VMware Carbon Black Cloud
本文档为管理员提供了相关指南,介绍了如何将 VMware Carbon Black Cloud 与 Google Security Operations 的 SOAR 模块集成。
集成版本:32.0
概览
VMware Carbon Black Cloud 集成可帮助您完成以下任务:
提取 VMware Carbon Black Cloud 事件和提醒以创建提醒。
Google SecOps 使用提醒通过 playbook 或手动分析来执行编排。
执行丰富化操作。
从 VMware Carbon Black Cloud 获取数据,以丰富 Google SecOps 提醒中的数据。
执行主动操作。
使用 VMware Carbon Black Cloud 代理在 Google SecOps SOAR 中安排扫描并隔离主机。
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的副本。
前提条件
本部分适用于初始集成配置。为确保数据从 VMware Carbon Black Cloud 按预期流向 Google SecOps,请在 VMware Carbon Black Cloud 中完成本部分列出的步骤。
如需为 VMware Carbon Black Cloud 集成配置 API 访问权限,请完成以下步骤:
- 配置访问权限级别。
- 创建 API 密钥。
此集成存在一些限制。如需详细了解限制,请参阅 VMware Carbon Black Cloud 文档中的配置信誉替换。
配置访问权限级别
如需配置 VMware Carbon Black Cloud 集成的访问权限级别,请完成以下步骤:
在 VMware Carbon Black Cloud 控制台中,依次前往设置 > API 访问权限。
选择访问权限级别。
点击添加访问权限级别。
为新的访问权限级别提供名称和说明,然后选择以下权限:
类别 权限名称 .乐谱名称 权限类型 提醒 一般信息 org.alerts 读取 提醒 关闭 org.alerts.dismiss 执行 设备 隔离 device.quarantine 执行 设备 绕过 device.bypass 执行 设备 一般信息 device 读取 设备 警察分配 device.policy 更新 设备 后台扫描 device.bg-scan 执行 搜索 事件 org.search.events 创建
读取
点击保存。
创建 API 密钥
如需为 VMware Carbon Black Cloud 集成创建 API 密钥,请完成以下步骤:
在 VMware Carbon Black Cloud 控制台中,依次前往 Settings > API Access > API Keys。
点击 Add API Key。
输入密钥的名称,然后选择您在上一部分中创建的访问权限级别。
点击保存以获取 API 密钥和 API ID 对。
请保存您的 API 密钥值,因为您日后无法再检索该值。
将 VMware Carbon Black Cloud 与 Google SecOps 集成
如需配置或修改集成参数,您必须是 Google SecOps 中“管理员”权限组的成员。如需详细了解用户权限组,请参阅使用权限组。
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为之配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://defense.conferdeploy.net/ |
是 | VMware Carbon Black Cloud API 根网址。 |
| 组织密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud 组织密钥。 |
| API ID | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API ID(自定义 API 密钥 ID)。 |
| API 密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API 密钥(自定义 API 密钥)。 |
| 验证 SSL | 复选框 | 已选择 | 否 | 如果选中此选项,Google SecOps 会验证与 VMware Carbon Black Cloud 服务器的连接所用的 SSL 证书是否有效。 |
| 远程运行 | 复选框 | 未选择 | 否 | 选中相应复选框以远程运行配置的集成。选中该复选框后,系统会显示用于选择远程用户(客服人员)的选项。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段更改配置。配置实例后,您可以在 playbook 中使用它们。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
Ping
测试与 VMware Carbon Black Cloud 的连接。
参数
无。
使用场景
从 Google SecOps Marketplace 标签页中的集成配置页面执行操作时,该操作会测试连接性。您可以手动执行此操作,但无法在 playbook 中使用此操作。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在“支持请求墙”上,“Ping”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the VMware Carbon Black Cloud server
with the provided connection parameters! |
操作成功。 |
Failed to connect to the VMware Carbon Black Cloud server! Error
is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
丰富实体
根据 VMware Carbon Black Cloud 中的设备信息丰富 Google SecOps SOAR 主机或 IP 地址实体。
此操作适用于以下实体:
- IP 地址
- 主机
使用场景
如果在相应的 IP 地址或主机实体上安装了 Carbon Black 代理,则使用来自 VMware Carbon Black Cloud 的信息来丰富 Google SecOps SOAR 主机或 IP 实体。
为了帮助事件响应者调查安装了传感器的主机发出的可能恶意软件警报,VMware Carbon Black Cloud 可以提供丰富的数据,例如主机信息、传感器状态及其 Carbon Black 政策。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
实体丰富化
| 扩充项字段 | 适用性 |
|---|---|
| CB_Cloud.device_id | 始终 |
| CB_Cloud.antivirus_status | 始终 |
| CB_Cloud.antivirus_last_scan_time | 如果信息显示在 JSON 结果中 |
| CB_Cloud.owner_email | 如果信息显示在 JSON 结果中 |
| CB_Cloud.owner_first_name | 如果信息显示在 JSON 结果中 |
| CB_Cloud.owner_last_name | 如果信息显示在 JSON 结果中 |
| CB_Cloud.last_contact_time | 始终 |
| CB_Cloud._last_device_policy_changed_time | 如果信息显示在 JSON 结果中 |
| CB_Cloud.last_external_ip_address | 始终 |
| CB_Cloud.last_internal_ip_address | 始终 |
| CB_Cloud.last_location | 始终 |
| CB_Cloud.full_device_name | 始终 |
| CB_Cloud.organization_id | 始终 |
| CB_Cloud.organization_name | 始终 |
| CB_Cloud.device_os | 如果信息显示在 JSON 结果中 |
| CB_Cloud.device_os_version | 如果信息显示在 JSON 结果中 |
| CB_Cloud.passive_mode | 始终 |
| CB_Cloud.device_policy_id | 始终 |
| CB_Cloud.device_policy_name | 始终 |
| CB_Cloud.device_policy_override | 如果为 true |
| CB_Cloud.quarantined | 始终 |
| CB_Cloud.scan_status | 如果信息显示在 JSON 结果中 |
| CB_Cloud.sensor_out_of_date | 始终 |
| CB_Cloud.sensor_states | 始终 |
| CB_Cloud.sensor_version | 始终 |
| CB_Cloud.device_status | 始终 |
脚本结果
下表介绍了使用“丰富实体”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例介绍了使用“丰富实体”操作时收到的 JSON 结果输出:
{
"results": [
{
"activation_code": null,
"activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
"ad_group_id": 649,
"av_ave_version": null,
"av_engine": "",
"av_last_scan_time": null,
"av_master": false,
"av_pack_version": null,
"av_product_version": null,
"av_status": [
"AV_DEREGISTERED"
],
"av_update_servers": null,
"av_vdf_version": null,
"current_sensor_policy_name": "vmware-example",
"deregistered_time": "2020-04-21T07:31:22.285Z",
"device_meta_data_item_list": [
{
"key_name": "OS_MAJOR_VERSION",
"key_value": "Windows 10",
"position": 0
},
{
"key_name": "SUBNET",
"key_value": "10.0.2",
"position": 0
}
],
"device_owner_id": 439953,
"email": "User",
"first_name": null,
"id": 3401539,
"last_contact_time": "2020-04-21T07:30:21.614Z",
"last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
"last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
"last_external_ip_address": "198.51.100.209",
"last_internal_ip_address": "203.0.113.15",
"last_location": "OFFSITE",
"last_name": null,
"last_policy_updated_time": "2020-04-09T11:19:01.371Z",
"last_reported_time": "2020-04-21T07:14:33.810Z",
"last_reset_time": null,
"last_shutdown_time": "2020-04-21T06:41:11.083Z",
"linux_kernel_version": null,
"login_user_name": null,
"mac_address": "000000000000",
"middle_name": null,
"name": "<span class='hlt1'>WinDev2003Eval</span>",
"organization_id": 1105,
"organization_name": "cb-internal-alliances.com",
"os": "WINDOWS",
"os_version": "Windows 10 x64",
"passive_mode": false,
"policy_id": 36194,
"policy_name": "vmware-example",
"policy_override": false,
"quarantined": false,
"registered_time": "2020-04-21T05:05:37.407Z",
"scan_last_action_time": null,
"scan_last_complete_time": null,
"scan_status": null,
"sensor_kit_type": "WINDOWS",
"sensor_out_of_date": false,
"sensor_pending_update": false,
"sensor_states": [
"ACTIVE",
"LIVE_RESPONSE_NOT_RUNNING",
"LIVE_RESPONSE_NOT_KILLED",
"LIVE_RESPONSE_ENABLED",
"SECURITY_CENTER_OPTLN_DISABLED"
],
"sensor_version": "3.4.0.1097",
"status": "DEREGISTERED",
"target_priority": "MEDIUM",
"uninstall_code": "9EFCKADP",
"vdi_base_device": null,
"virtual_machine": false,
"virtualization_provider": "UNKNOWN",
"windows_platform": null
}
],
"num_found": 6
}
输出消息
在案例墙上,“丰富实体”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute Enrich Entities action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
关闭 VMware Carbon Black Cloud 提醒
关闭 VMware Carbon Black Cloud 提醒。
在 VMware Carbon Black Cloud Alerts Connector 创建的事件中,Event.id 字段可作为警报 ID 的占位符传递,以在“Dismiss VMware Carbon Black Cloud Alert”(关闭 VMware Carbon Black Cloud 警报)操作中关闭警报。
此操作接受字母数字格式的提醒 ID,例如 27162661199ea9a043c11ea9a29a93652bc09fd,而不接受界面中显示的 DONAELUN 格式。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 要在 VMware Carbon Black Cloud 服务器上关闭的提醒 ID。以字母数字格式(例如 27162661199ea9a043c11ea9a29a93652bc09fd)指定提醒 ID,而不是以界面中显示的格式(例如 DONAELUN)指定。 |
| 拒绝原因 | DDL | 未提供拒绝原因 | 否 | VMware Carbon Black Cloud 提醒关闭原因。可能的值如下所示:
|
| Determination | DDL | 无 | 否 | 要为提醒设置的确定值。可能的值如下所示:
|
| 用于关闭提醒的消息 | 字符串 | 不适用 | 否 | 要添加到提醒关闭的消息。 |
使用场景
根据 Google SecOps SOAR 中的分析结果,关闭或关闭 VMware Carbon Black Cloud 提醒。
在 Google SecOps SOAR 中处理完提醒后,为了使 VMware Carbon Black Cloud 和 Google SecOps SOAR 之间的提醒状态保持同步,用户需要执行一项操作,以从 Google SecOps SOAR 中关闭 VMware Carbon Black Cloud 提醒。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“Dismiss VMware Carbon Black Cloud Alert”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在“问题墙”上,“关闭 VMware Carbon Black Cloud 提醒”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute Dismiss alert action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
按政策 ID 更新设备的政策
更改主机上 VMware Carbon Black Cloud 传感器的政策。操作范围是 IP 地址或主机实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 政策 ID | 整数 | 不适用 | 是 | 指定要与 VMware Carbon Black Cloud 传感器关联的政策。 |
使用场景
通过 Google SecOps SOAR 在 VMware Carbon Black Cloud 服务器上创建政策更新任务。
在分析提醒时,突发事件响应人员注意到,同一主机在短时间内生成了多个误报提醒。他们可以使用此操作创建政策更新任务,以将传感器政策更改为限制性较低的政策。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“按政策 ID 更新设备的政策”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在支持请求墙上,“按政策 ID 更新设备的政策”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
设备后台扫描
在 VMware Carbon Black Cloud 服务器上创建基于 IP 地址或主机实体的设备后台扫描任务。
使用场景
使用 Google SecOps SOAR 中的 VMware Carbon Black Cloud 传感器为主机创建后台扫描任务。
在分析提醒时,突发事件响应人员注意到某个主机可能已被入侵。事故响应者可以使用此操作来请求对主机进行按需后台扫描。此扫描会检查主机上是否存在其他可疑的可执行文件,并且主机上的传感器会针对这些可疑的可执行文件创建提醒。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“设备后台扫描”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在“问题墙”上,“设备后台扫描”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
为设备启用绕过模式
在 VMware Carbon Black Cloud 服务器上为设备启用绕过模式任务。 任务基于 Google SecOps SOAR IP 地址或主机实体。
使用场景
通过 Google SecOps SOAR 在 VMware Carbon Black Cloud 服务器上创建“启用绕过模式”任务。
在分析与特定平台传感器或主机相关的提醒时,事件响应者注意到该传感器会生成多个误报提醒。他们可以使用此操作来启用绕过模式,以跟踪远程代理作为提醒处理的事件并更新政策。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“为设备启用旁路模式”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在“问题墙”上,“为设备启用绕过模式”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
为设备停用旁路模式
为 VMware Carbon Black Cloud 服务器上的设备创建停用绕过模式任务。任务基于 Google SecOps SOAR IP 地址或主机实体。
使用场景
在特定传感器上启用绕过模式并排查 VMware Carbon Black Cloud 配置和政策问题后,事件响应者确定 Carbon Black 传感器可正常运行,无需以绕过模式运行。他们执行“为设备创建停用旁路模式任务”操作,以创建用于停用特定主机上的旁路模式的任务。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“为设备停用旁路模式”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在“问题墙”上,“为设备停用绕过模式”操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
隔离设备
在 VMware Carbon Black Cloud 服务器上基于 Google SecOps SOAR IP 地址或主机实体创建隔离设备任务。
使用场景
事件响应者发现某主机显示出被入侵的迹象,可以使用此任务隔离该主机。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“隔离设备”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了使用“隔离设备”操作时收到的 JSON 结果输出:
[
{
"Entity": "siemplify-ID",
"EntityResult": {
"status": "done"
}
}
]
输出消息
在“问题墙”上,“隔离设备”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
取消隔离设备
在 VMware Carbon Black Cloud 服务器上,基于 Google SecOps SOAR IP 地址或主机实体创建取消隔离设备任务。
使用场景
在分析并补救与 VMware Carbon Black Cloud 管理的特定主机相关的提醒后,突发事件响应人员发现该主机并未受到入侵。它们会执行“取消隔离设备”操作,以在 VMware Carbon Black Cloud 服务器上创建取消隔离主机任务并连接到主机。
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“取消隔离设备”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在案例墙上,“解除隔离设备”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
执行实体进程搜索
使用此操作可搜索存储在 VMware Carbon Black Cloud 中的进程的相关信息。
此操作适用于以下实体:
- IP 地址
- 主机
- 用户
- 哈希
- 流程
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 从指定行开始 | 整数 | 0 | 否 | 指定要从中提取数据的行。 |
| 要返回的行数上限 | 整数 | 50 | 否 | 指定操作应返回多少行。 |
| 创建分析数据 | 复选框 | 未选择 | 否 | 如果选中此选项,该操作会基于 Carbon Black Cloud 中的进程信息创建 Google SecOps SOAR 洞见。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
实体丰富化
| 扩充项字段 | 逻辑 |
|---|---|
| IsSuspicous | 如果返回的数据包含设置为 THREAT 的提醒类别 (alert_category) 和与相应进程关联的提醒 ID 列表 (alert_ids),则设置为 True。 |
脚本结果
下表介绍了使用“执行实体进程搜索”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例介绍了使用“执行实体流程搜索”操作时收到的 JSON 结果输出:
{
"results": [
{
"alert_category": [
"THREAT"
],
"alert_id": [
"19183229-384f-49a7-8ad7-87d0db243fcc",
"4dfc6aed-656d-41d1-9568-0de349d7a8b3",
"8eb04992-ed94-4471-8a71-fd78bad887de",
"ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
"edc046a0-98f0-43eb-b3c0-a67469c11d19",
"f365a912-1d79-421e-bccb-f57b52100be8"
],
"backend_timestamp": "2021-02-02T18:38:46.520Z",
"childproc_count": 0,
"crossproc_count": 0,
"device_external_ip": "161.47.37.87",
"device_group_id": 0,
"device_id": 3602123,
"device_installed_by": "sadiya@acalvio.com",
"device_internal_ip": "172.26.115.53",
"device_location": "UNKNOWN",
"device_name": "desktop1-win10",
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_policy": "test",
"device_policy_id": 32064,
"device_target_priority": "HIGH",
"device_timestamp": "2020-08-19T16:31:20.887Z",
"document_guid": "sF1Ug1--SEyLWljQrWe8NA",
"event_threat_score": [
6
],
"filemod_count": 0,
"ingress_time": 1612291119946,
"modload_count": 0,
"netconn_count": 0,
"org_id": "7DESJ9GN",
"parent_effective_reputation": "KNOWN_MALWARE",
"parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
"parent_hash": [
"86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
],
"parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
"parent_pid": 9940,
"parent_reputation": "KNOWN_MALWARE",
"process_cmdline": [
"powershell.exe -ep bypass"
],
"process_cmdline_length": [
25
],
"process_effective_reputation": "COMPANY_BLACK_LIST",
"process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
"process_hash": [
"908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"cda48fc75952ad12d99e526d0b6bf70a"
],
"process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"process_pid": [
1464
],
"process_reputation": "COMPANY_BLACK_LIST",
"process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"process_start_time": "2020-08-19T16:05:24.057Z",
"process_username": [
"DESKTOP1-WIN10\\acalvio"
],
"regmod_count": 0,
"scriptload_count": 0,
"watchlist_hit": [
"BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
]
}
],
"num_found": 1,
"num_available": 1,
"approximate_unaggregated": 6,
"num_aggregated": 6,
"contacted": 47,
"completed": 47
}
输出消息
在“案例墙”上,“执行实体进程搜索”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Execute Entity Processes Search". Error
is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
列出信誉替换项
使用此操作可列出在 VMware Carbon Black Cloud 中配置的信誉替换项。
此操作不会在实体上运行。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 信誉替换列表 | DDL | 未指定 可能的值:
|
否 | 指定替换列表操作应返回的内容。 |
| 声誉替换类型 | DDL | 未指定 可能的值:
|
否 | 指定替换类型操作应返回。 |
| 从指定行开始 | 整数 | 0 | 否 | 指定行操作应从哪一行开始提取数据。 |
| 要返回的行数上限 | 整数 | 50 | 否 | 指定操作应返回多少行。 |
| 行排序顺序 | DDL | ASC 可能的值:
|
为返回的行指定排序顺序。行按 create_time 值排序。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
“支持请求墙”表格
在“案例墙”上,“列出声誉替换项”提供了以下表格:
SHA-256 表格
表格名称:Found SHA-256 Reputation Overrides
表列:
- SHA-256 哈希
- 文件名
- ID
- 替换列表
- 说明
- 来源
- 来源参考
- 创建时间
- 创建者
CERT 表
表格名称:发现 CERT 声誉替换
表列:
- 证书授权机构
- 签署者
- ID
- 替换列表
- 说明
- 来源
- 来源参考
- 创建时间
- 创建者
IT 工具表
表格名称:找到了 IT_TOOL 声誉替换项
表列:
- IT 工具路径
- 包含子进程
- ID
- 替换列表
- 说明
- 来源
- 来源参考
- 创建时间
- 创建者
脚本结果
下表介绍了使用“列出信誉替换项”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了针对证书使用“列出信誉替换项”操作时收到的 JSON 结果输出:
{
"num_found": 2,
"results": [
{
"id": "6b040826d43a11eb85899b2a3fb7559d",
"created_by": "user@example.com",
"create_time": "2021-06-23T15:48:13.355Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "",
"source": "APP",
"source_ref": null,
"signed_by": "Example Software Corp.",
"certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
}
]
}
以下示例描述了针对 SHA-256 哈希使用“列出信誉替换项”操作时收到的 JSON 结果输出:
{
"num_found": 25,
"results": [
{
"id": "0a0d2bf89d4d11ebbef6695028ab76fe",
"created_by": "I2TK7ET355",
"create_time": "2021-04-14T18:12:57.161Z",
"override_list": "WHITE_LIST",
"override_type": "SHA256",
"description": "Test Data",
"source": "APP",
"source_ref": null,
"sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
"filename": null
}
]
}
以下示例描述了针对 IT 工具使用“列出声誉替换项”操作时收到的 JSON 结果输出:
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
输出消息
在案例墙上,“列出声誉替换项”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Reputation Overrides". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
为证书创建声誉替换
为证书创建声誉替换项。如需详细了解信誉覆盖,请参阅信誉覆盖。
此操作不会在实体上运行。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 证书授权机构 | 字符串 | 不适用 | 否 | 指定授权要添加到信誉替换项的证书有效性的证书授权机构。 |
| 签署者 | 字符串 | 是 | 指定要添加到声誉替换政策中的签名者的名称。 | |
| 说明 | 字符串 | 不适用 | 否 | 为创建的信誉替换项指定说明。 |
| 信誉替换列表 | DDL | 未指定 | 是 | 指定要创建的替换列表。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“为证书创建声誉替换”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了在使用“为证书创建声誉替换项”操作时收到的 JSON 结果输出:
{
"id": "fb19756cf03311eb81e9bf7658b8ce59",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:12:41.168Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "An override for a CERT",
"source": "APP",
"source_ref": null,
"signed_by": "Test signer for override",
"certificate_authority": "test cert ca"
}
输出消息
在支持请求墙上,“为证书创建声誉替换”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Create a Reputation Override for
Certificate". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
为 SHA-256 哈希创建信誉替换项
以 SHA-256 格式为所提供的哈希创建信誉替换项。 如需详细了解声誉替换,请参阅声誉替换。
如果提供了 FileHash 实体,此操作会在该实体上运行。
您可以将 SHA-256 哈希作为 Google SecOps SOAR FileHash 实体(制品)或作为操作输入参数提供。如果哈希同时作为实体和输入参数传递给操作,则该操作将针对输入参数执行。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| SHA-256 哈希 | 字符串 | 不适用 | 否 | 指定要创建替换项的 SHA-256 哈希值。 |
| 文件名 | 字符串 | 不适用 | 是 | 指定要添加到信誉替换政策中的相应文件名。 |
| 说明 | 字符串 | 不适用 | 否 | 为创建的信誉替换项指定说明。 |
| 信誉替换列表 | DDL | 未指定 | 是 | 指定要创建的替换列表。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“为 SHA-256 哈希创建声誉替换”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了在使用“为 SHA-256 哈希创建声誉替换项”操作时收到的 JSON 结果输出:
{
"id": "1ea6c923f03211eb83cf87b4dce84539",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T05:59:21.821Z",
"override_list": "BLACK_LIST",
"override_type": "SHA256",
"description": "An override for a sha256 hash",
"source": "APP",
"source_ref": null,
"sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
"filename": "foo.exe"
}
输出消息
在支持服务墙上,“为 SHA-256 哈希创建声誉替换”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
为 IT 工具创建声誉覆盖
使用此操作可为特定 IT 工具(例如 Jira 或 ServiceNow)创建声誉替换。声誉替换基于文件名和路径。如需详细了解声誉替换,请参阅声誉替换。
如果提供了文件实体,则此操作会在该实体上运行。
您可以将文件名作为 Google SecOps SOAR 文件实体(制品)或操作输入参数提供。如果文件名同时作为实体和输入参数传递给操作,则操作会使用输入参数。该操作会将文件名附加到文件路径参数,以获取最终路径,并将该路径添加到替换项中。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件名 | 字符串 | 不适用 | 否 | 指定要添加到信誉替换项中的相应文件名。 |
| 文件路径 | 字符串 | 不适用 | 是 | 指定相应 IT 工具在磁盘上的存储路径,以将该路径添加到信誉替换项中。示例如下:C\\TMP\\。 |
| 包含子进程 | 复选框 | 未选择 | 否 | 如果选中,则在批准的列表中包含 IT 工具子进程。 |
| 说明 | 字符串 | 不适用 | 否 | 为创建的信誉替换项指定说明。 |
| 信誉替换列表 | DDL | 未指定 | 是 | 指定要创建的替换列表。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“为 IT 工具创建声誉替换”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了在使用“为 IT 工具创建声誉替换项”操作时收到的 JSON 结果输出:
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
输出消息
在支持请求墙上,“为 IT 工具创建声誉替换”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
删除声誉覆盖设置
使用提供的声誉替换 ID 删除声誉替换。 如需详细了解声誉替换,请参阅声誉替换。
此操作不会在实体上运行。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 声誉替换 ID | 字符串 | 不适用 | 是 | 指定要删除的信誉替换 ID。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“删除声誉替换”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
输出消息
在案例墙上,“删除声誉替换项”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Delete a Reputation Override". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
列出主机漏洞
使用此操作可列出 Carbon Black Cloud 在主机上发现的漏洞。
此操作适用于以下实体:
- IP 地址
- 主机名
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 严重程度过滤条件 | CSV | 不适用 | 否 | 指定以英文逗号分隔的漏洞严重程度列表。 如果未提供任何内容,该操作会注入所有相关漏洞。 可能的值:严重、重要、中等、低。 |
| 要返回的漏洞数量上限 | 整数 | 100 | 否 | 指定要为每个主机返回的漏洞数量。 如果未提供任何内容,该操作会处理所有相关漏洞。 |
操作输出
该操作提供以下输出:
| 操作输出类型 | |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化 | 不可用 |
| 脚本结果 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
脚本结果
下表介绍了使用“列出主机漏洞”操作时脚本结果输出的值:
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
以下示例描述了在使用“列出主机漏洞”操作时收到的 JSON 结果输出:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"moderate": 1,
"low": 1
}
},
"details": [
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2015-2534",
"cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB3091287",
"solution": null,
"created_at": "2015-09-09T00:59:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
},
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2017-8554",
"cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB5016639",
"solution": null,
"created_at": "2017-06-29T13:29:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
}
]
}
输出消息
在案例墙上,“列出主机漏洞”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
连接器
以下连接器可用于 VMware Carbon Black Cloud 集成:
提醒连接器,已弃用。它将相同的 Carbon Black 提醒数据用于 Google SecOps SOAR 提醒和事件,因此完全错过了 Carbon Black 事件数据。请改用基准连接器或跟踪连接器。
基准连接器可从 Carbon Black 中检索提醒和事件。此连接器不会监控 Carbon Black 提醒中是否添加了新事件。
跟踪连接器会从 Carbon Black 中检索提醒和事件,并监控是否向已注入的提醒添加了新事件。如果 CB 提醒中出现新事件,连接器会创建一个新的 Google SecOps SOAR 提醒,其中包含已添加到 Carbon Black 提醒中的事件。
如需了解如何在 Google SecOps SOAR 中配置连接器,请参阅配置连接器。
VMware Carbon Black Cloud Alerts 连接器 - 已弃用
从 VMware Carbon Black Cloud 获取提醒,作为 Google SecOps SOAR 提醒,以便在 Google SecOps SOAR 平台中进行分析。
连接器概览
连接器会定期连接到 VMware Carbon Black Cloud API 端点,并提取在特定时间段内生成的一系列提醒。如果存在新提醒,连接器会根据 Carbon Black Cloud 提醒创建 Google SecOps SOAR 提醒,并将连接器时间戳保存为上次成功提取的提醒时间。在下一次执行连接器时,连接器将仅针对时间戳之后创建的提醒查询 Carbon Black API。
连接器会检查重复的提醒(也称为标记为溢出的提醒),并且不会根据重复的提醒创建 Google SecOps SOAR 提醒。
测试模式:连接器具有测试模式,可用于调试和问题排查。在测试模式下,连接器会执行以下操作:
- 不更新上次运行时间戳。
- 根据指定的小时数检索要提取的提醒。
- 返回单个提醒以供提取。
加密通信:连接器支持加密通信(SSL 或 TLS)。
代理支持:连接器支持使用代理连接到 API 端点,以处理 HTTPS 流量。
Unicode 支持:连接器支持对处理的提醒进行 Unicode 编码。
API 权限
Carbon Black Cloud 连接器使用与 Carbon Black Cloud 集成相同的 API 凭据。如需详细了解 Carbon Black Cloud 的 API 配置,请参阅前提条件部分。
连接器参数
如需配置或修改连接器参数,您必须是 Google SecOps 中“管理员”权限组的成员。如需详细了解用户权限组,请参阅使用权限组。
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 环境 | DDL | 不适用 | 是 | 选择所需的环境。例如,“客户一”。 如果提醒的环境字段为空,则提醒会被注入此环境。 |
| 运行频率 | 整数 | 0:0:0:10 | 否 | 选择运行连接的时间。 |
| 商品字段名称 | 字符串 | ProductName | 是 | 存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | AlertName | 是 | 存储事件名称的字段的名称。 |
| 活动类 ID | 字符串 | AlertName | 否 | 用于确定事件名称(子类型)的字段名称。 |
| Python 进程超时 | 字符串 | 180 | 是 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| 环境字段名称 | 字符串 | "" | 否 | 存储环境名称的字段的名称。 如果找不到环境字段,则环境为 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
| API 根 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API 根网址。 |
| 组织密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud 组织密钥。 |
| API ID | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API ID(自定义 API 密钥 ID)。 |
| API 密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API 密钥(自定义 API 密钥)。 |
| 偏移时间(以小时为单位) | 整数 | 24 | 是 | 提取提醒的小时数。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 单次连接器运行中要处理的提醒数量。 |
| 要提取的最低严重程度 | 整数 | 不适用 | 否 | 要提取到 Google SecOps SOAR 的 Carbon Black Cloud 提醒的最低严重程度。 |
| 要将哪个提醒字段用于“名称”字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR“提醒名称”字段的 Carbon Black Cloud 提醒字段。可能的值包括 type 和 policy_name。 |
| 规则生成器应使用哪些提醒字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR 提醒规则生成器字段的 Carbon Black Cloud 提醒字段。可能的值包括 type、category 和 policy_name。 |
| 代理服务器地址 | IP_OR_HOST | 不适用 | 否 | 用于连接的代理服务器。 |
| 代理服务器用户名 | 字符串 | 不适用 | 否 | 代理服务器用户名。 |
| 代理服务器密码 | 密码 | 不适用 | 否 | 代理服务器密码。 |
连接器规则
- 连接器支持使用代理。
VMware Carbon Black Cloud 警报和事件基准连接器
概览
使用 VMware Carbon Black Cloud 基准连接器注入 Carbon Black Cloud 提醒和与提醒相关的事件。在提取提醒后,Google SecOps 会将这些提醒标记为已处理,并且不会再提取任何更新。如需获取提醒更新,请使用跟踪连接器。
在 Google SecOps 中自定义“提醒名称”和“规则生成器”字段
该连接器提供了一个选项,用于使用模板自定义 Google SecOps SOAR 的提醒名称和规则生成器字段值。对于模板,连接器会从 API 返回的 Carbon Black Cloud 提醒数据中获取数据。
以下是 API 返回的 Carbon Black Cloud 提醒数据示例。提醒数据引用了提醒中可用的字段,可用于模板:
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
连接器参数
如需配置或修改连接器参数,您必须是 Google SecOps 中“管理员”权限组的成员。如需详细了解用户权限组,请参阅使用权限组。
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | ProductName | 是 | 存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | AlertName | 是 | 存储事件名称的字段的名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 存储环境名称的字段的名称。 如果找不到环境字段,则环境为 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
| API 根 | 字符串 | https://defense.conferdeploy.net |
是 | VMware Carbon Black Cloud API 根网址。 |
| 组织密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud 组织密钥。例如,7DDDD9DD。 |
| API ID | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API ID(自定义 API 密钥 ID)。 |
| API 密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API 密钥(自定义 API 密钥)。 |
| 偏移时间(以小时为单位) | 整数 | 24 | 是 | 提取提醒的小时数。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 单次连接器运行中要处理的提醒数量。 |
| 要提取的最低严重程度 | 整数 | 不适用 | 否 | 要注入到 Google SecOps SOAR 的 Carbon Black Cloud 提醒的最低严重程度。例如,4 或 7。 |
| 要将哪个提醒字段用于“名称”字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR“提醒名称”字段的 Carbon Black Cloud 提醒字段。可能的值包括 type 和 policy_name。 |
| 规则生成器应使用哪些提醒字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR 提醒规则生成器字段的 Carbon Black Cloud 提醒字段。可能的值包括 type、category 和 policy_name。 |
| 要注入的提醒信誉 | 字符串 | 不适用 | 否 | 要注入的提醒的 Carbon Black Cloud 信誉。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 每个提醒可提取的事件数量上限 | 整数 | 25 | 是 | 要注入到每个 Carbon Black Cloud 提醒中的事件数量。 |
| 代理服务器地址 | IP_OR_HOST | 不适用 | 否 | 用于连接的代理服务器。 |
| 代理服务器用户名 | 字符串 | 不适用 | 否 | 代理服务器用户名。 |
| 代理服务器密码 | 密码 | 不适用 | 否 | 代理服务器密码。 |
| 提醒名称模板 | 字符串 | 不适用 | 否 | 如果指定,连接器会使用 Carbon Black Cloud API 响应提醒数据中的此值来填充“提醒名称”字段。 您可以提供以下格式的占位符:[字段名称]。 示例:提醒 - [原因]。 该字段的长度上限为 256 个字符。如果未提供任何内容或您提供的模板无效,连接器将使用默认的提醒名称。 |
| 规则生成器模板 | 字符串 | 不适用 | 否 | 如果指定,连接器会使用 Carbon Black Cloud API 响应提醒数据中的此值来填充规则生成器字段。 您可以提供以下格式的占位符:[字段名称]。 示例:提醒 - [原因]。 该字段的长度上限为 256 个字符。如果未提供任何内容或您提供的模板无效,连接器将使用默认的规则生成器值。 |
连接器规则
- 连接器支持使用代理。
VMware Carbon Black Cloud 警报和事件跟踪连接器
概览
使用 VMware Carbon Black Cloud Tracking 连接器提取 Carbon Black Cloud 提醒和相关事件。如果连接器检测到已处理的 Carbon Black Cloud 提醒有新事件,则会针对每个新检测到的事件创建额外的 Google SecOps SOAR 提醒。
在 Google SecOps 中自定义“提醒名称”和“规则生成器”字段
该连接器提供了一个选项,用于通过模板自定义 Google SecOps SOAR Alert Name 和 Rule Generator 字段值。对于模板,连接器会从 API 返回的 Carbon Black Cloud 提醒数据中获取数据。
以下是 API 返回的 Carbon Black Cloud 提醒数据示例。提醒数据引用了提醒中可用的字段,可用于模板:
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
连接器参数
如需配置或修改连接器参数,您必须是 Google SecOps 中“管理员”权限组的成员。如需详细了解用户权限组,请参阅使用权限组。
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | ProductName | 是 | 存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | AlertName | 是 | 存储事件名称的字段的名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 存储环境名称的字段的名称。 如果找不到环境字段,则环境为 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
| API 根 | 字符串 | https://defense.conferdeploy.net |
是 | VMware Carbon Black Cloud API 根网址。 |
| 组织密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud 组织密钥。例如,7DDDD9DD。 |
| API ID | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API ID(自定义 API 密钥 ID)。 |
| API 密钥 | 字符串 | 不适用 | 是 | VMware Carbon Black Cloud API 密钥(自定义 API 密钥)。 |
| 偏移时间(以小时为单位) | 整数 | 24 | 是 | 提取提醒的小时数。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 单次连接器运行中要处理的提醒数量。 |
| 要提取的最低严重程度 | 整数 | 不适用 | 否 | 要注入到 Google SecOps SOAR 的 Carbon Black Cloud 提醒的最低严重程度。例如,4 或 7。 |
| 要将哪个提醒字段用于“名称”字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR“提醒名称”字段的 Carbon Black Cloud 提醒字段。可能的值包括:type 和 policy_name。 |
| 规则生成器应使用哪些提醒字段 | 字符串 | 类型 | 是 | 要用于 Google SecOps SOAR 提醒规则生成器字段的 Carbon Black Cloud 提醒字段。可能的值包括 type、category 和 policy_name。 |
| 要注入的提醒信誉 | 字符串 | 不适用 | 否 | 要注入的 Carbon Black Cloud 警报信誉警报。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
| 活动填充周期(小时) | 整数 | 24 | 是 | 提取提醒事件的小时数。 |
| 每个提醒可提取的事件数量上限 | 整数 | 25 | 是 | 每次连接器迭代中要在单个 Carbon Black Cloud 提醒中提取的事件数量。 |
| 代理服务器地址 | IP_OR_HOST | 不适用 | 否 | 用于连接的代理服务器。 |
| 代理服务器用户名 | 字符串 | 不适用 | 否 | 代理服务器用户名。 |
| 代理服务器密码 | 密码 | 不适用 | 否 | 代理服务器密码。 |
| 提醒名称模板 | 字符串 | 不适用 | 否 | 如果指定,连接器会使用 Carbon Black Cloud API 响应提醒数据中的此值来填充“提醒名称”字段。 您可以提供以下格式的占位符:[字段名称]。 示例:提醒 - [原因]。 该字段的长度上限为 256 个字符。 如果未提供任何值或您提供的模板无效,连接器将使用默认的提醒名称值。 |
| 规则生成器模板 | 字符串 | 不适用 | 否 | 如果指定,连接器会使用 Carbon Black Cloud API 响应提醒数据中的此值来填充规则生成器字段。 您可以提供以下格式的占位符:[字段名称]。 示例:规则 - [原因]。 该字段的长度上限为 256 个字符。如果未提供任何内容或您提供的模板无效,连接器将使用默认的规则生成器值。 |
| 每个提醒的事件总数上限 | 整数 | 100 | 否 | 连接器为每个 Carbon Black Cloud 提醒检索的事件总数。 如果达到此限制,连接器将不会为提醒检索任何新事件。 如需不对每个提醒的事件总数设限,请将此参数值留空。 |
连接器规则
- 连接器支持使用代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。