VMware Carbon Black Cloud
이 문서에서는 관리자가 VMware Carbon Black Cloud를 Google Security Operations의 SOAR 모듈과 구성하고 통합하는 방법을 안내합니다.
통합 버전: 32.0
개요
VMware Carbon Black Cloud 통합은 다음 작업을 지원합니다.
VMware Carbon Black Cloud 이벤트 및 알림을 수집하여 알림을 만듭니다.
Google SecOps는 알림을 사용하여 플레이북이나 수동 분석으로 조정을 수행합니다.
보강 작업을 수행합니다.
VMware Carbon Black Cloud에서 데이터를 가져와 Google SecOps 알림의 데이터를 보강합니다.
활성 작업을 실행합니다.
VMware Carbon Black Cloud 에이전트를 사용하여 Google SecOps SOAR에서 스캔을 예약하고 호스트를 격리합니다.
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드 사본을 다운로드할 수 있습니다.
기본 요건
이 섹션은 초기 통합 구성에 적용됩니다. VMware Carbon Black Cloud에서 Google SecOps로 데이터가 예상대로 흐르도록 하려면 VMware Carbon Black Cloud에서 이 섹션에 나열된 단계를 완료하세요.
VMware Carbon Black Cloud 통합의 API 액세스를 구성하려면 다음 단계를 완료하세요.
- 액세스 수준을 구성합니다.
- API 키 만들기
이 통합에는 제한사항이 있습니다. 제한사항에 대한 자세한 내용은 VMware Carbon Black Cloud 문서의 평판 재정의 구성을 참고하세요.
액세스 수준 구성
VMware Carbon Black Cloud 통합의 액세스 수준을 구성하려면 다음 단계를 완료하세요.
VMware Carbon Black Cloud 콘솔에서 설정 > API 액세스로 이동합니다.
액세스 수준을 선택합니다.
액세스 수준 추가를 클릭합니다.
새 액세스 수준의 이름과 설명을 입력하고 다음 권한을 선택합니다.
카테고리 권한 이름 .Notation name 권한 유형 알림 일반 정보 org.alerts 읽기 알림 닫기 org.alerts.dismiss 실행 기기 스팸 격리 저장소 device.quarantine 실행 기기 우회 device.bypass 실행 기기 일반 정보 device 읽기 기기 경찰 할당 device.policy 업데이트 기기 백그라운드 스캔 device.bg-scan 실행 검색 이벤트 org.search.events 만들기
읽기
저장을 클릭합니다.
API 키 만들기
VMware Carbon Black Cloud 통합을 위한 API 키를 만들려면 다음 단계를 완료하세요.
VMware Carbon Black Cloud 콘솔에서 설정 > API 액세스 > API 키로 이동합니다.
API 키 추가를 클릭합니다.
키의 이름을 입력하고 이전 섹션에서 만든 액세스 수준을 선택합니다.
저장을 클릭하여 API 보안 비밀 키와 API ID 쌍을 가져옵니다.
나중에 검색할 수 없으므로 API 보안 비밀 키 값을 저장하세요.
VMware Carbon Black Cloud를 Google SecOps와 통합
통합 매개변수를 구성하거나 수정하려면 Google SecOps의 관리자 권한 그룹에 포함되어야 합니다. 사용자 권한 그룹에 관한 자세한 내용은 권한 그룹 작업을 참고하세요.
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 없음 | 아니요 | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 없음 | 아니요 | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://defense.conferdeploy.net/ |
예 | VMware Carbon Black Cloud API 루트 URL입니다. |
| 조직 키 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud 조직 키입니다. |
| API ID | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API ID (맞춤 API 키 ID)입니다. |
| API 보안 키 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API 보안 키 (맞춤 API 보안 키)입니다. |
| SSL 확인 | 체크박스 | 선택됨 | 아니요 | 선택하면 Google SecOps에서 VMware Carbon Black Cloud 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택되지 않음 | 아니요 | 구성된 통합을 원격으로 실행하려면 체크박스를 선택합니다. 체크박스를 선택하면 원격 사용자 (에이전트)를 선택하는 옵션이 나타납니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 나중에 구성을 변경할 수 있습니다. 인스턴스를 구성한 후에는 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
핑
VMware Carbon Black Cloud에 대한 연결을 테스트합니다.
매개변수
없음
사용 사례
이 작업은 Google SecOps Marketplace 탭의 통합 구성 페이지에서 실행될 때 연결을 테스트합니다. 이 작업은 수동으로 실행할 수 있지만 플레이북에서는 사용할 수 없습니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 핑 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the VMware Carbon Black Cloud server
with the provided connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the VMware Carbon Black Cloud server! Error
is ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
항목 보강
VMware Carbon Black Cloud의 기기 정보를 기반으로 Google SecOps SOAR 호스트 또는 IP 주소 항목을 보강합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
사용 사례
Carbon Black 에이전트가 해당 IP 주소 또는 호스트 항목에 설치된 경우 VMware Carbon Black Cloud의 정보로 Google SecOps SOAR 호스트 또는 IP 항목을 보강합니다.
침해 사고 대응팀이 센서가 설치된 호스트에서 발생한 멀웨어 알림을 조사할 수 있도록 VMware Carbon Black Cloud는 호스트 정보, 센서 상태, Carbon Black 정책과 같은 보강 데이터를 제공할 수 있습니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
항목 보강
| 보강 필드 | 적용 범위 |
|---|---|
| CB_Cloud.device_id | 항상 |
| CB_Cloud.antivirus_status | 항상 |
| CB_Cloud.antivirus_last_scan_time | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.owner_email | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.owner_first_name | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.owner_last_name | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.last_contact_time | 항상 |
| CB_Cloud._last_device_policy_changed_time | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.last_external_ip_address | 항상 |
| CB_Cloud.last_internal_ip_address | 항상 |
| CB_Cloud.last_location | 항상 |
| CB_Cloud.full_device_name | 항상 |
| CB_Cloud.organization_id | 항상 |
| CB_Cloud.organization_name | 항상 |
| CB_Cloud.device_os | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.device_os_version | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.passive_mode | 항상 |
| CB_Cloud.device_policy_id | 항상 |
| CB_Cloud.device_policy_name | 항상 |
| CB_Cloud.device_policy_override | true인 경우 |
| CB_Cloud.quarantined | 항상 |
| CB_Cloud.scan_status | 정보가 JSON 결과에 표시되는 경우 |
| CB_Cloud.sensor_out_of_date | 항상 |
| CB_Cloud.sensor_states | 항상 |
| CB_Cloud.sensor_version | 항상 |
| CB_Cloud.device_status | 항상 |
스크립트 결과
다음 표에서는 엔티티 보강 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 '항목 보강' 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"results": [
{
"activation_code": null,
"activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
"ad_group_id": 649,
"av_ave_version": null,
"av_engine": "",
"av_last_scan_time": null,
"av_master": false,
"av_pack_version": null,
"av_product_version": null,
"av_status": [
"AV_DEREGISTERED"
],
"av_update_servers": null,
"av_vdf_version": null,
"current_sensor_policy_name": "vmware-example",
"deregistered_time": "2020-04-21T07:31:22.285Z",
"device_meta_data_item_list": [
{
"key_name": "OS_MAJOR_VERSION",
"key_value": "Windows 10",
"position": 0
},
{
"key_name": "SUBNET",
"key_value": "10.0.2",
"position": 0
}
],
"device_owner_id": 439953,
"email": "User",
"first_name": null,
"id": 3401539,
"last_contact_time": "2020-04-21T07:30:21.614Z",
"last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
"last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
"last_external_ip_address": "198.51.100.209",
"last_internal_ip_address": "203.0.113.15",
"last_location": "OFFSITE",
"last_name": null,
"last_policy_updated_time": "2020-04-09T11:19:01.371Z",
"last_reported_time": "2020-04-21T07:14:33.810Z",
"last_reset_time": null,
"last_shutdown_time": "2020-04-21T06:41:11.083Z",
"linux_kernel_version": null,
"login_user_name": null,
"mac_address": "000000000000",
"middle_name": null,
"name": "<span class='hlt1'>WinDev2003Eval</span>",
"organization_id": 1105,
"organization_name": "cb-internal-alliances.com",
"os": "WINDOWS",
"os_version": "Windows 10 x64",
"passive_mode": false,
"policy_id": 36194,
"policy_name": "vmware-example",
"policy_override": false,
"quarantined": false,
"registered_time": "2020-04-21T05:05:37.407Z",
"scan_last_action_time": null,
"scan_last_complete_time": null,
"scan_status": null,
"sensor_kit_type": "WINDOWS",
"sensor_out_of_date": false,
"sensor_pending_update": false,
"sensor_states": [
"ACTIVE",
"LIVE_RESPONSE_NOT_RUNNING",
"LIVE_RESPONSE_NOT_KILLED",
"LIVE_RESPONSE_ENABLED",
"SECURITY_CENTER_OPTLN_DISABLED"
],
"sensor_version": "3.4.0.1097",
"status": "DEREGISTERED",
"target_priority": "MEDIUM",
"uninstall_code": "9EFCKADP",
"vdi_base_device": null,
"virtual_machine": false,
"virtualization_provider": "UNKNOWN",
"windows_platform": null
}
],
"num_found": 6
}
출력 메시지
케이스 월에서 엔티티 보강 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute Enrich Entities action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
VMware Carbon Black Cloud 알림 닫기
VMware Carbon Black Cloud 알림을 닫습니다.
VMware Carbon Black Cloud Alerts Connector에서 생성된 이벤트에서 Event.id 필드를 알림 ID의 자리표시자로 전달하여 Dismiss VMware Carbon Black Cloud Alert 작업에서 알림을 닫을 수 있습니다.
이 작업은 UI에 DONAELUN로 표시되는 형식이 아닌 27162661199ea9a043c11ea9a29a93652bc09fd와 같은 영숫자 형식의 알림 ID를 허용합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud 서버에서 닫을 알림 ID입니다. 알림 ID를 DONAELUN로 UI에 표시되는 형식이 아닌 27162661199ea9a043c11ea9a29a93652bc09fd와 같은 영숫자 형식으로 지정합니다. |
| 닫는 이유 | DDL | 닫는 이유 없음 | 아니요 | VMware Carbon Black Cloud 알림 닫기 이유입니다. 가능한 값은 다음과 같습니다.
|
| 결정 | DDL | 없음 | 아니요 | 알림에 설정할 결정 값입니다. 가능한 값은 다음과 같습니다.
|
| 알림 닫기 메시지 | 문자열 | 해당 없음 | 아니요 | 알림 해제에 추가할 메시지입니다. |
사용 사례
Google SecOps SOAR에서 실행된 분석을 기반으로 VMware Carbon Black Cloud 알림을 닫거나 해제합니다.
Google SecOps SOAR에서 알림이 처리된 후 VMware Carbon Black Cloud와 Google SecOps SOAR 간에 알림 상태를 동기화하려면 사용자가 Google SecOps SOAR에서 VMware Carbon Black Cloud 알림을 닫는 작업을 수행해야 합니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 VMware Carbon Black Cloud 알림 닫기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 VMware Carbon Black Cloud 알림 닫기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute Dismiss alert action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
정책 ID로 기기 정책 업데이트
호스트의 VMware Carbon Black Cloud 센서에 대한 정책을 변경합니다. 작업 범위는 IP 주소 또는 호스트 항목입니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 정책 ID | 정수 | 해당 없음 | 예 | VMware Carbon Black Cloud 센서와 연결할 정책을 지정합니다. |
사용 사례
Google SecOps SOAR에서 VMware Carbon Black Cloud 서버에 정책 업데이트 작업을 만듭니다.
알림을 분석하던 사고 대응 담당자는 동일한 호스트에서 짧은 시간 내에 여러 오탐 알림이 생성된 것을 확인했습니다. 이 작업을 사용하여 센서 정책을 덜 제한적으로 변경하는 정책 업데이트 작업을 만들 수 있습니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 정책 ID로 기기의 정책 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 정책 ID로 기기 정책 업데이트 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
기기 백그라운드 검색
IP 주소 또는 호스트 항목을 기반으로 VMware Carbon Black Cloud 서버에서 기기 백그라운드 스캔 작업을 만듭니다.
사용 사례
Google SecOps SOAR의 VMware Carbon Black Cloud 센서를 사용하여 호스트의 백그라운드 스캔 작업을 만듭니다.
알림을 분석할 때 사고 대응자는 호스트가 손상되었을 수 있음을 확인합니다. 침해사고 대응자는 이 작업을 사용하여 호스트의 주문형 백그라운드 검사를 요청할 수 있습니다. 이 검사는 호스트에 다른 의심스러운 실행 파일이 있는지 확인하고 호스트의 센서는 이러한 의심스러운 실행 파일에 대한 알림을 생성합니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 기기 백그라운드 스캔 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 기기 백그라운드 스캔 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
기기의 바이패스 모드 사용 설정
VMware Carbon Black Cloud 서버에서 기기의 바이패스 모드 작업을 사용 설정합니다. 이 작업은 Google SecOps SOAR IP 주소 또는 호스트 항목을 기반으로 합니다.
사용 사례
Google SecOps SOAR에서 VMware Carbon Black Cloud 서버에 우회 모드 사용 설정 작업을 만듭니다.
특정 플랫폼 센서 또는 호스트와 관련된 알림을 분석할 때 인시던트 대응팀은 센서가 여러 개의 오탐 알림을 생성한다는 것을 확인했습니다. 이 작업을 사용하여 원격 에이전트가 알림으로 처리하는 이벤트를 추적하고 정책을 업데이트하기 위한 우회 모드를 사용 설정할 수 있습니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 기기 우회 모드 사용 설정 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 기기의 우회 모드 사용 설정 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
기기의 바이패스 모드 사용 중지
VMware Carbon Black Cloud 서버의 기기에 대해 바이패스 모드 사용 중지 작업을 만듭니다. 작업은 Google SecOps SOAR IP 주소 또는 호스트 항목을 기반으로 합니다.
사용 사례
특정 센서에서 우회 모드를 사용 설정하고 VMware Carbon Black Cloud 구성 및 정책 문제를 해결한 후 인시던트 대응팀은 Carbon Black 센서가 예상대로 작동하며 우회 모드로 작동할 필요가 없다고 판단했습니다. '기기 우회 모드 사용 중지 작업 만들기' 작업을 실행하여 특정 호스트에서 우회 모드를 사용 중지하는 작업을 만듭니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 기기 우회 모드 사용 중지 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 기기의 우회 모드 사용 중지 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
기기 격리
Google SecOps SOAR IP 주소 또는 호스트 항목을 기반으로 VMware Carbon Black Cloud 서버에서 격리 기기 작업을 만듭니다.
사용 사례
사고 대응 담당자가 호스트가 침해된 징후를 발견하고 이 작업을 사용하여 호스트를 격리할 수 있습니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 기기 격리 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 기기 격리 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"Entity": "siemplify-ID",
"EntityResult": {
"status": "done"
}
}
]
출력 메시지
케이스 월에서 기기 격리 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
기기 격리 해제
Google SecOps SOAR IP 주소 또는 호스트 항목을 기반으로 VMware Carbon Black Cloud 서버에서 격리 해제 기기 작업을 만듭니다.
사용 사례
VMware Carbon Black Cloud에서 관리하는 특정 호스트와 관련된 알림을 분석하고 해결한 후 침해 사고 대응자는 호스트가 손상되지 않았음을 발견했습니다. 기기 격리 해제 작업을 실행하여 VMware Carbon Black Cloud 서버에서 격리 해제 호스트 작업을 만들고 호스트에 연결합니다.
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 기기 격리 해제 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 기기 격리 해제 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to execute action! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
엔티티 프로세스 검색 실행
이 작업을 사용하여 VMware Carbon Black Cloud에 저장된 프로세스에 관한 정보를 검색합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트
- 사용자
- 해시
- 처리
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 시작 행 | 정수 | 0 | 아니요 | 데이터를 가져올 행을 지정합니다. |
| 반환할 최대 행 수 | 정수 | 50 | 아니요 | 작업에서 반환해야 하는 행 수를 지정합니다. |
| 통계 만들기 | 체크박스 | 선택되지 않음 | 아니요 | 선택하면 이 작업은 Carbon Black Cloud의 프로세스 정보를 기반으로 하는 Google SecOps SOAR 통계를 만듭니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
항목 보강
| 보강 필드 | 논리 |
|---|---|
| IsSuspicous | 반환된 데이터에 THREAT로 설정된 알림 카테고리(alert_category)와 프로세스와 연결된 알림 ID 목록 (alert_ids)이 포함된 경우 True로 설정됩니다. |
스크립트 결과
다음 표에서는 엔티티 프로세스 검색 실행 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 엔티티 프로세스 실행 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"results": [
{
"alert_category": [
"THREAT"
],
"alert_id": [
"19183229-384f-49a7-8ad7-87d0db243fcc",
"4dfc6aed-656d-41d1-9568-0de349d7a8b3",
"8eb04992-ed94-4471-8a71-fd78bad887de",
"ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
"edc046a0-98f0-43eb-b3c0-a67469c11d19",
"f365a912-1d79-421e-bccb-f57b52100be8"
],
"backend_timestamp": "2021-02-02T18:38:46.520Z",
"childproc_count": 0,
"crossproc_count": 0,
"device_external_ip": "161.47.37.87",
"device_group_id": 0,
"device_id": 3602123,
"device_installed_by": "sadiya@acalvio.com",
"device_internal_ip": "172.26.115.53",
"device_location": "UNKNOWN",
"device_name": "desktop1-win10",
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_policy": "test",
"device_policy_id": 32064,
"device_target_priority": "HIGH",
"device_timestamp": "2020-08-19T16:31:20.887Z",
"document_guid": "sF1Ug1--SEyLWljQrWe8NA",
"event_threat_score": [
6
],
"filemod_count": 0,
"ingress_time": 1612291119946,
"modload_count": 0,
"netconn_count": 0,
"org_id": "7DESJ9GN",
"parent_effective_reputation": "KNOWN_MALWARE",
"parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
"parent_hash": [
"86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
],
"parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
"parent_pid": 9940,
"parent_reputation": "KNOWN_MALWARE",
"process_cmdline": [
"powershell.exe -ep bypass"
],
"process_cmdline_length": [
25
],
"process_effective_reputation": "COMPANY_BLACK_LIST",
"process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
"process_hash": [
"908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"cda48fc75952ad12d99e526d0b6bf70a"
],
"process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"process_pid": [
1464
],
"process_reputation": "COMPANY_BLACK_LIST",
"process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"process_start_time": "2020-08-19T16:05:24.057Z",
"process_username": [
"DESKTOP1-WIN10\\acalvio"
],
"regmod_count": 0,
"scriptload_count": 0,
"watchlist_hit": [
"BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
]
}
],
"num_found": 1,
"num_available": 1,
"approximate_unaggregated": 6,
"num_aggregated": 6,
"contacted": 47,
"completed": 47
}
출력 메시지
케이스 월에서 '엔티티 프로세스 실행 검색' 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Execute Entity Processes Search". Error
is ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
평판 재정의 나열
이 작업을 사용하여 VMware Carbon Black Cloud에서 구성된 평판 재정의를 나열합니다.
이 작업은 항목에서 실행되지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 신뢰도 재정의 목록 | DDL | 지정되지 않음 가능한 값은 다음과 같습니다.
|
아니요 | 재정의 목록 작업이 반환해야 하는 값을 지정합니다. |
| 평판 재정의 유형 | DDL | 지정되지 않음 가능한 값은 다음과 같습니다.
|
아니요 | 재정의 유형 작업이 반환되어야 함을 지정합니다. |
| 시작 행 | 정수 | 0 | 아니요 | 데이터를 가져올 행 작업을 지정합니다. |
| 반환할 최대 행 수 | 정수 | 50 | 아니요 | 작업에서 반환해야 하는 행 수를 지정합니다. |
| 행 정렬 순서 | DDL | ASC 가능한 값은 다음과 같습니다.
|
반환된 행의 정렬 순서를 지정합니다. 행은 create_time 값을 기준으로 정렬됩니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
케이스 월 테이블
케이스 월에서 목록 평판 재정의는 다음 표를 제공합니다.
SHA-256 표
표 이름: SHA-256 평판 재정의가 발견됨
표 열:
- SHA-256 해시
- 파일 이름
- ID
- 재정의 목록
- 설명
- 소스
- 소스 참조
- 생성 시간
- 작성자
CERT 테이블
표 이름: Found CERT Reputation Overrides(인증서 평판 재정의 발견)
표 열:
- 인증 기관
- 서명자
- ID
- 재정의 목록
- 설명
- 소스
- 소스 참조
- 생성 시간
- 작성자
IT 도구 표
표 이름: Found IT_TOOL Reputation Overrides(IT_TOOL 평판 재정의 발견)
표 열:
- IT 도구 경로
- 하위 프로세스 포함
- ID
- 재정의 목록
- 설명
- 소스
- 소스 참조
- 생성 시간
- 작성자
스크립트 결과
다음 표에서는 목록 평판 재정의 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 인증서에 List Reputation Overrides 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"num_found": 2,
"results": [
{
"id": "6b040826d43a11eb85899b2a3fb7559d",
"created_by": "user@example.com",
"create_time": "2021-06-23T15:48:13.355Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "",
"source": "APP",
"source_ref": null,
"signed_by": "Example Software Corp.",
"certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
}
]
}
다음 예에서는 SHA-256 해시에 List Reputation Overrides 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"num_found": 25,
"results": [
{
"id": "0a0d2bf89d4d11ebbef6695028ab76fe",
"created_by": "I2TK7ET355",
"create_time": "2021-04-14T18:12:57.161Z",
"override_list": "WHITE_LIST",
"override_type": "SHA256",
"description": "Test Data",
"source": "APP",
"source_ref": null,
"sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
"filename": null
}
]
}
다음 예에서는 IT 도구에 List Reputation Overrides 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
출력 메시지
케이스 월에서 목록 평판 재정의 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Reputation Overrides". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
인증서의 평판 재정의 만들기
인증서의 평판 재정의를 만듭니다. 신뢰도 재정의에 대한 자세한 내용은 신뢰도 재정의를 참고하세요.
이 작업은 항목에서 실행되지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인증 기관 | 문자열 | 해당 없음 | 아니요 | 신뢰도 재정의에 추가할 인증서의 유효성을 승인하는 인증 기관을 지정합니다. |
| 서명자 | 문자열 | 예 | 신뢰도 재정의에 추가할 서명자의 이름을 지정합니다. | |
| 설명 | 문자열 | 해당 없음 | 아니요 | 생성된 평판 재정의에 대한 설명을 지정합니다. |
| 신뢰도 재정의 목록 | DDL | 지정되지 않음 | 예 | 생성할 재정의 목록을 지정합니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 인증서의 평판 재정의 만들기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 인증서에 대한 평판 재정의 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "fb19756cf03311eb81e9bf7658b8ce59",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:12:41.168Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "An override for a CERT",
"source": "APP",
"source_ref": null,
"signed_by": "Test signer for override",
"certificate_authority": "test cert ca"
}
출력 메시지
케이스 월에서 인증서에 대한 평판 재정의 만들기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create a Reputation Override for
Certificate". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
SHA-256 해시의 평판 재정의 만들기
제공된 해시의 평판 재정의를 SHA-256 형식으로 만듭니다. 신뢰도 재정의에 대한 자세한 내용은 신뢰도 재정의를 참고하세요.
이 작업은 FileHash 항목에서 실행됩니다(제공된 경우).
SHA-256 해시를 Google SecOps SOAR FileHash 항목 (아티팩트) 또는 작업 입력 매개변수로 제공할 수 있습니다. 해시가 항목과 입력 매개변수 모두로 작업에 전달되면 입력 매개변수에서 작업이 실행됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| SHA-256 해시 | 문자열 | 해당 없음 | 아니요 | 재정의를 만들 SHA-256 해시 값을 지정합니다. |
| 파일 이름 | 문자열 | 해당 없음 | 예 | 신뢰도 재정의에 추가할 해당 파일 이름을 지정합니다. |
| 설명 | 문자열 | 해당 없음 | 아니요 | 생성된 평판 재정의에 대한 설명을 지정합니다. |
| 신뢰도 재정의 목록 | DDL | 지정되지 않음 | 예 | 생성할 재정의 목록을 지정합니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 SHA-256 해시의 평판 재정의 만들기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 SHA-256 해시의 평판 재정의 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "1ea6c923f03211eb83cf87b4dce84539",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T05:59:21.821Z",
"override_list": "BLACK_LIST",
"override_type": "SHA256",
"description": "An override for a sha256 hash",
"source": "APP",
"source_ref": null,
"sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
"filename": "foo.exe"
}
출력 메시지
케이스 월에서 SHA-256 해시에 대한 평판 재정의 만들기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
IT 도구의 평판 재정의 만들기
이 작업을 사용하여 Jira 또는 ServiceNow와 같은 특정 IT 도구의 평판 재정의를 만듭니다. 평판 재정의는 파일 이름과 경로를 기반으로 합니다. 신뢰도 재정의에 대한 자세한 내용은 신뢰도 재정의를 참고하세요.
이 작업은 파일이 제공된 경우 파일 항목에서 실행됩니다.
파일 이름을 Google SecOps SOAR 파일 엔티티 (아티팩트) 또는 작업 입력 매개변수로 제공할 수 있습니다. 파일 이름이 엔티티와 입력 매개변수 모두로 작업에 전달되면 작업은 입력 매개변수를 사용합니다. 이 작업은 파일 이름을 파일 경로 매개변수에 추가하여 결과 경로를 가져오고 재정의에 경로를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 파일 이름 | 문자열 | 해당 없음 | 아니요 | 신뢰도 재정의에 추가할 해당 파일 이름을 지정합니다. |
| 파일 경로 | 문자열 | 해당 없음 | 예 | 해당 IT 도구가 디스크에 저장된 경로를 지정하여 평판 재정의에 경로를 추가합니다. 예는 다음과 같습니다.
C\\TMP\\ |
| 하위 프로세스 포함 | 체크박스 | 선택되지 않음 | 아니요 | 선택한 경우 승인된 목록에 IT 도구 하위 프로세스를 포함합니다. |
| 설명 | 문자열 | 해당 없음 | 아니요 | 생성된 평판 재정의에 대한 설명을 지정합니다. |
| 신뢰도 재정의 목록 | DDL | 지정되지 않음 | 예 | 생성할 재정의 목록을 지정합니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 IT 도구의 평판 재정의 생성 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 IT 도구의 평판 재정의 생성 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
출력 메시지
케이스 월에서 'IT 도구의 평판 재정의 만들기' 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
평판 재정의 삭제
제공된 평판 재정의 ID를 사용하여 평판 재정의를 삭제합니다. 신뢰도 재정의에 대한 자세한 내용은 신뢰도 재정의를 참고하세요.
이 작업은 항목에서 실행되지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 평판 재정의 ID | 문자열 | 해당 없음 | 예 | 삭제할 평판 재정의 ID를 지정합니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 삭제 평판 재정의 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
출력 메시지
케이스 월에서 '평판 재정의 삭제' 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Delete a Reputation Override". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
호스트 취약점 나열
이 작업을 사용하여 Carbon Black Cloud가 호스트에서 발견한 취약점을 나열합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 심각도 필터 | CSV | 해당 없음 | 아니요 | 취약점의 심각도에 대한 쉼표로 구분된 목록을 지정합니다. 아무것도 제공하지 않으면 작업에서 모든 관련 취약점을 수집합니다. 가능한 값: Critical, Important, Moderate, Low |
| 반환할 최대 취약점 수 | 정수 | 100 | 아니요 | 호스트별로 반환할 취약점 수를 지정합니다. 아무것도 제공하지 않으면 작업에서 관련 취약점을 모두 처리합니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 호스트 취약점 목록 작업 사용 시 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
다음 예에서는 호스트 취약점 목록 작업 사용 시 수신되는 JSON 결과 출력을 설명합니다.
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"moderate": 1,
"low": 1
}
},
"details": [
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2015-2534",
"cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB3091287",
"solution": null,
"created_at": "2015-09-09T00:59:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
},
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2017-8554",
"cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB5016639",
"solution": null,
"created_at": "2017-06-29T13:29:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
}
]
}
출력 메시지
케이스 월에서 호스트 취약점 나열 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
커넥터
VMware Carbon Black Cloud 통합에서 사용할 수 있는 커넥터는 다음과 같습니다.
Alert Connector가 지원 중단되었습니다. Google SecOps SOAR 알림 및 이벤트에 동일한 Carbon Black 알림 데이터를 사용하므로 Carbon Black 이벤트 데이터가 완전히 누락됩니다. 대신 기준선 커넥터 또는 추적 커넥터를 사용하세요.
기준 커넥터는 Carbon Black에서 알림과 이벤트를 모두 가져옵니다. 이 커넥터는 Carbon Black 알림에 새 이벤트가 추가되는지 모니터링하지 않습니다.
추적 커넥터는 Carbon Black에서 알림과 이벤트를 모두 가져오고 이미 수집된 알림에 새 이벤트가 추가되는지 모니터링합니다. 새 이벤트가 CB 알림에 표시되면 커넥터는 Carbon Black 알림에 추가된 이벤트가 포함된 새 Google SecOps SOAR 알림을 만듭니다.
Google SecOps SOAR에서 커넥터를 구성하는 방법에 대한 안내는 커넥터 구성을 참고하세요.
VMware Carbon Black Cloud Alerts Connector - 지원 중단됨
Google SecOps SOAR 플랫폼에서 분석할 수 있도록 VMware Carbon Black Cloud의 알림을 Google SecOps SOAR 알림으로 가져옵니다.
커넥터 개요
이 커넥터는 주기적으로 VMware Carbon Black Cloud API 엔드포인트에 연결하고 특정 기간 동안 생성된 알림 목록을 가져옵니다. 새 알림이 있는 경우 커넥터는 Carbon Black Cloud 알림을 기반으로 Google SecOps SOAR 알림을 생성하고 커넥터 타임스탬프를 마지막으로 성공적으로 수집된 알림 시간으로 저장합니다. 다음 커넥터 실행 중에 커넥터는 타임스탬프 이후에 생성된 알림만 Carbon Black API에 쿼리합니다.
커넥터는 중복 알림 (오버플로로 표시된 알림)을 확인하고 중복 알림에서 Google SecOps SOAR 알림을 생성하지 않습니다.
테스트 모드: 커넥터에는 디버깅 및 문제 해결을 위한 테스트 모드가 있습니다. 테스트 모드에서 커넥터는 다음을 실행합니다.
- 마지막 실행 타임스탬프를 업데이트하지 않습니다.
- 알림을 가져올 지정된 시간을 기준으로 알림을 가져옵니다.
- 수집을 위해 단일 알림을 반환합니다.
암호화된 통신: 커넥터는 암호화된 통신(SSL 또는 TLS)을 지원합니다.
프록시 지원: 커넥터는 HTTPS 트래픽용 프록시를 사용하여 API 엔드포인트에 대한 연결을 지원합니다.
유니코드 지원: 커넥터는 처리된 알림의 유니코드 인코딩을 지원합니다.
API 권한
Carbon Black Cloud 커넥터는 Carbon Black Cloud 통합과 동일한 API 사용자 인증 정보를 사용합니다. Carbon Black Cloud의 API 구성에 관한 자세한 내용은 사전 요구사항 섹션을 참고하세요.
커넥터 매개변수
커넥터 매개변수를 구성하거나 수정하려면 Google SecOps의 관리자 권한 그룹에 포함되어야 합니다. 사용자 권한 그룹에 관한 자세한 내용은 권한 그룹 작업을 참고하세요.
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 환경 | DDL | 해당 없음 | 예 | 필요한 환경을 선택합니다. 예: '고객 1' 알림 환경 필드가 비어 있으면 알림이 이 환경에 삽입됩니다. |
| 실행 빈도 | 정수 | 0:0:0:10 | 아니요 | 연결을 실행할 시간을 선택합니다. |
| 제품 필드 이름 | 문자열 | ProductName | 예 | 제품 이름이 저장된 필드의 이름입니다. |
| 이벤트 필드 이름 | 문자열 | AlertName | 예 | 이벤트 이름이 저장된 필드의 이름입니다. |
| 이벤트 클래스 ID | 문자열 | AlertName | 아니요 | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| Python 프로세스 시간 초과 | 문자열 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초)입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
| API 루트 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API 루트 URL입니다. |
| 조직 키 | 문자열 | 해당 사항 없음 | 예 | VMware Carbon Black Cloud 조직 키입니다. |
| API ID | 문자열 | 해당 사항 없음 | 예 | VMware Carbon Black Cloud API ID (맞춤 API 키 ID)입니다. |
| API 보안 키 | 문자열 | 해당 사항 없음 | 예 | VMware Carbon Black Cloud API 보안 키 (맞춤 API 보안 키)입니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | 알림을 가져올 시간입니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 예 | 단일 커넥터 실행에서 처리할 알림 수입니다. |
| 가져올 최소 심각도 | 정수 | 해당 사항 없음 | 아니요 | Google SecOps SOAR에 수집할 Carbon Black Cloud 알림의 최소 심각도입니다. |
| 이름 필드에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 이름 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type 및 policy_name입니다. |
| 규칙 생성기에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 규칙 생성기 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type, category, policy_name입니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 없음 | 아니요 | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 없음 | 아니요 | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 없음 | 아니요 | 프록시 서버 비밀번호입니다. |
커넥터 규칙
- 커넥터는 프록시 사용을 지원합니다.
VMware Carbon Black Cloud Alerts and Events Baseline Connector
개요
VMware Carbon Black Cloud 기준 커넥터를 사용하여 Carbon Black Cloud 알림과 알림 관련 이벤트를 수집합니다. Google SecOps는 알림을 수집한 후 처리됨으로 태그를 지정하며 알림 업데이트를 가져오지 않습니다. 알림 업데이트를 가져오려면 추적 커넥터를 사용하세요.
Google SecOps에서 알림 이름 및 규칙 생성기 필드 맞춤설정
커넥터는 템플릿을 사용하여 Google SecOps SOAR 알림 이름 및 규칙 생성기 필드 값을 맞춤설정하는 옵션을 제공합니다. 템플릿의 경우 커넥터는 API에서 반환된 Carbon Black Cloud 알림 데이터에서 데이터를 가져옵니다.
다음은 API에서 반환되는 Carbon Black Cloud 알림 데이터의 예입니다. 알림 데이터는 알림에서 사용할 수 있는 필드를 참조하며 템플릿에 사용할 수 있습니다.
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
커넥터 매개변수
커넥터 매개변수를 구성하거나 수정하려면 Google SecOps의 관리자 권한 그룹에 포함되어야 합니다. 사용자 권한 그룹에 관한 자세한 내용은 권한 그룹 작업을 참고하세요.
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | ProductName | 예 | 제품 이름이 저장된 필드의 이름입니다. |
| 이벤트 필드 이름 | 문자열 | AlertName | 예 | 이벤트 이름이 저장된 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
| API 루트 | 문자열 | https://defense.conferdeploy.net |
예 | VMware Carbon Black Cloud API 루트 URL입니다. |
| 조직 키 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud 조직 키입니다. 예: 7DDDD9DD |
| API ID | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API ID (맞춤 API 키 ID)입니다. |
| API 보안 키 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API 보안 키 (맞춤 API 보안 키)입니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | 알림을 가져올 시간입니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 예 | 단일 커넥터 실행에서 처리할 알림 수입니다. |
| 가져올 최소 심각도 | 정수 | 해당 사항 없음 | 아니요 | Google SecOps SOAR에 수집할 Carbon Black Cloud 알림의 최소 심각도입니다. 예를 들어 4 또는 7입니다. |
| 이름 필드에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 이름 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type 및 policy_name입니다. |
| 규칙 생성기에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 규칙 생성기 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type, category, policy_name입니다. |
| 수집할 평판 알림 | 문자열 | 해당 없음 | 아니요 | 수집할 알림의 Carbon Black Cloud 평판입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 알림당 수집할 이벤트 한도 | 정수 | 25 | 예 | 각 Carbon Black Cloud 알림에 수집할 이벤트 수입니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 없음 | 아니요 | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 없음 | 아니요 | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 없음 | 아니요 | 프록시 서버 비밀번호입니다. |
| 알림 이름 템플릿 | 문자열 | 해당 없음 | 아니요 | 지정된 경우 커넥터는 Carbon Black Cloud API 응답 알림 데이터의 이 값을 사용하여 Alert Name(알림 이름) 필드를 채웁니다. [필드 이름] 형식으로 자리표시자를 제공할 수 있습니다. 예: 알림 - [이유] 필드의 최대 길이는 256자(영문 기준)입니다. 아무것도 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 알림 이름을 사용합니다. |
| 규칙 생성기 템플릿 | 문자열 | 해당 사항 없음 | 아니요 | 지정된 경우 커넥터는 Carbon Black Cloud API 응답 알림 데이터의 이 값을 사용하여 규칙 생성기 필드를 채웁니다. [필드 이름] 형식으로 자리표시자를 제공할 수 있습니다. 예: 알림 - [이유] 필드의 최대 길이는 256자(영문 기준)입니다. 아무것도 제공되지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 규칙 생성기 값을 사용합니다. |
커넥터 규칙
- 커넥터는 프록시 사용을 지원합니다.
VMware Carbon Black Cloud 알림 및 이벤트 추적 커넥터
개요
VMware Carbon Black Cloud 추적 커넥터를 사용하여 Carbon Black Cloud 알림 및 관련 이벤트를 가져옵니다. 커넥터가 이미 처리된 Carbon Black Cloud 알림에 대한 새 이벤트를 감지하면 감지된 각 새 이벤트에 대해 추가 Google SecOps SOAR 알림이 생성됩니다.
Google SecOps에서 알림 이름 및 규칙 생성기 필드 맞춤설정
커넥터는 템플릿을 통해 Google SecOps SOAR Alert Name(알림 이름) 및 Rule Generator(규칙 생성기) 필드 값을 맞춤설정하는 옵션을 제공합니다. 템플릿의 경우 커넥터는 API에서 반환된 Carbon Black Cloud 알림 데이터에서 데이터를 가져옵니다.
다음은 API에서 반환되는 Carbon Black Cloud 알림 데이터의 예입니다. 알림 데이터는 알림에서 사용할 수 있는 필드를 참조하며 템플릿에 사용할 수 있습니다.
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
커넥터 매개변수
커넥터 매개변수를 구성하거나 수정하려면 Google SecOps의 관리자 권한 그룹에 포함되어야 합니다. 사용자 권한 그룹에 관한 자세한 내용은 권한 그룹 작업을 참고하세요.
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | ProductName | 예 | 제품 이름이 저장된 필드의 이름입니다. |
| 이벤트 필드 이름 | 문자열 | AlertName | 예 | 이벤트 이름이 저장된 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 |
| API 루트 | 문자열 | https://defense.conferdeploy.net |
예 | VMware Carbon Black Cloud API 루트 URL입니다. |
| 조직 키 | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud 조직 키입니다. 예: 7DDDD9DD |
| API ID | 문자열 | 해당 없음 | 예 | VMware Carbon Black Cloud API ID (맞춤 API 키 ID)입니다. |
| API 보안 키 | 문자열 | 해당 사항 없음 | 예 | VMware Carbon Black Cloud API 보안 키 (맞춤 API 보안 키)입니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | 알림을 가져올 시간입니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 예 | 단일 커넥터 실행에서 처리할 알림 수입니다. |
| 가져올 최소 심각도 | 정수 | 해당 없음 | 아니요 | Google SecOps SOAR에 수집할 Carbon Black Cloud 알림의 최소 심각도입니다. 예를 들어 4 또는 7입니다. |
| 이름 필드에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 이름 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type 및 policy_name입니다. |
| 규칙 생성기에 사용할 알림 필드 | 문자열 | 유형 | 예 | Google SecOps SOAR 알림 규칙 생성기 필드에 사용할 Carbon Black Cloud 알림 필드입니다. 가능한 값은 type, category, policy_name입니다. |
| 수집할 평판 알림 | 문자열 | 해당 없음 | 아니요 | 수집할 Carbon Black Cloud 알림 평판 알림입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 이벤트 패딩 기간 (시간) | 정수 | 24 | 예 | 알림 이벤트를 가져올 시간입니다. |
| 알림당 수집할 이벤트 한도 | 정수 | 25 | 예 | 각 커넥터 반복에 대해 단일 Carbon Black Cloud 알림에 수집할 이벤트 수입니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 없음 | 아니요 | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 없음 | 아니요 | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 없음 | 아니요 | 프록시 서버 비밀번호입니다. |
| 알림 이름 템플릿 | 문자열 | 해당 없음 | 아니요 | 지정된 경우 커넥터는 Carbon Black Cloud API 응답 알림 데이터의 이 값을 사용하여 Alert Name(알림 이름) 필드를 채웁니다. [필드 이름] 형식으로 자리표시자를 제공할 수 있습니다. 예: 알림 - [이유] 필드의 최대 길이는 256자(영문 기준)입니다. 아무것도 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름 값을 사용합니다. |
| 규칙 생성기 템플릿 | 문자열 | 해당 없음 | 아니요 | 지정된 경우 커넥터는 Carbon Black Cloud API 응답 알림 데이터의 이 값을 사용하여 규칙 생성기 필드를 채웁니다. [필드 이름] 형식으로 자리표시자를 제공할 수 있습니다. 예: 규칙 - [이유]. 필드의 최대 길이는 256자(영문 기준)입니다. 아무것도 제공되지 않거나 잘못된 템플릿을 제공하면 커넥터가 기본 규칙 생성기 값을 사용합니다. |
| 알림당 총 이벤트 수 제한 | 정수 | 100 | 아니요 | 커넥터가 각 Carbon Black Cloud 알림에 대해 가져오는 총 이벤트 수입니다. 이 한도에 도달하면 커넥터가 알림에 대한 새 이벤트를 가져오지 않습니다. 각 알림의 총 이벤트 수를 제한하지 않으려면 이 매개변수 값을 비워 둡니다. |
커넥터 규칙
- 커넥터는 프록시 사용을 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.