VMware Carbon Black Cloud
このドキュメントでは、VMware Carbon Black Cloud を Google Security Operations の SOAR モジュールと構成して統合する方法について、管理者向けに説明します。
統合バージョン: 32.0
概要
VMware Carbon Black Cloud との統合により、次のタスクを実行できます。
VMware Carbon Black Cloud のイベントとアラートを取り込んでアラートを作成します。
Google SecOps はアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行します。
拡充アクションを実行します。
VMware Carbon Black Cloud からデータを取得して、Google SecOps アラートのデータを拡充します。
アクティブなアクションを実行します。
VMware Carbon Black Cloud エージェントを使用して、Google SecOps SOAR でスキャンのスケジュールを設定し、ホストを隔離します。
この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードのコピーを Cloud Storage バケットからダウンロードできます。
前提条件
このセクションは、初期統合構成に適用されます。VMware Carbon Black Cloud から Google SecOps にデータが想定どおりに流れるようにするには、VMware Carbon Black Cloud で、このセクションに記載されている手順を完了します。
VMware Carbon Black Cloud 統合の API アクセスを構成するには、次の操作を行います。
- アクセスレベルを構成します。
- API キーを作成します。
この統合には制限があります。制限事項の詳細については、VMware Carbon Black Cloud ドキュメントの評判のオーバーライドを構成するをご覧ください。
アクセスレベルを構成する
VMware Carbon Black Cloud 統合のアクセスレベルを構成する手順は次のとおりです。
VMware Carbon Black Cloud コンソールで、[Settings] > [API Access] に移動します。
[アクセスレベル] を選択します。
[アクセスレベルを追加] をクリックします。
新しいアクセスレベルの名前と説明を入力し、次の権限を選択します。
カテゴリ 権限名 .表記名 権限タイプ アラート 全般情報 org.alerts 読み取り アラート 閉じる org.alerts.dismiss 実行 デバイス 検疫 device.quarantine 実行 デバイス バイパスする device.bypass 実行 デバイス 全般情報 device 読み取り デバイス 警察の割り当て device.policy 更新 デバイス バックグラウンド スキャン device.bg-scan 実行 検索 イベント org.search.events 作成
読み取り
[保存] をクリックします。
API キーを作成する
VMware Carbon Black Cloud インテグレーション用の API キーを作成するには、次の操作を行います。
VMware Carbon Black Cloud コンソールで、[設定> API アクセス> API キー] に移動します。
[API キーを追加] をクリックします。
鍵の名前を入力し、前のセクションで作成したアクセスレベルを選択します。
[保存] をクリックして、API 秘密鍵と API ID のペアを取得します。
API 秘密鍵の値は後で取得できないため、保存してください。
VMware Carbon Black Cloud を Google SecOps と統合する
統合パラメータを構成または編集するには、Google SecOps の管理者権限グループに属している必要があります。ユーザーの権限グループの詳細については、権限グループの操作をご覧ください。
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | 該当なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | 該当なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://defense.conferdeploy.net/ |
はい | VMware Carbon Black Cloud API のルート URL。 |
| 組織キー | 文字列 | 該当なし | はい | VMware Carbon Black Cloud 組織キー。 |
| API ID | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API ID(カスタム API キー ID)。 |
| API シークレット キー | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API 秘密鍵(カスタム API 秘密鍵)。 |
| SSL を確認する | チェックボックス | 選択済み | いいえ | 選択すると、Google SecOps は VMware Carbon Black Cloud サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | 未選択 | いいえ | 構成した統合をリモートで実行するには、チェックボックスをオンにします。チェックボックスをオンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後で構成を変更できます。インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスをサポートするをご覧ください。
操作
Ping
VMware Carbon Black Cloud への接続をテストします。
パラメータ
なし
ユースケース
このアクションは、Google SecOps Marketplace タブの統合構成ページから実行されたときに接続をテストします。このアクションは手動で実行できますが、ハンドブックでは使用できません。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで Ping アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the VMware Carbon Black Cloud server
with the provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the VMware Carbon Black Cloud server! Error
is ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
エンティティの拡充
VMware Carbon Black Cloud のデバイス情報に基づいて、Google SecOps SOAR のホストまたは IP アドレス エンティティを拡充します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
ユースケース
Carbon Black エージェントがそれぞれの IP アドレスまたはホスト エンティティにインストールされている場合、VMware Carbon Black Cloud の情報を使用して Google SecOps SOAR ホストまたは IP エンティティを拡充します。
VMware Carbon Black Cloud は、センサーがインストールされたホストからのマルウェア アラートの可能性をインシデント レスポンダーが調査する際に役立つように、ホスト情報、センサーのステータス、Carbon Black ポリシーなどのエンリッチメント データを提供します。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用可能 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
エンティティ拡充
| 拡充フィールド | 適用範囲 |
|---|---|
| CB_Cloud.device_id | 常に |
| CB_Cloud.antivirus_status | 常に |
| CB_Cloud.antivirus_last_scan_time | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.owner_email | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.owner_first_name | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.owner_last_name | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.last_contact_time | 常に |
| CB_Cloud._last_device_policy_changed_time | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.last_external_ip_address | 常に |
| CB_Cloud.last_internal_ip_address | 常に |
| CB_Cloud.last_location | 常に |
| CB_Cloud.full_device_name | 常に |
| CB_Cloud.organization_id | 常に |
| CB_Cloud.organization_name | 常に |
| CB_Cloud.device_os | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.device_os_version | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.passive_mode | 常に |
| CB_Cloud.device_policy_id | 常に |
| CB_Cloud.device_policy_name | 常に |
| CB_Cloud.device_policy_override | true の場合 |
| CB_Cloud.quarantined | 常に |
| CB_Cloud.scan_status | 情報が JSON の結果に表示されている場合 |
| CB_Cloud.sensor_out_of_date | 常に |
| CB_Cloud.sensor_states | 常に |
| CB_Cloud.sensor_version | 常に |
| CB_Cloud.device_status | 常に |
スクリプトの結果
次の表に、エンティティの拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"results": [
{
"activation_code": null,
"activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
"ad_group_id": 649,
"av_ave_version": null,
"av_engine": "",
"av_last_scan_time": null,
"av_master": false,
"av_pack_version": null,
"av_product_version": null,
"av_status": [
"AV_DEREGISTERED"
],
"av_update_servers": null,
"av_vdf_version": null,
"current_sensor_policy_name": "vmware-example",
"deregistered_time": "2020-04-21T07:31:22.285Z",
"device_meta_data_item_list": [
{
"key_name": "OS_MAJOR_VERSION",
"key_value": "Windows 10",
"position": 0
},
{
"key_name": "SUBNET",
"key_value": "10.0.2",
"position": 0
}
],
"device_owner_id": 439953,
"email": "User",
"first_name": null,
"id": 3401539,
"last_contact_time": "2020-04-21T07:30:21.614Z",
"last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
"last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
"last_external_ip_address": "198.51.100.209",
"last_internal_ip_address": "203.0.113.15",
"last_location": "OFFSITE",
"last_name": null,
"last_policy_updated_time": "2020-04-09T11:19:01.371Z",
"last_reported_time": "2020-04-21T07:14:33.810Z",
"last_reset_time": null,
"last_shutdown_time": "2020-04-21T06:41:11.083Z",
"linux_kernel_version": null,
"login_user_name": null,
"mac_address": "000000000000",
"middle_name": null,
"name": "<span class='hlt1'>WinDev2003Eval</span>",
"organization_id": 1105,
"organization_name": "cb-internal-alliances.com",
"os": "WINDOWS",
"os_version": "Windows 10 x64",
"passive_mode": false,
"policy_id": 36194,
"policy_name": "vmware-example",
"policy_override": false,
"quarantined": false,
"registered_time": "2020-04-21T05:05:37.407Z",
"scan_last_action_time": null,
"scan_last_complete_time": null,
"scan_status": null,
"sensor_kit_type": "WINDOWS",
"sensor_out_of_date": false,
"sensor_pending_update": false,
"sensor_states": [
"ACTIVE",
"LIVE_RESPONSE_NOT_RUNNING",
"LIVE_RESPONSE_NOT_KILLED",
"LIVE_RESPONSE_ENABLED",
"SECURITY_CENTER_OPTLN_DISABLED"
],
"sensor_version": "3.4.0.1097",
"status": "DEREGISTERED",
"target_priority": "MEDIUM",
"uninstall_code": "9EFCKADP",
"vdi_base_device": null,
"virtual_machine": false,
"virtualization_provider": "UNKNOWN",
"windows_platform": null
}
],
"num_found": 6
}
出力メッセージ
ケースウォールで、エンティティの拡充アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute Enrich Entities action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
VMware Carbon Black Cloud アラートを閉じる
VMware Carbon Black Cloud アラートを閉じる。
VMware Carbon Black Cloud Alerts Connector によって作成されたイベントでは、Event.id フィールドをアラート ID のプレースホルダとして渡して、[Dismiss VMware Carbon Black Cloud Alert] アクションでアラートを閉じることができます。
このアクションでは、UI に DONAELUN として表示される形式ではなく、27162661199ea9a043c11ea9a29a93652bc09fd などの英数字形式のアラート ID が使用されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | 該当なし | はい | VMware Carbon Black Cloud サーバーで無視するアラート ID。アラート ID は、UI に DONAELUN として表示される形式ではなく、27162661199ea9a043c11ea9a29a93652bc09fd のような英数字形式で指定します。 |
| 不承認の理由 | DDL | 不適用の理由なし | いいえ | VMware Carbon Black Cloud のアラートを閉じた理由。指定できる値は次のとおりです。
|
| 決定 | DDL | なし | いいえ | アラートに設定する判定値。指定できる値は次のとおりです。
|
| アラートを閉じるためのメッセージ | 文字列 | 該当なし | いいえ | アラートの破棄に追加するメッセージ。 |
ユースケース
Google SecOps SOAR で行われた分析に基づいて、VMware Carbon Black Cloud アラートを閉じるか、無視します。
Google SecOps SOAR でアラートが処理された後、VMware Carbon Black Cloud と Google SecOps SOAR の間でアラート ステータスを同期するには、Google SecOps SOAR から VMware Carbon Black Cloud アラートを閉じる(閉じる)アクションが必要です。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表は、VMware Carbon Black Cloud アラートを閉じるアクションを使用した場合のスクリプト結果出力の値を示しています。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで [Dismiss VMware Carbon Black Cloud Alert] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute Dismiss alert action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
ポリシー ID でデバイスのポリシーを更新する
ホスト上の VMware Carbon Black Cloud センサーのポリシーを変更します。アクションのスコープは IP アドレスまたはホスト エンティティです。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー ID | Integer | 該当なし | はい | VMware Carbon Black Cloud センサーに関連付けるポリシーを指定します。 |
ユースケース
Google SecOps SOAR から VMware Carbon Black Cloud サーバーでポリシー更新タスクを作成します。
アラートを分析しているインシデント対応者は、同じホストが短期間に複数の誤検知アラートを生成していることに気づきました。このアクションを使用して、センサー ポリシーの制限を緩和するポリシー更新タスクを作成できます。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、[Update a Policy for Device by Policy ID] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで、Update a Policy for Device by Policy ID アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
デバイスのバックグラウンド スキャン
IP アドレスまたはホスト エンティティに基づいて、VMware Carbon Black Cloud サーバーにデバイスのバックグラウンド スキャン タスクを作成します。
ユースケース
Google SecOps SOAR の VMware Carbon Black Cloud センサーを使用して、ホストのバックグラウンド スキャンタスクを作成します。
アラートを分析しているインシデント対応担当者は、ホストが侵害されている可能性があることに気づきます。インシデント対応担当者は、このアクションを使用してホストのオンデマンド バックグラウンド スキャンをリクエストできます。このスキャンでは、ホストに他の疑わしい実行可能ファイルがあるかどうかを確認し、ホスト上のセンサーがこれらの疑わしい実行可能ファイルのアラートを作成します。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、デバイスのバックグラウンド スキャン アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで、[Device Background Scan] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
デバイスのバイパス モードを有効にする
VMware Carbon Black Cloud サーバーでデバイスのバイパス モード タスクを有効にします。このタスクは、Google SecOps SOAR の IP アドレスまたはホスト エンティティに基づいています。
ユースケース
Google SecOps SOAR から VMware Carbon Black Cloud サーバーにバイパス モードを有効にするタスクを作成します。
特定のプラットフォーム センサーまたはホストに関連するアラートを分析しているときに、インシデント レスポンダーは、センサーが複数の誤検知アラートを作成していることに気づきました。このアクションを使用すると、リモート エージェントがアラートとして処理するイベントを追跡し、ポリシーを更新するためのバイパスモードを有効にできます。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、デバイスのバイパスモードを有効にするアクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで [Enable Bypass Mode for Device] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
デバイスのバイパス モードを無効にする
VMware Carbon Black Cloud サーバー上のデバイスに対して、バイパス モードを無効にするタスクを作成します。このタスクは、Google SecOps SOAR の IP アドレスまたはホスト エンティティに基づいています。
ユースケース
特定のセンサーでバイパス モードを有効にし、VMware Carbon Black Cloud の構成とポリシーのトラブルシューティングを行った後、インシデント レスポンダーは、Carbon Black センサーが想定どおりに動作しており、バイパス モードで動作させる必要はないと判断しました。デバイスのバイパス モードを無効にするタスクを作成するアクションを実行して、特定のホストのバイパス モードを無効にするタスクを作成します。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、デバイスのバイパス モードを無効にするアクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで [Disable Bypass Mode for Device] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
デバイスを検疫する
Google SecOps SOAR の IP アドレスまたはホスト エンティティに基づいて、VMware Carbon Black Cloud サーバーにデバイス隔離タスクを作成します。
ユースケース
インシデント対応者がホストが侵害されている兆候を確認し、このタスクを使用してホストを隔離できます。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、デバイスの隔離アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、[デバイスを隔離] アクションを使用した場合に受信される JSON 結果の出力について説明しています。
[
{
"Entity": "siemplify-ID",
"EntityResult": {
"status": "done"
}
}
]
出力メッセージ
ケースウォールで [デバイスを隔離] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
デバイスの検疫を解除する
Google SecOps SOAR の IP アドレスまたは Host エンティティに基づいて、VMware Carbon Black Cloud サーバーにデバイスの隔離解除タスクを作成します。
ユースケース
VMware Carbon Black Cloud で管理されている特定のホストに関連するアラートを分析して修復した後、インシデント対応担当者は、そのホストが侵害されていないことを確認しました。デバイスの隔離解除アクションを実行して、VMware Carbon Black Cloud サーバーで隔離解除ホストタスクを作成し、ホストに接続します。
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、デバイスの隔離解除アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで [デバイスの隔離を解除] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to execute action! Error is
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
エンティティ プロセス検索を実行する
このアクションを使用して、VMware Carbon Black Cloud に保存されているプロセスに関する情報を検索します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ユーザー
- ハッシュ
- プロセス
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 開始行 | Integer | 0 | いいえ | データを取得する行を指定します。 |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行数を指定します。 |
| インサイトの作成 | チェックボックス | 未選択 | いいえ | 選択すると、このアクションは Carbon Black Cloud のプロセス情報に基づいて Google SecOps SOAR 分析情報を作成します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
エンティティ拡充
| 拡充フィールド | ロジック |
|---|---|
| IsSuspicous | 返されたデータに、THREAT に設定されたアラート カテゴリ(alert_category)と、プロセスに関連付けられたアラート ID(alert_ids)のリストが含まれている場合は True に設定します。 |
スクリプトの結果
次の表に、Execute Entity Process Search アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、Execute Entity Processes Search アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"results": [
{
"alert_category": [
"THREAT"
],
"alert_id": [
"19183229-384f-49a7-8ad7-87d0db243fcc",
"4dfc6aed-656d-41d1-9568-0de349d7a8b3",
"8eb04992-ed94-4471-8a71-fd78bad887de",
"ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
"edc046a0-98f0-43eb-b3c0-a67469c11d19",
"f365a912-1d79-421e-bccb-f57b52100be8"
],
"backend_timestamp": "2021-02-02T18:38:46.520Z",
"childproc_count": 0,
"crossproc_count": 0,
"device_external_ip": "161.47.37.87",
"device_group_id": 0,
"device_id": 3602123,
"device_installed_by": "sadiya@acalvio.com",
"device_internal_ip": "172.26.115.53",
"device_location": "UNKNOWN",
"device_name": "desktop1-win10",
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_policy": "test",
"device_policy_id": 32064,
"device_target_priority": "HIGH",
"device_timestamp": "2020-08-19T16:31:20.887Z",
"document_guid": "sF1Ug1--SEyLWljQrWe8NA",
"event_threat_score": [
6
],
"filemod_count": 0,
"ingress_time": 1612291119946,
"modload_count": 0,
"netconn_count": 0,
"org_id": "7DESJ9GN",
"parent_effective_reputation": "KNOWN_MALWARE",
"parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
"parent_hash": [
"86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
],
"parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
"parent_pid": 9940,
"parent_reputation": "KNOWN_MALWARE",
"process_cmdline": [
"powershell.exe -ep bypass"
],
"process_cmdline_length": [
25
],
"process_effective_reputation": "COMPANY_BLACK_LIST",
"process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
"process_hash": [
"908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"cda48fc75952ad12d99e526d0b6bf70a"
],
"process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"process_pid": [
1464
],
"process_reputation": "COMPANY_BLACK_LIST",
"process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"process_start_time": "2020-08-19T16:05:24.057Z",
"process_username": [
"DESKTOP1-WIN10\\acalvio"
],
"regmod_count": 0,
"scriptload_count": 0,
"watchlist_hit": [
"BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
]
}
],
"num_found": 1,
"num_available": 1,
"approximate_unaggregated": 6,
"num_aggregated": 6,
"contacted": 47,
"completed": 47
}
出力メッセージ
ケースウォールで、Execute Entity Processes Search アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Execute Entity Processes Search". Error
is ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
List Reputation Overrides
このアクションを使用して、VMware Carbon Black Cloud で構成されている評判のオーバーライドを一覧表示します。
このアクションはエンティティに対しては実行されません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 評判オーバーライド リスト | DDL | 指定なし 値は次のいずれかです。
|
いいえ | オーバーライド リスト アクションが返す値を指定します。 |
| Reputation Override Type | DDL | Not Specified 値は次のいずれかです。
|
いいえ | オーバーライド タイプのアクションが返す値を指定します。 |
| 開始行 | Integer | 0 | いいえ | どの行アクションからデータを取得するかを指定します。 |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行数を指定します。 |
| 行の並べ替え順序 | DDL | ASC 値は次のいずれかです。
|
返された行の並べ替え順序を指定します。行は create_time 値に基づいて並べ替えられます。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
ケースウォール テーブル
ケースウォールの [List Reputation Overrides] には、次の表が表示されます。
SHA-256 の表
表名: Found SHA-256 Reputation Overrides
テーブル列:
- SHA-256 ハッシュ
- ファイル名
- ID
- オーバーライド リスト
- 説明
- ソース
- ソース参照
- 作成日時
- 作成者
CERT テーブル
テーブル名: Found CERT Reputation Overrides
テーブル列:
- 認証局
- 署名者
- ID
- オーバーライド リスト
- 説明
- ソース
- ソース参照
- 作成日時
- 作成者
IT ツール表
テーブル名: Found IT_TOOL Reputation Overrides
テーブル列:
- IT ツールのパス
- 子プロセスを含める
- ID
- オーバーライド リスト
- 説明
- ソース
- ソース参照
- 作成日時
- 作成者
スクリプトの結果
次の表に、List Reputation Overrides アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、証明書に対して List Reputation Overrides アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"num_found": 2,
"results": [
{
"id": "6b040826d43a11eb85899b2a3fb7559d",
"created_by": "user@example.com",
"create_time": "2021-06-23T15:48:13.355Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "",
"source": "APP",
"source_ref": null,
"signed_by": "Example Software Corp.",
"certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
}
]
}
次の例は、SHA-256 ハッシュに対して List Reputation Overrides アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"num_found": 25,
"results": [
{
"id": "0a0d2bf89d4d11ebbef6695028ab76fe",
"created_by": "I2TK7ET355",
"create_time": "2021-04-14T18:12:57.161Z",
"override_list": "WHITE_LIST",
"override_type": "SHA256",
"description": "Test Data",
"source": "APP",
"source_ref": null,
"sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
"filename": null
}
]
}
次の例は、IT ツールで List Reputation Overrides アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
出力メッセージ
ケースウォールで List Reputation Overrides アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Reputation Overrides". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
証明書の評判オーバーライドを作成する
証明書の評判オーバーライドを作成します。評判のオーバーライドの詳細については、評判のオーバーライドをご覧ください。
このアクションはエンティティに対しては実行されません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 認証局 | 文字列 | 該当なし | いいえ | 評判のオーバーライドに追加する証明書の有効性を承認する認証局を指定します。 |
| 署名者 | 文字列 | はい | 評判のオーバーライドに追加する署名者の名前を指定します。 | |
| 説明 | 文字列 | 該当なし | いいえ | 作成した評判のオーバーライドの説明を指定します。 |
| 評判オーバーライド リスト | DDL | 指定なし | はい | 作成するオーバーライド リストを指定します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、[Create a Reputation Override for Certificate] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、[Create a Reputation Override for Certificate] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"id": "fb19756cf03311eb81e9bf7658b8ce59",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:12:41.168Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "An override for a CERT",
"source": "APP",
"source_ref": null,
"signed_by": "Test signer for override",
"certificate_authority": "test cert ca"
}
出力メッセージ
ケースウォールで [Create a Reputation Override for Certificate] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Create a Reputation Override for
Certificate". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
SHA-256 ハッシュのレピュテーション オーバーライドを作成する
SHA-256 形式で指定されたハッシュの評判オーバーライドを作成します。評判のオーバーライドの詳細については、評判のオーバーライドをご覧ください。
このアクションは、指定されている場合は FileHash エンティティに対して実行されます。
SHA-256 ハッシュは、Google SecOps SOAR FileHash エンティティ(アーティファクト)またはアクション入力パラメータとして指定できます。ハッシュがエンティティと入力パラメータの両方としてアクションに渡される場合、アクションは入力パラメータに対して実行されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| SHA-256 ハッシュ | 文字列 | 該当なし | いいえ | オーバーライドを作成する SHA-256 ハッシュ値を指定します。 |
| ファイル名 | 文字列 | 該当なし | はい | 対応するファイル名を指定して、評判のオーバーライドに追加します。 |
| 説明 | 文字列 | 該当なし | いいえ | 作成した評判のオーバーライドの説明を指定します。 |
| 評判オーバーライド リスト | DDL | 指定なし | はい | 作成するオーバーライド リストを指定します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、SHA-256 ハッシュの評判オーバーライドを作成するアクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、[Create a Reputation Override for SHA-256 Hash] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"id": "1ea6c923f03211eb83cf87b4dce84539",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T05:59:21.821Z",
"override_list": "BLACK_LIST",
"override_type": "SHA256",
"description": "An override for a sha256 hash",
"source": "APP",
"source_ref": null,
"sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
"filename": "foo.exe"
}
出力メッセージ
ケースウォールで [Create a Reputation Override for SHA-256 Hash] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
IT ツール用の評判オーバーライドを作成する
このアクションを使用して、Jira や ServiceNow などの特定の IT ツールに対するレピュテーションのオーバーライドを作成します。レピュテーションのオーバーライドは、ファイル名とパスに基づいています。評判のオーバーライドの詳細については、評判のオーバーライドをご覧ください。
このアクションは、指定されている場合はファイル エンティティに対して実行されます。
ファイル名は、Google SecOps SOAR ファイル エンティティ(アーティファクト)またはアクション入力パラメータとして指定できます。ファイル名がエンティティと入力パラメータの両方としてアクションに渡された場合、アクションは入力パラメータを使用します。このアクションは、ファイル名を [ファイルパス] パラメータに追加して結果のパスを取得し、そのパスをオーバーライドに追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイル名 | 文字列 | 該当なし | いいえ | 対応するファイル名を指定して、レピュテーションのオーバーライドに追加します。 |
| ファイルパス | 文字列 | 該当なし | はい | 対応する IT ツールがディスクに保存されているパスを指定して、パスを評判のオーバーライドに追加します。例: C\\TMP\\。 |
| 子プロセスを含める | チェックボックス | 未選択 | いいえ | 選択した場合、IT ツールの子プロセスを承認済みリストに含めます。 |
| 説明 | 文字列 | 該当なし | いいえ | 作成した評判のオーバーライドの説明を指定します。 |
| 評判オーバーライド リスト | DDL | 指定なし | はい | 作成するオーバーライド リストを指定します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、[Create Reputation Override for IT Tool] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、Create Reputation Override for IT Tool アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
出力メッセージ
ケースウォールで [Create a Reputation Override for IT Tool] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
評判のオーバーライドを削除する
指定された評判オーバーライド ID を使用して、評判オーバーライドを削除します。評判のオーバーライドの詳細については、評判のオーバーライドをご覧ください。
このアクションはエンティティに対しては実行されません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Reputation Override ID | 文字列 | 該当なし | はい | 削除する評判オーバーライド ID を指定します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、Delete Reputation Override アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
出力メッセージ
ケースウォールで、Delete a Reputation Override アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Delete a Reputation Override". Reason:
ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
ホストの脆弱性を一覧表示する
このアクションを使用して、Carbon Black Cloud がホストで検出した脆弱性を一覧表示します。
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 重大度フィルタ | CSV | 該当なし | いいえ | 脆弱性の重大度のカンマ区切りリストを指定します。 何も指定しないと、アクションは関連するすべての脆弱性を取り込みます。 有効な値: Critical、Important、Moderate、Low。 |
| 返す最大の脆弱性 | Integer | 100 | いいえ | ホストごとに返される脆弱性の数を指定します。 何も指定しないと、アクションは関連するすべての脆弱性を処理します。 |
アクションの出力
このアクションでは、次の出力が提供されます。
| アクションの出力タイプ | |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充 | 利用不可 |
| スクリプトの結果 | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
スクリプトの結果
次の表に、List Host Vulnerabilities アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
次の例は、List Host Vulnerabilities アクションを使用した場合に受信される JSON 結果の出力について説明しています。
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"moderate": 1,
"low": 1
}
},
"details": [
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2015-2534",
"cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB3091287",
"solution": null,
"created_at": "2015-09-09T00:59:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
},
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2017-8554",
"cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB5016639",
"solution": null,
"created_at": "2017-06-29T13:29:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
}
]
}
出力メッセージ
ケースウォールで [List Host Vulnerabilities] アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
コネクタ
VMware Carbon Black Cloud の統合で使用できるコネクタは次のとおりです。
Alert Connector(非推奨)。Google SecOps SOAR のアラートとイベントに同じ Carbon Black アラート データを使用するため、Carbon Black のイベントデータが完全に欠落します。代わりに、ベースライン コネクタまたはトラッキング コネクタを使用してください。
Baseline Connector は、Carbon Black からアラートとイベントの両方を取得します。このコネクタは、新しいイベントが Carbon Black アラートに追加されたかどうかをモニタリングしません。
Tracking Connector は、Carbon Black からアラートとイベントの両方を取得し、取り込み済みの既存のアラートに新しいイベントが追加されたかどうかをモニタリングします。CB アラートに新しいイベントが表示されると、コネクタは Carbon Black アラートに追加されたイベントを含む新しい Google SecOps SOAR アラートを作成します。
Google SecOps SOAR でコネクタを構成する手順については、コネクタの構成をご覧ください。
VMware Carbon Black Cloud Alerts コネクタ - 非推奨
Google SecOps SOAR プラットフォームで分析するために、VMware Carbon Black Cloud から Google SecOps SOAR アラートとしてアラートを取得します。
コネクタの概要
コネクタは、VMware Carbon Black Cloud API エンドポイントに定期的に接続し、特定の期間に生成されたアラートのリストを取得します。新しいアラートが存在する場合、コネクタは Carbon Black Cloud アラートに基づいて Google SecOps SOAR アラートを作成し、コネクタのタイムスタンプを最後に正常に取り込まれたアラートの時刻として保存します。次のコネクタ実行時に、コネクタはタイムスタンプ以降に作成されたアラートのみを Carbon Black API にクエリします。
コネクタは重複するアラート(オーバーフローとしてマークされたアラート)を確認し、重複するアラートから Google SecOps SOAR アラートを作成しません。
テストモード: コネクタには、デバッグとトラブルシューティングを目的としたテストモードがあります。テストモードでは、コネクタは次の処理を行います。
- 最後の実行のタイムスタンプを更新しない。
- 指定された時間数に基づいてアラートを取得します。
- 取り込み用の単一のアラートを返します。
暗号化された通信: コネクタは暗号化された通信(SSL または TLS)をサポートしています。
プロキシのサポート: コネクタは、HTTPS トラフィックにプロキシを使用して API エンドポイントへの接続をサポートします。
Unicode のサポート: コネクタは、処理されたアラートの Unicode エンコードをサポートしています。
API 権限
Carbon Black Cloud コネクタは、Carbon Black Cloud 統合と同じ API 認証情報を使用します。Carbon Black Cloud の API 構成の詳細については、前提条件のセクションをご覧ください。
コネクタ パラメータ
コネクタ パラメータを構成または編集するには、Google SecOps の管理者権限グループに含まれている必要があります。ユーザーの権限グループの詳細については、権限グループの操作をご覧ください。
次のパラメータを使用してコネクタを構成します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 環境 | DDL | 該当なし | はい | 必要な環境を選択します。(例: 「Customer One」)。 アラートの [環境] フィールドが空の場合、アラートはこの環境に挿入されます。 |
| 実行間隔 | 整数 | 0:0:0:10 | いいえ | 接続を実行する時間を選択します。 |
| プロダクト フィールド名 | 文字列 | ProductName | はい | 商品名が保存されるフィールドの名前。 |
| イベント フィールド名 | 文字列 | AlertName | はい | イベント名が保存されるフィールドの名前。 |
| イベント クラス ID | 文字列 | AlertName | いいえ | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| Python プロセスのタイムアウト | 文字列 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境は |
| 環境の正規表現パターン | 文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
| API ルート | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API のルート URL。 |
| 組織キー | 文字列 | なし | はい | VMware Carbon Black Cloud 組織キー。 |
| API ID | 文字列 | なし | はい | VMware Carbon Black Cloud API ID(カスタム API キー ID)。 |
| API シークレット キー | 文字列 | なし | はい | VMware Carbon Black Cloud API 秘密鍵(カスタム API 秘密鍵)。 |
| オフセット時間(時間) | 整数 | 24 | はい | アラートを取得する時間数。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | はい | 1 回のコネクタ実行で処理するアラートの数。 |
| 取得する最小の重大度 | Integer | なし | いいえ | Google SecOps SOAR に取り込む Carbon Black Cloud アラートの最小重大度。 |
| [名前] フィールドに使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート名フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は type と policy_name です。 |
| ルール生成ツールで使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート ルール ジェネレータ フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は、type、category、policy_name です。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | 該当なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | 該当なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | 該当なし | いいえ | プロキシ サーバーのパスワード。 |
コネクタルール
- コネクタはプロキシの使用をサポートしています。
VMware Carbon Black Cloud Alerts and Events Baseline Connector
概要
VMware Carbon Black Cloud ベースライン コネクタを使用して、Carbon Black Cloud アラートとアラートに関連するイベントを取り込みます。アラートを取り込むと、Google SecOps はアラートを処理済みとしてタグ付けし、アラートの更新を取得しません。アラートの更新を取得するには、トラッキング コネクタを使用します。
Google SecOps で [アラート名] フィールドと [ルール ジェネレータ] フィールドをカスタマイズする
コネクタには、テンプレートを使用して Google SecOps SOAR のアラート名とルール生成ツールのフィールド値をカスタマイズするオプションがあります。テンプレートの場合、コネクタは API から返された Carbon Black Cloud アラート データからデータを取得します。
API から返される Carbon Black Cloud アラート データの例を次に示します。アラートデータは、アラートで使用可能なフィールドを参照し、テンプレートに使用できます。
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
コネクタ パラメータ
コネクタ パラメータを構成または編集するには、Google SecOps の管理者権限グループに含まれている必要があります。ユーザーの権限グループの詳細については、権限グループの操作をご覧ください。
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | ProductName | はい | 商品名が保存されるフィールドの名前。 |
| イベント フィールド名 | 文字列 | AlertName | はい | イベント名が保存されるフィールドの名前。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境は |
| 環境の正規表現パターン | 文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
| API ルート | 文字列 | https://defense.conferdeploy.net |
はい | VMware Carbon Black Cloud API のルート URL。 |
| 組織キー | 文字列 | 該当なし | はい | VMware Carbon Black Cloud 組織キー。例: 7DDDD9DD。 |
| API ID | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API ID(カスタム API キー ID)。 |
| API シークレット キー | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API 秘密鍵(カスタム API 秘密鍵)。 |
| オフセット時間(時間) | 整数 | 24 | はい | アラートを取得する時間数。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | はい | 1 回のコネクタ実行で処理するアラートの数。 |
| 取得する最小の重大度 | Integer | なし | いいえ | Google SecOps SOAR に取り込む Carbon Black Cloud アラートの最小重大度。たとえば、4 や 7 です。 |
| [名前] フィールドに使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート名フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は type と policy_name です。 |
| ルール生成ツールで使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート ルール ジェネレータ フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は、type、category、policy_name です。 |
| 取り込むアラートの評判 | 文字列 | 該当なし | いいえ | 取り込むアラートの Carbon Black Cloud の評価。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| アラートごとに取り込むイベントの上限 | Integer | 25 | はい | 各 Carbon Black Cloud アラートに取り込むイベントの数。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | 該当なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | 該当なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | 該当なし | いいえ | プロキシ サーバーのパスワード。 |
| アラート名テンプレート | 文字列 | 該当なし | いいえ | 指定した場合、コネクタは Carbon Black Cloud API レスポンスのアラート データからこの値を使用して、[アラート名] フィールドに入力します。 プレースホルダは [フィールド名] の形式で指定できます。 例: アラート - [理由]。 このフィールドの最大長は 256 文字です。何も指定されていない場合、または無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。 |
| ルール生成ツール テンプレート | 文字列 | なし | いいえ | 指定すると、コネクタは Carbon Black Cloud API レスポンスのアラート データからこの値を使用して、ルール ジェネレータ フィールドに入力します。 プレースホルダは [フィールド名] の形式で指定できます。 例: アラート - [理由]。 このフィールドの最大長は 256 文字です。何も指定されていない場合、または無効なテンプレートが指定された場合、コネクタはデフォルトのルール ジェネレータ値を使用します。 |
コネクタルール
- コネクタはプロキシの使用をサポートしています。
VMware Carbon Black Cloud Alerts and Events Tracking Connector
概要
VMware Carbon Black Cloud Tracking コネクタを使用して、Carbon Black Cloud アラートと関連イベントを取得します。コネクタがすでに処理済みの Carbon Black Cloud アラートの新しいイベントを検出すると、検出された新しいイベントごとに Google SecOps SOAR アラートが追加で作成されます。
Google SecOps で [アラート名] フィールドと [ルール ジェネレータ] フィールドをカスタマイズする
コネクタには、テンプレートを使用して Google SecOps SOAR のアラート名とルール生成ツールのフィールド値をカスタマイズするオプションがあります。テンプレートの場合、コネクタは API から返された Carbon Black Cloud アラート データからデータを取得します。
API から返される Carbon Black Cloud アラート データの例を次に示します。アラートデータは、アラートで使用可能なフィールドを参照し、テンプレートに使用できます。
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
コネクタ パラメータ
コネクタ パラメータを構成または編集するには、Google SecOps の管理者権限グループに含まれている必要があります。ユーザーの権限グループの詳細については、権限グループの操作をご覧ください。
次のパラメータを使用してコネクタを構成します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | ProductName | はい | 商品名が保存されるフィールドの名前。 |
| イベント フィールド名 | 文字列 | AlertName | はい | イベント名が保存されるフィールドの名前。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境は |
| 環境の正規表現パターン | 文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は |
| API ルート | 文字列 | https://defense.conferdeploy.net |
はい | VMware Carbon Black Cloud API のルート URL。 |
| 組織キー | 文字列 | 該当なし | はい | VMware Carbon Black Cloud 組織キー。例: 7DDDD9DD。 |
| API ID | 文字列 | 該当なし | はい | VMware Carbon Black Cloud API ID(カスタム API キー ID)。 |
| API シークレット キー | 文字列 | なし | はい | VMware Carbon Black Cloud API 秘密鍵(カスタム API 秘密鍵)。 |
| オフセット時間(時間) | 整数 | 24 | はい | アラートを取得する時間数。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | はい | 1 回のコネクタ実行で処理するアラートの数。 |
| 取得する最小の重大度 | Integer | 該当なし | いいえ | Google SecOps SOAR に取り込む Carbon Black Cloud アラートの最小重大度。たとえば、4 や 7 です。 |
| [名前] フィールドに使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート名フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は、type と policy_name です。 |
| ルール生成ツールで使用するアラート フィールド | 文字列 | タイプ | はい | Google SecOps SOAR アラート ルール ジェネレータ フィールドに使用する Carbon Black Cloud アラート フィールド。有効な値は、type、category、policy_name です。 |
| 取り込むアラートの評判 | 文字列 | 該当なし | いいえ | 取り込む Carbon Black Cloud アラートの評判アラート。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| イベントのパディング期間(時間) | Integer | 24 | はい | アラート イベントを取得する時間数。 |
| アラートごとに取り込むイベントの上限 | Integer | 25 | はい | 各コネクタのイテレーションで 1 つの Carbon Black Cloud アラートに取り込むイベントの数。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | 該当なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | 該当なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | 該当なし | いいえ | プロキシ サーバーのパスワード。 |
| アラート名テンプレート | 文字列 | 該当なし | いいえ | 指定した場合、コネクタは Carbon Black Cloud API レスポンスのアラート データからこの値を使用して、[アラート名] フィールドに入力します。 プレースホルダは [フィールド名] の形式で指定できます。 例: アラート - [理由]。 フィールドの最大長は 256 文字です。何も指定されていない場合、または無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名値を使用します。 |
| ルール生成ツール テンプレート | 文字列 | 該当なし | いいえ | 指定すると、コネクタは Carbon Black Cloud API レスポンスのアラート データからこの値を使用して、ルール ジェネレータ フィールドに入力します。 プレースホルダは [フィールド名] の形式で指定できます。 例: ルール - [理由]。 このフィールドの最大長は 256 文字です。何も指定されていない場合や、無効なテンプレートを指定した場合は、コネクタはデフォルトのルール ジェネレータ値を使用します。 |
| アラートあたりのイベントの合計上限 | Integer | 100 | いいえ | コネクタが各 Carbon Black Cloud アラートに対して取得するイベントの合計数。 この上限に達すると、コネクタはアラートの新しいイベントを取得しません。 各アラートのイベントの合計数を制限しない場合は、このパラメータ値を空のままにします。 |
コネクタルール
- コネクタはプロキシの使用をサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。