VMware Carbon Black Cloud

Este documento fornece orientações para administradores sobre como configurar e integrar o VMware Carbon Black Cloud ao módulo SOAR do Google Security Operations.

Versão da integração: 32.0

Visão geral

A integração do VMware Carbon Black Cloud ajuda você com as seguintes tarefas:

• Ingerir eventos e alertas do VMware Carbon Black Cloud para criar alertas.

  O Google SecOps usa alertas para realizar orquestrações com playbooks ou análise manual.

• Realizar ações de enriquecimento.

  Receba dados do VMware Carbon Black Cloud para enriquecer os alertas do Google SecOps.

• Realizar ações ativas.

  Programe uma verificação e coloque um host em quarentena no Google SecOps SOAR usando o agente do VMware Carbon Black Cloud.

Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia do código-fonte completo dessa integração no bucket do Cloud Storage.

Pré-requisitos

Esta seção se aplica à configuração inicial da integração. Para garantir que os dados fluam conforme o esperado do VMware Carbon Black Cloud para o Google SecOps, conclua as etapas listadas nesta seção no VMware Carbon Black Cloud.

Para configurar o acesso à API para a integração do VMware Carbon Black Cloud, siga estas etapas:

1. Configure o nível de acesso.
2. Criar uma chave de API.

Essa integração tem limitações. Para mais informações sobre limitações, consulte Configurar substituição de reputação na documentação do VMware Carbon Black Cloud.

Configurar o nível de acesso

Para configurar o nível de acesso da integração do VMware Carbon Black Cloud, siga estas etapas:

1. No console do VMware Carbon Black Cloud, acesse Configurações > Acesso à API.

2. Selecione Níveis de acesso.

3. Clique em Adicionar nível de acesso.

4. Forneça um nome e uma descrição para o novo nível de acesso e selecione as seguintes permissões:

   Categoria	Nome da permissão	.Nome da notação	Tipo de permissão
   Alertas	Informações gerais	org.alerts	Ler
   Alertas	Dispensar	org.alerts.dismiss	Executar
   Dispositivo	Quarentena	device.quarantine	Executar
   Dispositivo	Ignorar	device.bypass	Executar
   Dispositivo	Informações gerais	device	Ler
   Dispositivo	Atribuição de policiais	device.policy	Atualizar
   Dispositivo	Verificação em segundo plano	device.bg-scan	Executar
   Pesquisar	Eventos	org.search.events	Criar Ler

5. Clique em Salvar.

Criar uma chave de API

Para criar uma chave de API para a integração do VMware Carbon Black Cloud, siga estas etapas:

1. No console do VMware Carbon Black Cloud, acesse Configurações > Acesso à API > Chaves de API.

2. Clique em Adicionar chave de API.

3. Insira o nome da chave e selecione o nível de acesso que você criou em uma seção anterior.

4. Clique em Salvar para receber o par de ID e chave secreta da API.

   Salve o valor da chave secreta da API, porque não será possível recuperá-lo depois.

Integrar o VMware Carbon Black Cloud com o Google SecOps

Para configurar ou editar os parâmetros de integração, você precisa estar incluído no grupo de permissões de administradores no Google SecOps. Para mais detalhes sobre grupos de permissões para usuários, consulte Trabalhar com grupos de permissões.

Use os seguintes parâmetros para configurar a integração:

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível mudar a configuração mais tarde, se necessário. Depois de configurar as instâncias, você pode usá-las em playbooks. Para informações detalhadas sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Ping

Teste a conectividade com o VMware Carbon Black Cloud.

Parâmetros

Nenhuma.

Casos de uso

A ação testa a conectividade quando executada na página de configuração da integração na guia "Marketplace do Google SecOps". Você pode executar essa ação manualmente, mas não é possível usá-la nos playbooks.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Ping":

Mensagens de saída

Em um quadro de casos, a ação "Ping" fornece as seguintes mensagens de saída:

Enriquecer entidades

Enriqueça as entidades de host ou endereço IP do Google SecOps SOAR com base nas informações do dispositivo da VMware Carbon Black Cloud.

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host

Casos de uso

Enriqueça entidades de host ou IP do SOAR do Google SecOps com informações do VMware Carbon Black Cloud, se o agente do Carbon Black estiver instalado em um endereço IP ou entidade de host respectivo.

Para ajudar um responsável por responder a incidentes a investigar um possível alerta de malware de um host com um sensor instalado, o VMware Carbon Black Cloud pode fornecer dados de enriquecimento como informações do host, status do sensor e política do Carbon Black.

Saídas de ação

A ação fornece as seguintes saídas:

Enriquecimento de entidade

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Enriquecer entidades":

Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação "Enriquecer entidades":

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}

Mensagens de saída

Em um painel de casos, a ação "Enriquecer entidades" fornece as seguintes mensagens de saída:

Dispensar o alerta do VMware Carbon Black Cloud

Dispensar o alerta do VMware Carbon Black Cloud.

Em eventos criados pelo conector de alertas do VMware Carbon Black Cloud, o campo Event.id pode ser transmitido como um marcador de posição para o ID do alerta e dispensar um alerta na ação "Dispensar alerta do VMware Carbon Black Cloud".

Essa ação aceita IDs de alerta no formato alfanumérico, como 27162661199ea9a043c11ea9a29a93652bc09fd, e não no formato que aparece na UI, como DONAELUN.

Parâmetros

Casos de uso

Dispensar ou fechar um alerta do VMware Carbon Black Cloud com base na análise feita no Google SecOps SOAR.

Depois que o alerta é processado no Google SecOps SOAR, para manter o status sincronizado entre o VMware Carbon Black Cloud e o Google SecOps SOAR, o usuário precisa de uma ação que descarte (feche) o alerta do VMware Carbon Black Cloud no Google SecOps SOAR.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Dispensar alerta do VMware Carbon Black Cloud":

Mensagens de saída

Em um quadro de casos, a ação "Dispensar alerta do VMware Carbon Black Cloud" fornece as seguintes mensagens de saída:

Atualizar uma política para dispositivo por ID da política

Mude uma política no sensor do VMware Carbon Black Cloud em um host. O escopo da ação é o endereço IP ou a entidade de host.

Parâmetros

Casos de uso

Crie uma tarefa de atualização de política no servidor do VMware Carbon Black Cloud no Google SecOps SOAR.

Ao analisar alertas, um profissional de resposta a incidentes notou que o mesmo host gerou vários alertas de falso positivo em um curto período. Eles podem usar essa ação para criar uma tarefa de atualização de política que muda a política do sensor para ser menos restritiva.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Atualizar uma política para dispositivo por ID da política":

Mensagens de saída

Em um painel de casos, a ação "Atualizar uma política para dispositivo por ID da política" fornece as seguintes mensagens de saída:

Verificação em segundo plano do dispositivo

Crie uma tarefa de verificação em segundo plano do dispositivo no servidor VMware Carbon Black Cloud com base nas entidades de endereço IP ou host.

Casos de uso

Crie uma tarefa de verificação em segundo plano para o host usando o sensor do VMware Carbon Black Cloud do Google SecOps SOAR.

Ao analisar alertas, um responsável por responder a incidentes percebe que um host pode estar comprometido. O responsável pela resposta a incidentes pode usar essa ação para solicitar uma verificação em segundo plano sob demanda do host. Essa verificação procura outros executáveis suspeitos no host, e o sensor cria alertas para eles.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Verificação em segundo plano do dispositivo":

Mensagens de saída

Em um painel de casos, a ação "Verificação em segundo plano do dispositivo" fornece as seguintes mensagens de saída:

Ativar o modo de bypass para o dispositivo

Ative a tarefa de modo de bypass para um dispositivo no servidor VMware Carbon Black Cloud. A tarefa é baseada nas entidades de endereço IP ou host do Google SecOps SOAR.

Casos de uso

Crie uma tarefa "Ativar modo de bypass" no servidor do VMware Carbon Black Cloud no Google SecOps SOAR.

Ao analisar alertas relacionados a um sensor ou host de plataforma específico, um responsável por incidentes notou que o sensor cria vários alertas falso-positivos. Eles podem usar essa ação para ativar o modo de bypass e rastrear quais eventos o agente remoto processa como alertas e atualiza as políticas.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Ativar modo de bypass para dispositivo":

Mensagens de saída

Em um quadro de casos, a ação "Ativar modo de bypass para dispositivo" fornece as seguintes mensagens de saída:

Desativar o modo de bypass para o dispositivo

Crie uma tarefa de desativação do modo de bypass para dispositivos no servidor VMware Carbon Black Cloud. A tarefa é baseada no endereço IP ou nas entidades de host do Google SecOps SOAR.

Casos de uso

Depois de ativar o modo de bypass em um sensor específico e resolver problemas na configuração e nas políticas do VMware Carbon Black Cloud, um responsável por responder a incidentes decidiu que o sensor do Carbon Black funciona conforme o esperado e não precisa operar no modo de bypass. Eles executam a ação "Criar tarefa para desativar o modo de bypass" para dispositivo e criam uma tarefa para desativar o modo de bypass em um host específico.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Desativar o modo de bypass para dispositivo":

Mensagens de saída

Em um painel de casos, a ação "Desativar o modo de bypass para dispositivo" fornece as seguintes mensagens de saída:

Colocar dispositivo em quarentena

Crie uma tarefa de dispositivo em quarentena no servidor do VMware Carbon Black Cloud com base nas entidades de endereço IP ou host do Google SecOps SOAR.

Casos de uso

Um responsável pela resposta a incidentes notou que um host estava mostrando sinais de comprometimento e pode usar essa tarefa para colocá-lo em quarentena.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Colocar dispositivo em quarentena":

Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação "Quarentena do dispositivo":

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]

Mensagens de saída

Em um quadro de casos, a ação "Colocar dispositivo em quarentena" fornece as seguintes mensagens de saída:

Remover dispositivo da quarentena

Crie uma tarefa de remoção da quarentena no servidor VMware Carbon Black Cloud com base nas entidades de endereço IP ou host do Google SecOps SOAR.

Casos de uso

Depois de analisar e corrigir um alerta relacionado a um host específico gerenciado pelo VMware Carbon Black Cloud, um responsável pela resposta a incidentes descobriu que o host não estava comprometido. Eles executam a ação "Remover da quarentena" do dispositivo para criar uma tarefa de host sem quarentena no servidor do VMware Carbon Black Cloud e se conectar ao host.

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Remover da quarentena":

Mensagens de saída

Em um painel de casos, a ação "Remover da quarentena" fornece as seguintes mensagens de saída:

Executar pesquisa de processos de entidade

Use essa ação para pesquisar informações sobre processos armazenados no VMware Carbon Black Cloud.

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Host
• Usuário
• Hash
• Processo

Saídas de ação

A ação fornece as seguintes saídas:

Enriquecimento de entidade

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Executar pesquisa de processo de entidade":

Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "Executar pesquisa de processos de entidade":

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}

Mensagens de saída

Em um painel de casos, a ação "Executar pesquisa de processos de entidade" fornece as seguintes mensagens de saída:

Listar substituições de reputação

Use essa ação para listar as substituições de reputação configuradas no VMware Carbon Black Cloud.

Essa ação não é executada em entidades.

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Tabela do painel de casos

Na página "Mural de casos", a lista "Substituições de reputação" oferece as seguintes tabelas:

• Tabela SHA-256

  Nome da tabela: Substituições de reputação SHA-256 encontradas

  Colunas da tabela:

  • Hash SHA-256
  • Nome do arquivo
  • ID
  • Substituir lista
  • Descrição
  • Origem
  • Referência da fonte
  • Horário de criação
  • Criado por

• Tabela CERT

  Nome da tabela:Substituições de reputação de CERT encontradas

  Colunas da tabela:

  • Autoridade de certificação
  • Assinado por
  • ID
  • Substituir lista
  • Descrição
  • Origem
  • Referência da fonte
  • Horário de criação
  • Criado por

• Tabela de FERRAMENTAS DE TI

  Nome da tabela:Found IT_TOOL Reputation Overrides

  Colunas da tabela:

  • Caminho da ferramenta de TI
  • Incluir processos filhos
  • ID
  • Substituir lista
  • Descrição
  • Origem
  • Referência da fonte
  • Horário de criação
  • Criado por

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "List Reputation Overrides":

Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "List Reputation Overrides" para um certificado:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "List Reputation Overrides" para um hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "List Reputation Overrides" para uma ferramenta de TI:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensagens de saída

Em um Painel de Casos, a ação "List Reputation Overrides" fornece as seguintes mensagens de saída:

Criar uma substituição de reputação para certificado

Crie uma substituição de reputação para o certificado. Para mais informações sobre a substituição de reputação, consulte Substituição de reputação.

Essa ação não é executada em entidades.

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Criar uma substituição de reputação para certificado":

Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação "Criar uma substituição de reputação para certificado":

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}

Mensagens de saída

Em um painel de casos, a ação "Criar uma substituição de reputação para certificado" fornece as seguintes mensagens de saída:

Criar uma substituição de reputação para hash SHA-256

Crie uma substituição de reputação para o hash fornecido no formato SHA-256. Para mais informações sobre a substituição de reputação, consulte Substituição de reputação.

Essa ação é executada na entidade "FileHash" se ela for fornecida.

Você pode fornecer o hash SHA-256 como uma entidade FileHash (artefato) do Google SecOps SOAR ou como um parâmetro de entrada de ação. Se o hash for transmitido para a ação como uma entidade e um parâmetro de entrada, a ação será executada no parâmetro de entrada.

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Criar uma substituição de reputação para hash SHA-256":

Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "Criar uma substituição de reputação para hash SHA-256":

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}

Mensagens de saída

Em um painel de casos, a ação "Criar uma substituição de reputação para hash SHA-256" fornece as seguintes mensagens de saída:

Criar uma substituição de reputação para uma ferramenta de TI

Use essa ação para criar uma substituição de reputação para a ferramenta de TI específica, como Jira ou ServiceNow. A substituição de reputação é baseada em um nome de arquivo e um caminho. Para mais informações sobre a substituição de reputação, consulte Substituição de reputação.

Essa ação é executada na entidade "File" (Arquivo), se ela for fornecida.

Você pode fornecer o nome do arquivo como uma entidade (artefato) do Google SecOps SOAR File ou como um parâmetro de entrada de ação. Se o nome do arquivo for transmitido à ação como uma entidade e um parâmetro de entrada, a ação usará o parâmetro de entrada. A ação anexa o nome do arquivo ao parâmetro Caminho do arquivo para receber o caminho resultante e adicioná-lo à substituição.

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Criar substituição de reputação para ferramenta de TI":

Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação "Criar substituição de reputação para ferramenta de TI":

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Mensagens de saída

Em um quadro de casos, a ação "Criar uma substituição de reputação para ferramenta de TI" fornece as seguintes mensagens de saída:

Excluir uma substituição de reputação

Exclui uma substituição de reputação usando o ID fornecido. Para mais informações sobre a substituição de reputação, consulte Substituição de reputação.

Essa ação não é executada em entidades.

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Excluir substituição de reputação":

Mensagens de saída

Em um Painel de Casos, a ação "Excluir uma substituição de reputação" fornece as seguintes mensagens de saída:

Listar vulnerabilidades do host

Use essa ação para listar as vulnerabilidades que o Carbon Black Cloud encontrou no host.

Essa ação é executada nas seguintes entidades:

• Endereço IP
• Nome do host

Parâmetros

Saídas de ação

A ação fornece as seguintes saídas:

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "List Host Vulnerabilities":

Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação "List Host Vulnerabilities":

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}

Mensagens de saída

Em um painel de casos, a ação "List Host Vulnerabilities" fornece as seguintes mensagens de saída:

Conectores

Os seguintes conectores estão disponíveis para uso na integração do VMware Carbon Black Cloud:

1. AlertConnector, descontinuado. Ele usa os mesmos dados de alerta do Carbon Black para alertas e eventos do SOAR do Google SecOps, perdendo completamente os dados de eventos do Carbon Black. Use o conector de base ou de rastreamento.

2. O Baseline Connector recupera alertas e eventos do Carbon Black. Esse conector não monitora se novos eventos são adicionados aos alertas do Carbon Black.

3. O Tracking Connector recupera alertas e eventos do Carbon Black e monitora se novos eventos são adicionados a alertas já ingeridos. Se um novo evento aparecer em um alerta do CB, o conector vai criar um novo alerta do Google SecOps SOAR com eventos adicionados a um alerta do Carbon Black.

Para instruções sobre como configurar um conector no Google SecOps SOAR, consulte Configurar o conector.

Conector de alertas do VMware Carbon Black Cloud — descontinuado

Receba alertas do VMware Carbon Black Cloud como alertas do Google SecOps SOAR para análise na plataforma Google SecOps SOAR.

Visão geral do conector

O conector se conecta periodicamente ao endpoint de API do VMware Carbon Black Cloud e extrai uma lista de alertas gerados em um período específico. Se houver novos alertas, o conector vai criar alertas do Google SecOps SOAR com base nos alertas do Carbon Black Cloud e salvar o carimbo de data/hora do conector como a última hora de alerta ingerida com sucesso. Na próxima execução do conector, ele vai consultar a API do Carbon Black apenas para alertas criados após o carimbo de data/hora.

O conector verifica se há alertas duplicados (conhecidos como alertas marcados como excesso) e não cria alertas do Google SecOps SOAR com base neles.

Modo de teste:o conector tem um modo de teste para fins de depuração e solução de problemas. No modo de teste, o conector faz o seguinte:

• Não atualizar o carimbo de data/hora da última execução.
• Recupera alertas com base na quantidade especificada de horas.
• Retorna um único alerta para ingestão.

Comunicações criptografadas:o conector é compatível com comunicações criptografadas (SSL ou TLS).

Suporte a proxy:o conector aceita conexões com os endpoints da API usando proxy para tráfego HTTPS.

Suporte a Unicode:o conector é compatível com a codificação Unicode para os alertas processados.

Permissões da API

O conector do Carbon Black Cloud usa as mesmas credenciais de API da integração do Carbon Black Cloud. Para mais detalhes sobre a configuração da API para o Carbon Black Cloud, consulte a seção Pré-requisitos.

Parâmetros do conector

Para configurar ou editar os parâmetros do conector, você precisa estar incluído no grupo de permissões de administradores do Google SecOps. Para mais detalhes sobre grupos de permissões para usuários, consulte Trabalhar com grupos de permissões.

Use os seguintes parâmetros para configurar o conector:

Regras do conector

• O conector é compatível com o uso de proxies.

Conector de eventos e alertas de baseline do VMware Carbon Black Cloud

Visão geral

Use o conector de linha de base do VMware Carbon Black Cloud para ingerir os alertas do Carbon Black Cloud e os eventos relacionados a eles. Depois de ingerir alertas, o Google SecOps os marca como processados e não busca atualizações para eles. Para buscar atualizações de alertas, use o conector de rastreamento.

Personalizar os campos "Nome do alerta" e "Gerador de regras" no Google SecOps

O conector oferece uma opção para personalizar os valores dos campos Nome do alerta e Gerador de regras do SOAR do Google SecOps usando modelos. Para modelos, o conector recebe dados dos alertas do Carbon Black Cloud retornados pela API.

Confira a seguir um exemplo dos dados de alerta do Carbon Black Cloud retornados pela API. Os dados de alerta referenciam os campos disponíveis no alerta e podem ser usados para modelos:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parâmetros do conector

Para configurar ou editar os parâmetros do conector, você precisa estar incluído no grupo de permissões de administradores do Google SecOps. Para mais detalhes sobre grupos de permissões para usuários, consulte Trabalhar com grupos de permissões.

Use os seguintes parâmetros para configurar o conector:

Regras do conector

• O conector é compatível com o uso de proxies.

Conector de rastreamento de eventos e alertas do VMware Carbon Black Cloud

Visão geral

Use o conector de rastreamento do VMware Carbon Black Cloud para buscar alertas e eventos relacionados do Carbon Black Cloud. Se o conector detectar novos eventos para alertas do Carbon Black Cloud já processados, ele vai criar um alerta adicional do Google SecOps SOAR para cada novo evento detectado.

Personalizar os campos "Nome do alerta" e "Gerador de regras" no Google SecOps

O conector oferece uma opção para personalizar os valores dos campos Nome do alerta e Gerador de regras do Google SecOps SOAR usando modelos. Para modelos, o conector recebe dados dos alertas do Carbon Black Cloud retornados pela API.

Confira a seguir um exemplo dos dados de alerta do Carbon Black Cloud retornados pela API. Os dados de alerta referenciam os campos disponíveis no alerta e podem ser usados para modelos:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parâmetros do conector

Para configurar ou editar os parâmetros do conector, você precisa estar incluído no grupo de permissões de administradores do Google SecOps. Para mais detalhes sobre grupos de permissões para usuários, consulte Trabalhar com grupos de permissões.

Use os seguintes parâmetros para configurar o conector:

Regras do conector

• O conector é compatível com o uso de proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.