID_LIST

Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

No reputation overrides were created.

 Azione riuscita.

Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Creare un override della reputazione per lo strumento IT

Utilizza questa azione per creare un override della reputazione per lo strumento IT specifico, ad esempio Jira o ServiceNow. L'override della reputazione si basa su un nome file e un percorso. Per saperne di più sull'override della reputazione, vedi Override della reputazione.

Questa azione viene eseguita sull'entità File, se fornita.

Puoi fornire il nome file come entità (artefatto) di file SOAR di Google SecOps o come parametro di input dell'azione. Se il nome file viene passato all'azione sia come entità sia come parametro di input, l'azione utilizza il parametro di input. L'azione aggiunge il nome file al parametro Percorso file per ottenere il percorso risultante e aggiungerlo all'override.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome file Stringa Non applicabile No Specifica il nome file corrispondente da aggiungere all'override della reputazione.
Percorso file Stringa Non applicabile Specifica il percorso in cui è archiviato lo strumento IT corrispondente sul disco per aggiungere il percorso all'override della reputazione. Ecco un esempio: C\\TMP\\.
Includi processi secondari Casella di controllo Non selezionato No Se selezionati, includi i processi secondari dello strumento IT nell'elenco approvato.
Descrizione Stringa Non applicabile No Specifica una descrizione per l'override della reputazione creato.
Elenco di override della reputazione DDL Non specificato Specifica l'elenco di override da creare.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Crea override della reputazione per lo strumento IT:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Crea override della reputazione per lo strumento IT:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}
Messaggi di output

In una bacheca dei casi, l'azione Crea una sostituzione della reputazione per lo strumento IT fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully created reputation override for the following entities: ENTITY_ID_LIST

No reputation overrides were created.

Action failed to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

Azione riuscita.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for IT Tool". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Eliminare un override della reputazione

Elimina una sostituzione della reputazione utilizzando l'ID sostituzione della reputazione fornito. Per saperne di più sull'override della reputazione, vedi Override della reputazione.

Questa azione non viene eseguita sulle entità.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID override reputazione Stringa Non applicabile Specifica l'ID override della reputazione da eliminare.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Elimina override della reputazione:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Messaggi di output

In una bacheca richieste, l'azione Elimina override della reputazione fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully deleted reputation override OVERRIDE_ID_

No tasks were created.

Action failed to delete reputation override OVERRIDE_ID. Reason: ERROR_REASON

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Azione riuscita.
Error executing action "Delete a Reputation Override". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Elenca vulnerabilità host

Utilizza questa azione per elencare le vulnerabilità che Carbon Black Cloud ha rilevato sull'host.

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Nome host

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Filtro gravità CSV Non applicabile No

Specifica l'elenco separato da virgole dei livelli di gravità per le vulnerabilità.

Se non viene fornito nulla, l'azione acquisisce tutte le vulnerabilità correlate.

Valori possibili: Critical, Important, Moderate, Low.
Numero massimo di vulnerabilità da restituire Numero intero 100 No

Specifica il numero di vulnerabilità da restituire per ogni host.

Se non viene fornito nulla, l'azione elabora tutte le vulnerabilità correlate.

Output dell'azione

L'azione fornisce i seguenti output:

Tipo di output dell'azione
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Arricchimento delle entità Non disponibile
Risultato dello script Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script

La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Elenca vulnerabilità host:

Nome risultato script Opzioni di valore Esempio
is_success Vero o falso is_success:False
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Elenca vulnerabilità host:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}
Messaggi di output

In una bacheca dei casi, l'azione Elenca vulnerabilità host fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully retrieved vulnerabilities for the following hosts: ENTITIES

No vulnerabilities were found.

No vulnerabilities were found for the following hosts: ENTITIES

 Azione riuscita.

Error executing action "List Host Vulnerabilities". Reason: ERROR_REASON

Error executing action "List Host Vulnerabilities". Reason: Invalid value provided in the "Severity Filter parameter. Possible values: Critical, High, Medium, Low, Unknown.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Connettori

Per l'integrazione di VMware Carbon Black Cloud sono disponibili i seguenti connettori:

  1. Alert Connector, ritirato. Utilizza gli stessi dati di avviso di Carbon Black per avvisi ed eventi SOAR di Google SecOps, perdendo completamente i dati degli eventi di Carbon Black. Utilizza invece il connettore Baseline o Tracking.

  2. Baseline Connector recupera sia avvisi che eventi da Carbon Black. Questo connettore non monitora se vengono aggiunti nuovi eventi agli avvisi di Carbon Black.

  3. Tracking Connector recupera sia gli avvisi che gli eventi da Carbon Black e monitora se vengono aggiunti nuovi eventi agli avvisi già inseriti. Se in un avviso di CB viene visualizzato un nuovo evento, il connettore crea un nuovo avviso SOAR di Google SecOps con gli eventi aggiunti a un avviso di Carbon Black.

Per istruzioni su come configurare un connettore in Google SecOps SOAR, consulta Configurazione del connettore.

Connettore degli avvisi di VMware Carbon Black Cloud - Ritirato

Ricevi avvisi da VMware Carbon Black Cloud come avvisi di Google SecOps SOAR per l'analisi nella piattaforma Google SecOps SOAR.

Panoramica del connettore

Il connettore si connette periodicamente all'endpoint API VMware Carbon Black Cloud e recupera un elenco di avvisi generati in un periodo di tempo specifico. Se sono presenti nuovi avvisi, il connettore crea avvisi Google SecOps SOAR basati sugli avvisi Carbon Black Cloud e salva il timestamp del connettore come ora dell'ultimo avviso inserito correttamente. Durante la successiva esecuzione del connettore, il connettore esegue query sull'API Carbon Black solo per gli avvisi creati dopo il timestamp.

Il connettore verifica la presenza di avvisi duplicati (noti come avvisi contrassegnati come overflow) e non crea avvisi Google SecOps SOAR dagli avvisi duplicati.

Modalità di test:il connettore ha una modalità di test per il debug e la risoluzione dei problemi. In modalità di test, il connettore esegue le seguenti operazioni:

  • Non aggiornare il timestamp dell'ultima esecuzione.
  • Recupera gli avvisi in base al numero di ore specificato per il recupero.
  • Restituisce un singolo avviso per l'importazione.

Comunicazioni criptate:il connettore supporta le comunicazioni criptate (SSL o TLS).

Supporto proxy:il connettore supporta la connessione agli endpoint API utilizzando il proxy per il traffico HTTPS.

Supporto Unicode:il connettore supporta la codifica Unicode per gli avvisi elaborati.

Autorizzazioni API

Il connettore Carbon Black Cloud utilizza le stesse credenziali API dell'integrazione Carbon Black Cloud. Per ulteriori dettagli sulla configurazione dell'API per Carbon Black Cloud, consulta la sezione Prerequisiti.

Parametri del connettore

Per configurare o modificare i parametri del connettore, devi essere incluso nel gruppo di autorizzazioni Amministratori in Google SecOps. Per maggiori dettagli sui gruppi di autorizzazioni per gli utenti, vedi Utilizzare i gruppi di autorizzazioni.

Utilizza i seguenti parametri per configurare il connettore:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Ambiente DDL Non applicabile

Seleziona l'ambiente richiesto. Ad esempio, "Cliente 1".

Se il campo Ambiente dell'avviso è vuoto, l'avviso viene inserito in questo ambiente.
Esegui ogni Numero intero 0:0:0:10 No Seleziona l'ora in cui eseguire la connessione.
Nome campo prodotto Stringa ProductName Il nome del campo in cui è memorizzato il nome del prodotto.
Nome campo evento Stringa AlertName Il nome del campo in cui è memorizzato il nome dell'evento.
ID classe evento Stringa AlertName No Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).
Timeout del processo Python Stringa 180 Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente.
Nome campo ambiente Stringa "" No

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è "".

Pattern regex ambiente Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name non elaborato richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Root API Stringa Non applicabile URL radice dell'API VMware Carbon Black Cloud.
Chiave dell'organizzazione Stringa N/D Chiave dell'organizzazione VMware Carbon Black Cloud.
ID API Stringa N/D ID API VMware Carbon Black Cloud (ID chiave API personalizzata).
Chiave segreta API Stringa N/D Chiave segreta API VMware Carbon Black Cloud (chiave segreta API personalizzata).
Tempo di offset in ore Numero intero 24 Numero di ore da cui recuperare gli avvisi.
Numero massimo di avvisi per ciclo Numero intero 10 Numero di avvisi da elaborare in una singola esecuzione del connettore.
Gravità minima da recuperare Numero intero N/D No La gravità minima dell'avviso di Carbon Black Cloud da importare in Google SecOps SOAR.
Quale campo avviso utilizzare per il campo Nome Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Nome avviso Google SecOps SOAR. I valori possibili sono type e policy_name.
Quale campo di avviso utilizzare per il generatore di regole Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Generatore di regole di avviso di Google SecOps SOAR. I valori possibili sono type, category e policy_name.
Indirizzo del server proxy IP_OR_HOST Non applicabile No Server proxy da utilizzare per la connessione.
Nome utente del server proxy Stringa Non applicabile No Nome utente del server proxy.
Password del server proxy Password Non applicabile No Password del server proxy.

Regole del connettore

  • Il connettore supporta l'utilizzo di proxy.

Connettore di base per avvisi ed eventi di VMware Carbon Black Cloud

Panoramica

Utilizza il connettore di base di VMware Carbon Black Cloud per importare gli avvisi di Carbon Black Cloud e gli eventi correlati per gli avvisi. Dopo l'importazione degli avvisi, Google SecOps li contrassegna come elaborati e non recupera aggiornamenti. Per recuperare gli aggiornamenti degli avvisi, utilizza il connettore di monitoraggio.

Personalizzare i campi Nome avviso e Generatore di regole in Google SecOps

Il connettore offre un'opzione per personalizzare i valori dei campi Nome avviso e Generatore di regole di Google SecOps SOAR utilizzando i modelli. Per i modelli, il connettore recupera i dati dagli avvisi di Carbon Black Cloud restituiti dall'API.

Di seguito è riportato un esempio dei dati di avviso di Carbon Black Cloud restituiti dall'API. I dati dell'avviso fanno riferimento ai campi disponibili nell'avviso e possono essere utilizzati per i modelli:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parametri del connettore

Per configurare o modificare i parametri del connettore, devi essere incluso nel gruppo di autorizzazioni Amministratori in Google SecOps. Per maggiori dettagli sui gruppi di autorizzazioni per gli utenti, vedi Utilizzare i gruppi di autorizzazioni.

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa ProductName Il nome del campo in cui è memorizzato il nome del prodotto.
Nome campo evento Stringa AlertName Il nome del campo in cui è memorizzato il nome dell'evento.
Nome campo ambiente Stringa "" No

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è "".
Pattern regex ambiente Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name non elaborato richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Root API Stringa https://defense.conferdeploy.net URL radice dell'API VMware Carbon Black Cloud.
Chiave dell'organizzazione Stringa Non applicabile Chiave dell'organizzazione VMware Carbon Black Cloud. Ad esempio, 7DDDD9DD.
ID API Stringa Non applicabile ID API VMware Carbon Black Cloud (ID chiave API personalizzata).
Chiave segreta API Stringa Non applicabile Chiave segreta API VMware Carbon Black Cloud (chiave segreta API personalizzata).
Tempo di offset in ore Numero intero 24 Numero di ore da cui recuperare gli avvisi.
Numero massimo di avvisi per ciclo Numero intero 10 Numero di avvisi da elaborare in una singola esecuzione del connettore.
Gravità minima da recuperare Numero intero N/D No La gravità minima dell'avviso di Carbon Black Cloud da importare in Google SecOps SOAR. Ad esempio, 4 o 7.
Quale campo avviso utilizzare per il campo Nome Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Nome avviso Google SecOps SOAR. I valori possibili sono type e policy_name.
Quale campo di avviso utilizzare per il generatore di regole Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Generatore di regole di avviso di Google SecOps SOAR. I valori possibili sono type, category e policy_name.
Reputazione degli avvisi da importare Stringa Non applicabile No La reputazione di Carbon Black Cloud dell'avviso da importare. Questo parametro accetta più valori come stringa separata da virgole.
Limite di eventi da importare per avviso Numero intero 25 Il numero di eventi da importare in ogni avviso di Carbon Black Cloud.
Indirizzo del server proxy IP_OR_HOST Non applicabile No Server proxy da utilizzare per la connessione.
Nome utente del server proxy Stringa Non applicabile No Nome utente del server proxy.
Password del server proxy Password Non applicabile No Password del server proxy.
Modello nome avviso Stringa Non applicabile No

Se specificato, il connettore utilizza questo valore dei dati di avviso della risposta API Carbon Black Cloud per compilare il campo Nome avviso.

Puoi fornire segnaposto nel seguente formato: [nome del campo].

Esempio: Avviso - [motivo].

La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito nulla o se fornisci un modello non valido, il connettore utilizza il nome dell'avviso predefinito.
Modello del generatore di regole Stringa N/D No

Se specificato, il connettore utilizza questo valore dei dati di avviso della risposta API Carbon Black Cloud per compilare il campo Generatore di regole.

Puoi fornire segnaposto nel seguente formato: [nome del campo].

Esempio: Avviso - [motivo].

La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito nulla o se fornisci un modello non valido, il connettore utilizza il valore predefinito del generatore di regole.

Regole del connettore

  • Il connettore supporta l'utilizzo di proxy.

Connettore di monitoraggio di avvisi ed eventi di VMware Carbon Black Cloud

Panoramica

Utilizza il connettore di monitoraggio VMware Carbon Black Cloud per recuperare gli avvisi e gli eventi correlati di Carbon Black Cloud. Se il connettore rileva nuovi eventi per gli avvisi di Carbon Black Cloud già elaborati, crea un avviso SOAR di Google SecOps aggiuntivo per ogni nuovo evento rilevato.

Personalizzare i campi Nome avviso e Generatore di regole in Google SecOps

Il connettore offre un'opzione per personalizzare i valori dei campi Nome avviso e Generatore di regole di Google SecOps SOAR tramite i modelli. Per i modelli, il connettore recupera i dati dagli avvisi di Carbon Black Cloud restituiti dall'API.

Di seguito è riportato un esempio dei dati di avviso di Carbon Black Cloud restituiti dall'API. I dati dell'avviso fanno riferimento ai campi disponibili nell'avviso e possono essere utilizzati per i modelli:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parametri del connettore

Per configurare o modificare i parametri del connettore, devi essere incluso nel gruppo di autorizzazioni Amministratori in Google SecOps. Per maggiori dettagli sui gruppi di autorizzazioni per gli utenti, vedi Utilizzare i gruppi di autorizzazioni.

Utilizza i seguenti parametri per configurare il connettore:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome campo prodotto Stringa ProductName Il nome del campo in cui è memorizzato il nome del prodotto.
Nome campo evento Stringa AlertName Il nome del campo in cui è memorizzato il nome dell'evento.
Nome campo ambiente Stringa "" No

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è "".
Pattern regex ambiente Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name non elaborato richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Root API Stringa https://defense.conferdeploy.net URL radice dell'API VMware Carbon Black Cloud.
Chiave dell'organizzazione Stringa Non applicabile Chiave dell'organizzazione VMware Carbon Black Cloud. Ad esempio, 7DDDD9DD.
ID API Stringa Non applicabile ID API VMware Carbon Black Cloud (ID chiave API personalizzata).
Chiave segreta API Stringa N/D Chiave segreta API VMware Carbon Black Cloud (chiave segreta API personalizzata).
Tempo di offset in ore Numero intero 24 Il numero di ore da cui recuperare gli avvisi.
Numero massimo di avvisi per ciclo Numero intero 10 Il numero di avvisi da elaborare in una singola esecuzione del connettore.
Gravità minima da recuperare Numero intero Non applicabile No La gravità minima dell'avviso di Carbon Black Cloud da importare in Google SecOps SOAR. Ad esempio, 4 o 7.
Quale campo avviso utilizzare per il campo Nome Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Nome avviso Google SecOps SOAR. I valori possibili sono: type e policy_name.
Quale campo di avviso utilizzare per il generatore di regole Stringa tipo Il campo di avviso di Carbon Black Cloud da utilizzare per il campo Generatore di regole di avviso di Google SecOps SOAR. I valori possibili sono type, category e policy_name.
Reputazione degli avvisi da importare Stringa Non applicabile No L'avviso di reputazione dell'avviso di Carbon Black Cloud da importare. Questo parametro accetta più valori come stringa separata da virgole.
Periodo di padding degli eventi (ore) Numero intero 24 Il numero di ore da cui recuperare gli eventi di avviso.
Limite di eventi da importare per avviso Numero intero 25 Il numero di eventi da inserire in un singolo avviso di Carbon Black Cloud per ogni iterazione del connettore.
Indirizzo del server proxy IP_OR_HOST Non applicabile No Server proxy da utilizzare per la connessione.
Nome utente del server proxy Stringa Non applicabile No Nome utente del server proxy.
Password del server proxy Password Non applicabile No Password del server proxy.
Modello nome avviso Stringa Non applicabile No

Se specificato, il connettore utilizza questo valore dei dati di avviso della risposta API Carbon Black Cloud per compilare il campo Nome avviso.

Puoi fornire segnaposto nel seguente formato: [nome del campo].

Esempio: Avviso - [motivo].

La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito nulla o se fornisci un modello non valido, il connettore utilizza il valore predefinito del nome dell'avviso.
Modello del generatore di regole Stringa Non applicabile No

Se specificato, il connettore utilizza questo valore dei dati di avviso della risposta API Carbon Black Cloud per compilare il campo Generatore di regole.

Puoi fornire segnaposto nel seguente formato: [nome del campo].

Esempio: Regola - [motivo].

La lunghezza massima per il campo è di 256 caratteri. Se non viene fornito nulla o se fornisci un modello non valido, il connettore utilizza il valore predefinito del generatore di regole.
Limite totale di eventi per avviso Numero intero 100 No

Il numero totale di eventi recuperati dal connettore per ogni avviso di Carbon Black Cloud.

Se questo limite viene raggiunto, il connettore non recupera nuovi eventi per un avviso.

Per non limitare il numero totale di eventi per ogni avviso, lascia vuoto il valore di questo parametro.

Regole del connettore

  • Il connettore supporta l'utilizzo di proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.