VMware Carbon Black Cloud
本文提供管理員指南,說明如何設定 VMware Carbon Black Cloud,並與 Google Security Operations 的 SOAR 模組整合。
整合版本:32.0
總覽
整合 VMware Carbon Black Cloud 可協助您執行下列工作:
擷取 VMware Carbon Black Cloud 事件和快訊,建立快訊。
Google SecOps 會使用快訊,透過劇本或手動分析執行協調作業。
執行擴充動作。
從 VMware Carbon Black Cloud 取得資料,以擴充 Google SecOps 快訊中的資料。
執行有效動作。
使用 VMware Carbon Black Cloud 代理程式,在 Google SecOps SOAR 中排定掃描時間並隔離主機。
這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這項整合的完整原始碼副本。
必要條件
本節適用於初始整合作業設定。為確保資料能如預期從 VMware Carbon Black Cloud 傳輸至 Google SecOps,請在 VMware Carbon Black Cloud 中完成本節列出的步驟。
如要設定 VMware Carbon Black Cloud 整合的 API 存取權,請完成下列步驟:
- 設定存取層級。
- 建立 API 金鑰。
這項整合功能有其限制。如要進一步瞭解限制,請參閱 VMware Carbon Black Cloud 說明文件中的「設定信譽覆寫」。
設定存取層級
如要設定 VMware Carbon Black Cloud 整合的存取層級,請完成下列步驟:
在 VMware Carbon Black Cloud 控制台中,前往「Settings」> API Access」。
選取「存取層級」。
按一下「新增存取層級」。
提供新存取層級的名稱和說明,並選取下列權限:
類別 權限名稱 .Notation name 權限類型 快訊 一般資訊 org.alerts 讀取 快訊 關閉 org.alerts.dismiss 執行 裝置 隔離 device.quarantine 執行 裝置 略過 device.bypass 執行 裝置 一般資訊 裝置 讀取 裝置 警察指派 device.policy 更新 裝置 背景掃描 device.bg-scan 執行 搜尋 活動 org.search.events 建立
讀取
按一下 [儲存]。
建立 API 金鑰
如要為 VMware Carbon Black Cloud 整合服務建立 API 金鑰,請完成下列步驟:
在 VMware Carbon Black Cloud 控制台中,依序前往「Settings」>「API Access」>「API Keys」。
按一下「新增 API 金鑰」。
輸入金鑰名稱,然後選取您在前一節中建立的存取層級。
按一下「儲存」,即可取得 API 密鑰和 API ID 配對。
請儲存 API 密鑰值,因為您之後無法擷取。
將 VMware Carbon Black Cloud 與 Google SecOps 整合
如要設定或編輯整合參數,您必須是 Google SecOps 的「管理員」權限群組成員。如要進一步瞭解使用者權限群組,請參閱「使用權限群組」。
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://defense.conferdeploy.net/ |
是 | VMware Carbon Black Cloud API 根層級網址。 |
| 機構金鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud 機構金鑰。 |
| API ID | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API ID (自訂 API 金鑰 ID)。 |
| API 密鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API 密鑰 (自訂 API 密鑰)。 |
| 驗證 SSL | 核取方塊 | 已選取 | 否 | 如果選取這個選項,Google SecOps 會驗證連線至 VMware Carbon Black Cloud 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 未選取 | 否 | 勾選核取方塊,即可遠端執行設定的整合。勾選核取方塊後,系統會顯示選項,供你選取遠端使用者 (服務專員)。 |
如要瞭解如何在 Google SecOps 中設定整合功能,請參閱「設定整合功能」。
如有需要,您可以在稍後階段變更設定。設定執行個體後,即可在劇本中使用。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
乒乓
測試與 VMware Carbon Black Cloud 的連線。
參數
無
用途
從 Google SecOps Marketplace 分頁的整合設定頁面執行這項動作時,系統會測試連線能力。您可以手動執行這項動作,但無法在應對手冊中使用。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件總覽頁面中,「Ping」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the VMware Carbon Black Cloud server
with the provided connection parameters! |
動作成功。 |
Failed to connect to the VMware Carbon Black Cloud server! Error
is ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
充實實體
根據 VMware Carbon Black Cloud 的裝置資訊,擴充 Google SecOps SOAR 主機或 IP 位址實體。
這項動作會對下列實體執行:
- IP 位址
- 主機
用途
如果相應的 IP 位址或主機實體上已安裝 Carbon Black 代理程式,請使用 VMware Carbon Black Cloud 的資訊,擴充 Google SecOps SOAR 主機或 IP 實體。
為了協助事件應變人員調查主機 (已安裝感應器) 可能發出的惡意軟體警報,VMware Carbon Black Cloud 可提供主機資訊、感應器狀態和 Carbon Black 政策等強化資料。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 可用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
實體充實
| 補充資料欄位 | 適用性 |
|---|---|
| CB_Cloud.device_id | 一律 |
| CB_Cloud.antivirus_status | 一律 |
| CB_Cloud.antivirus_last_scan_time | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.owner_email | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.owner_first_name | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.owner_last_name | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.last_contact_time | 一律 |
| CB_Cloud._last_device_policy_changed_time | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.last_external_ip_address | 一律 |
| CB_Cloud.last_internal_ip_address | 一律 |
| CB_Cloud.last_location | 一律 |
| CB_Cloud.full_device_name | 一律 |
| CB_Cloud.organization_id | 一律 |
| CB_Cloud.organization_name | 一律 |
| CB_Cloud.device_os | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.device_os_version | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.passive_mode | 一律 |
| CB_Cloud.device_policy_id | 一律 |
| CB_Cloud.device_policy_name | 一律 |
| CB_Cloud.device_policy_override | 如果為 true |
| CB_Cloud.quarantined | 一律 |
| CB_Cloud.scan_status | 如果資訊顯示在 JSON 結果中 |
| CB_Cloud.sensor_out_of_date | 一律 |
| CB_Cloud.sensor_states | 一律 |
| CB_Cloud.sensor_version | 一律 |
| CB_Cloud.device_status | 一律 |
指令碼結果
下表說明使用「Enrich Entities」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「Enrich Entities」動作時收到的 JSON 結果輸出內容:
{
"results": [
{
"activation_code": null,
"activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
"ad_group_id": 649,
"av_ave_version": null,
"av_engine": "",
"av_last_scan_time": null,
"av_master": false,
"av_pack_version": null,
"av_product_version": null,
"av_status": [
"AV_DEREGISTERED"
],
"av_update_servers": null,
"av_vdf_version": null,
"current_sensor_policy_name": "vmware-example",
"deregistered_time": "2020-04-21T07:31:22.285Z",
"device_meta_data_item_list": [
{
"key_name": "OS_MAJOR_VERSION",
"key_value": "Windows 10",
"position": 0
},
{
"key_name": "SUBNET",
"key_value": "10.0.2",
"position": 0
}
],
"device_owner_id": 439953,
"email": "User",
"first_name": null,
"id": 3401539,
"last_contact_time": "2020-04-21T07:30:21.614Z",
"last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
"last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
"last_external_ip_address": "198.51.100.209",
"last_internal_ip_address": "203.0.113.15",
"last_location": "OFFSITE",
"last_name": null,
"last_policy_updated_time": "2020-04-09T11:19:01.371Z",
"last_reported_time": "2020-04-21T07:14:33.810Z",
"last_reset_time": null,
"last_shutdown_time": "2020-04-21T06:41:11.083Z",
"linux_kernel_version": null,
"login_user_name": null,
"mac_address": "000000000000",
"middle_name": null,
"name": "<span class='hlt1'>WinDev2003Eval</span>",
"organization_id": 1105,
"organization_name": "cb-internal-alliances.com",
"os": "WINDOWS",
"os_version": "Windows 10 x64",
"passive_mode": false,
"policy_id": 36194,
"policy_name": "vmware-example",
"policy_override": false,
"quarantined": false,
"registered_time": "2020-04-21T05:05:37.407Z",
"scan_last_action_time": null,
"scan_last_complete_time": null,
"scan_status": null,
"sensor_kit_type": "WINDOWS",
"sensor_out_of_date": false,
"sensor_pending_update": false,
"sensor_states": [
"ACTIVE",
"LIVE_RESPONSE_NOT_RUNNING",
"LIVE_RESPONSE_NOT_KILLED",
"LIVE_RESPONSE_ENABLED",
"SECURITY_CENTER_OPTLN_DISABLED"
],
"sensor_version": "3.4.0.1097",
"status": "DEREGISTERED",
"target_priority": "MEDIUM",
"uninstall_code": "9EFCKADP",
"vdi_base_device": null,
"virtual_machine": false,
"virtualization_provider": "UNKNOWN",
"windows_platform": null
}
],
"num_found": 6
}
輸出訊息
在案件總覽中,「豐富實體」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute Enrich Entities action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
關閉 VMware Carbon Black Cloud 快訊
關閉 VMware Carbon Black Cloud 快訊。
在 VMware Carbon Black Cloud Alerts Connector 建立的事件中,Event.id 欄位可做為警報 ID 的預留位置,用來在「Dismiss VMware Carbon Black Cloud Alert」動作中關閉警報。
這項動作接受英數字元格式的快訊 ID,例如 27162661199ea9a043c11ea9a29a93652bc09fd,但不接受使用者介面中顯示的格式,例如 DONAELUN。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 要在 VMware Carbon Black Cloud 伺服器上解除的快訊 ID。請以英數字元格式指定快訊 ID,例如 27162661199ea9a043c11ea9a29a93652bc09fd,而非使用者介面中顯示的 DONAELUN 格式。 |
| 拒絕原因 | DDL | 沒有拒絕原因 | 否 | VMware Carbon Black Cloud 警報遭解除的原因。可能的值如下:
|
| 決心 | DDL | 無 | 否 | 要為快訊設定的判定值。可能的值如下:
|
| 快訊停用訊息 | 字串 | 不適用 | 否 | 要新增至警示解除的訊息。 |
用途
根據 Google SecOps SOAR 中的分析結果,關閉或解除 VMware Carbon Black Cloud 快訊。
Google SecOps SOAR 處理完快訊後,使用者必須從 Google SecOps SOAR 執行動作,才能在 VMware Carbon Black Cloud 中關閉快訊,確保 VMware Carbon Black Cloud 和 Google SecOps SOAR 之間的快訊狀態同步。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「Dismiss VMware carbon Black Cloud Alert」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件牆上,「Dismiss VMware Carbon Black Cloud Alert」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute Dismiss alert action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
依政策 ID 更新裝置政策
變更主機上 VMware Carbon Black Cloud 感應器的政策。動作範圍是 IP 位址或主機實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 政策 ID | 整數 | 不適用 | 是 | 指定要與 VMware Carbon Black Cloud 感應器建立關聯的政策。 |
用途
在 Google SecOps SOAR 中,於 VMware Carbon Black Cloud 伺服器上建立政策更新工作。
分析快訊時,事件應變人員發現同一主機在短時間內產生多個誤判快訊。他們可以使用這項動作建立政策更新工作,將感應器政策變更為限制較少的政策。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「Update a Policy for Device by Policy ID」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件牆上,透過政策 ID 更新裝置政策的動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
裝置背景掃描
在 VMware Carbon Black Cloud 伺服器上,根據 IP 位址或主機實體建立裝置背景掃描工作。
用途
使用 Google SecOps SOAR 中的 VMware Carbon Black Cloud 感應器,為主機建立背景掃描工作。
分析快訊時,事件回應人員發現主機可能遭到入侵。事件處理人員可以使用這項動作,要求對主機進行隨選背景掃描。這項掃描會檢查主機上是否有其他可疑的可執行檔,並針對這些可疑的可執行檔發出警報。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「裝置背景掃描」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件牆上,「裝置背景掃描」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
為裝置啟用繞過模式
在 VMware Carbon Black Cloud 伺服器上,為裝置啟用繞過模式工作。 這項工作是以 Google SecOps SOAR IP 位址或主機實體為依據。
用途
在 Google SecOps SOAR 中,於 VMware Carbon Black Cloud 伺服器上建立「啟用旁路模式」工作。
分析與特定平台感應器或主機相關的快訊時,事件回應人員發現感應器會產生多個誤判快訊。他們可以使用這項動作,啟用繞過模式來追蹤遠端代理程式處理為快訊的事件,並更新政策。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「為裝置啟用略過模式」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件牆上,「Enable Bypass Mode for Device」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
停用裝置的繞過模式
在 VMware Carbon Black Cloud 伺服器上,為裝置建立停用繞過模式的工作。這項工作是以 Google SecOps SOAR IP 位址或主機實體為依據。
用途
在特定感應器上啟用略過模式,並排解 VMware Carbon Black Cloud 設定和政策問題後,事件回應人員判斷 Carbon Black 感應器運作正常,不需要以略過模式運作。他們會執行「Create Disable Bypass Mode Task for Device」動作,為特定主機建立停用旁路模式的工作。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「停用裝置的旁路模式」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件牆上,「停用裝置的繞過模式」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
隔離裝置
根據 Google SecOps SOAR IP 位址或主機實體,在 VMware Carbon Black Cloud 伺服器上建立隔離裝置工作。
用途
事件回應人員發現主機有遭入侵的跡象,因此可使用這項工作隔離主機。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「隔離裝置」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「隔離裝置」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "siemplify-ID",
"EntityResult": {
"status": "done"
}
}
]
輸出訊息
在案件總覽中,隔離裝置動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
解除裝置隔離
在 VMware Carbon Black Cloud 伺服器上,根據 Google SecOps SOAR IP 位址或主機實體,建立解除隔離裝置的工作。
用途
分析及修復與 VMware Carbon Black Cloud 管理的特定主機相關的快訊後,事件回應人員發現主機並未遭到入侵。他們會執行「Unquarantine Device」(解除隔離裝置) 動作,在 VMware Carbon Black Cloud 伺服器上建立解除隔離主機工作,並連線至主機。
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「取消隔離裝置」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件總覽中,取消隔離裝置動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to execute action! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
執行實體程序搜尋
使用這項動作,搜尋儲存在 VMware Carbon Black Cloud 中的程序相關資訊。
這項動作會對下列實體執行:
- IP 位址
- 主機
- 使用者
- 雜湊
- 程序
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 從第幾列開始 | 整數 | 0 | 否 | 指定要擷取資料的資料列。 |
| 要傳回的列數上限 | 整數 | 50 | 否 | 指定動作應傳回的列數。 |
| 建立洞察資料 | 核取方塊 | 未選取 | 否 | 選取後,這項動作會根據 Carbon Black Cloud 的程序資訊,建立 Google SecOps SOAR 洞察。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
實體充實
| 補充資料欄位 | 邏輯 |
|---|---|
| IsSuspicous | 如果傳回的資料包含設為 THREAT 的警示類別 (alert_category),以及與程序相關聯的警示 ID 清單 (alert_ids),則設為 True。 |
指令碼結果
下表說明使用「執行實體程序搜尋」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「執行實體程序搜尋」動作時收到的 JSON 結果輸出內容:
{
"results": [
{
"alert_category": [
"THREAT"
],
"alert_id": [
"19183229-384f-49a7-8ad7-87d0db243fcc",
"4dfc6aed-656d-41d1-9568-0de349d7a8b3",
"8eb04992-ed94-4471-8a71-fd78bad887de",
"ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
"edc046a0-98f0-43eb-b3c0-a67469c11d19",
"f365a912-1d79-421e-bccb-f57b52100be8"
],
"backend_timestamp": "2021-02-02T18:38:46.520Z",
"childproc_count": 0,
"crossproc_count": 0,
"device_external_ip": "161.47.37.87",
"device_group_id": 0,
"device_id": 3602123,
"device_installed_by": "sadiya@acalvio.com",
"device_internal_ip": "172.26.115.53",
"device_location": "UNKNOWN",
"device_name": "desktop1-win10",
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_policy": "test",
"device_policy_id": 32064,
"device_target_priority": "HIGH",
"device_timestamp": "2020-08-19T16:31:20.887Z",
"document_guid": "sF1Ug1--SEyLWljQrWe8NA",
"event_threat_score": [
6
],
"filemod_count": 0,
"ingress_time": 1612291119946,
"modload_count": 0,
"netconn_count": 0,
"org_id": "7DESJ9GN",
"parent_effective_reputation": "KNOWN_MALWARE",
"parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
"parent_hash": [
"86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
],
"parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
"parent_pid": 9940,
"parent_reputation": "KNOWN_MALWARE",
"process_cmdline": [
"powershell.exe -ep bypass"
],
"process_cmdline_length": [
25
],
"process_effective_reputation": "COMPANY_BLACK_LIST",
"process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
"process_hash": [
"908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"cda48fc75952ad12d99e526d0b6bf70a"
],
"process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"process_pid": [
1464
],
"process_reputation": "COMPANY_BLACK_LIST",
"process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"process_start_time": "2020-08-19T16:05:24.057Z",
"process_username": [
"DESKTOP1-WIN10\\acalvio"
],
"regmod_count": 0,
"scriptload_count": 0,
"watchlist_hit": [
"BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
]
}
],
"num_found": 1,
"num_available": 1,
"approximate_unaggregated": 6,
"num_aggregated": 6,
"contacted": 47,
"completed": 47
}
輸出訊息
在案件總覽中,「執行實體程序搜尋」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Execute Entity Processes Search". Error
is ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
列出信譽覆寫
使用這項動作列出 VMware Carbon Black Cloud 中設定的信譽覆寫。
這項操作不會對實體執行。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 信譽覆寫清單 | DDL | 未指定 可能的值包括:
|
否 | 指定覆寫清單動作應傳回的內容。 |
| 聲譽覆寫類型 | DDL | 未指定 可能的值包括:
|
否 | 指定覆寫類型動作應傳回的內容。 |
| 從第幾列開始 | 整數 | 0 | 否 | 指定要從哪一列擷取資料。 |
| 要傳回的列數上限 | 整數 | 50 | 否 | 指定動作應傳回的列數。 |
| 資料列排序順序 | DDL | ASC 可能的值包括:
|
指定傳回資料列的排序順序。系統會根據 create_time 值排序資料列。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
案件訊息牆表格
在案件牆上,「列出聲譽覆寫」會提供下列表格:
SHA-256 表格
表格名稱:Found SHA-256 Reputation Overrides
表格欄:
- SHA-256 雜湊
- 檔案名稱
- ID
- 覆寫清單
- 說明
- 來源
- 來源參照
- 建立時間
- 建立者
CERT 資料表
表格名稱:找到 CERT 信譽覆寫
表格欄:
- 憑證授權單位
- 簽署者
- ID
- 覆寫清單
- 說明
- 來源
- 來源參照
- 建立時間
- 建立者
IT 工具表
資料表名稱:Found IT_TOOL Reputation Overrides
表格欄:
- IT 工具路徑
- 包含子程序
- ID
- 覆寫清單
- 說明
- 來源
- 來源參照
- 建立時間
- 建立者
指令碼結果
下表說明使用「列出信譽覆寫」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
下列範例說明使用憑證的「列出信譽覆寫」動作時收到的 JSON 結果輸出內容:
{
"num_found": 2,
"results": [
{
"id": "6b040826d43a11eb85899b2a3fb7559d",
"created_by": "user@example.com",
"create_time": "2021-06-23T15:48:13.355Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "",
"source": "APP",
"source_ref": null,
"signed_by": "Example Software Corp.",
"certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
}
]
}
下列範例說明使用 SHA-256 雜湊的「列出信譽覆寫」動作時,收到的 JSON 結果輸出內容:
{
"num_found": 25,
"results": [
{
"id": "0a0d2bf89d4d11ebbef6695028ab76fe",
"created_by": "I2TK7ET355",
"create_time": "2021-04-14T18:12:57.161Z",
"override_list": "WHITE_LIST",
"override_type": "SHA256",
"description": "Test Data",
"source": "APP",
"source_ref": null,
"sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
"filename": null
}
]
}
下列範例說明使用 IT 工具的「列出信譽覆寫」動作時收到的 JSON 結果輸出內容:
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
輸出訊息
在案件總覽中,「列出信譽覆寫」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Reputation Overrides". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
為憑證建立信譽覆寫
為憑證建立信譽覆寫。如要進一步瞭解信譽覆寫功能,請參閱「信譽覆寫」。
這項操作不會對實體執行。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 憑證授權單位 | 字串 | 不適用 | 否 | 指定授權憑證有效性的憑證授權單位,以便新增至信譽覆寫。 |
| 簽署者 | 字串 | 是 | 指定要新增至信譽替代政策的簽署者名稱。 | |
| 說明 | 字串 | 不適用 | 否 | 為建立的信譽覆寫指定說明。 |
| 信譽覆寫清單 | DDL | 未指定 | 是 | 指定要建立的覆寫清單。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「為憑證建立信譽覆寫」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「為憑證建立信譽覆寫」動作時收到的 JSON 結果輸出內容:
{
"id": "fb19756cf03311eb81e9bf7658b8ce59",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:12:41.168Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "An override for a CERT",
"source": "APP",
"source_ref": null,
"signed_by": "Test signer for override",
"certificate_authority": "test cert ca"
}
輸出訊息
在案件牆上,「為憑證建立信譽覆寫」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Create a Reputation Override for
Certificate". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
為 SHA-256 雜湊建立信譽覆寫
以 SHA-256 格式為提供的雜湊建立信譽覆寫。如要進一步瞭解信譽覆寫,請參閱「信譽覆寫」。
如果提供 FileHash 實體,這項動作就會在該實體上執行。
您可以提供 SHA-256 雜湊做為 Google SecOps SOAR FileHash 實體 (構件),或做為動作輸入參數。如果雜湊同時以實體和輸入參數的形式傳遞至動作,則動作會對輸入參數執行。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| SHA-256 雜湊 | 字串 | 不適用 | 否 | 指定要建立覆寫項的 SHA-256 雜湊值。 |
| 檔案名稱 | 字串 | 不適用 | 是 | 指定要新增至聲譽覆寫的相應檔案名稱。 |
| 說明 | 字串 | 不適用 | 否 | 為建立的信譽覆寫指定說明。 |
| 信譽覆寫清單 | DDL | 未指定 | 是 | 指定要建立的覆寫清單。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「Create a Reputation Override for SHA-256 Hash」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
下列範例說明使用「Create a Reputation Override for SHA-256 Hash」動作時收到的 JSON 結果輸出內容:
{
"id": "1ea6c923f03211eb83cf87b4dce84539",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T05:59:21.821Z",
"override_list": "BLACK_LIST",
"override_type": "SHA256",
"description": "An override for a sha256 hash",
"source": "APP",
"source_ref": null,
"sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
"filename": "foo.exe"
}
輸出訊息
在案件牆上,「Create a Reputation Override for SHA-256 Hash」(為 SHA-256 雜湊建立信譽覆寫) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
為 IT 工具建立信譽覆寫
使用這項動作,為特定 IT 工具 (例如 Jira 或 ServiceNow) 建立信譽覆寫。信譽覆寫是根據檔案名稱和路徑。 如要進一步瞭解信譽覆寫,請參閱「信譽覆寫」。
如果提供檔案實體,這項動作會對該實體執行。
您可以提供檔案名稱做為 Google SecOps SOAR 檔案實體 (構件),或做為動作輸入參數。如果檔案名稱同時以實體和輸入參數的形式傳遞至動作,動作會使用輸入參數。這項動作會將檔案名稱附加至「檔案路徑」參數,取得產生的路徑,並將路徑新增至覆寫。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案名稱 | 字串 | 不適用 | 否 | 指定要新增至信譽替代政策的相應檔案名稱。 |
| 檔案路徑 | 字串 | 不適用 | 是 | 指定對應 IT 工具在磁碟上的儲存路徑,將路徑新增至信譽覆寫。範例如下:
C\\TMP\\。 |
| 包含子程序 | 核取方塊 | 未選取 | 否 | 如果選取這個選項,核准清單中會包含 IT 工具子程序。 |
| 說明 | 字串 | 不適用 | 否 | 為建立的信譽覆寫指定說明。 |
| 信譽覆寫清單 | DDL | 未指定 | 是 | 指定要建立的覆寫清單。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「為 IT 工具建立信譽覆寫」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「Create Reputation Override for IT Tool」動作時收到的 JSON 結果輸出內容:
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
輸出訊息
在案件牆上,「Create a Reputation Override for IT Tool」(為 IT 工具建立聲譽覆寫) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
刪除聲譽覆寫設定
使用提供的信譽覆寫 ID 刪除信譽覆寫。 如要進一步瞭解信譽覆寫,請參閱「信譽覆寫」。
這項操作不會對實體執行。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 信譽覆寫 ID | 字串 | 不適用 | 是 | 指定要刪除的信譽覆寫 ID。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「刪除信譽覆寫」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
輸出訊息
在案件總覽中,「刪除聲譽覆寫」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Delete a Reputation Override". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
列出主機安全漏洞
使用這項動作列出 Carbon Black Cloud 在主機上發現的安全漏洞。
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 嚴重程度篩選器 | CSV | 不適用 | 否 | 指定以逗號分隔的安全漏洞嚴重程度清單。 如果未提供任何內容,這項動作會擷取所有相關的安全性漏洞。 可能的值:重大、重要、中度、較低。 |
| 要傳回的安全漏洞數量上限 | 整數 | 100 | 否 | 指定每個主機要傳回的弱點數量。 如果未提供任何內容,這項動作會處理所有相關的安全性漏洞。 |
動作輸出內容
這個動作會提供下列輸出內容:
| 動作輸出類型 | |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體充實 | 無法使用 |
| 指令碼結果 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
指令碼結果
下表說明使用「列出主機安全漏洞」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
以下範例說明使用「列出主機安全漏洞」動作時收到的 JSON 結果輸出內容:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"moderate": 1,
"low": 1
}
},
"details": [
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2015-2534",
"cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB3091287",
"solution": null,
"created_at": "2015-09-09T00:59:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
},
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2017-8554",
"cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB5016639",
"solution": null,
"created_at": "2017-06-29T13:29:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
}
]
}
輸出訊息
在案件牆上,「列出主機安全漏洞」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
連接器
您可以在 VMware Carbon Black Cloud 整合中,使用下列連接器:
快訊連接器已淘汰。Google SecOps SOAR 快訊和事件會使用相同的 Carbon Black 快訊資料,因此完全遺漏 Carbon Black 事件資料。請改用基準連接器或追蹤連接器。
Baseline Connector 會從 Carbon Black 擷取快訊和事件。這個連接器不會監控 Carbon Black 警報是否新增事件。
追蹤連結器會從 Carbon Black 擷取快訊和事件,並監控是否在已擷取的快訊中新增事件。如果 CB 快訊中出現新事件,連接器會建立新的 Google SecOps SOAR 快訊,並將事件新增至 Carbon Black 快訊。
如需在 Google SecOps SOAR 中設定連接器的操作說明,請參閱「設定連接器」。
VMware Carbon Black Cloud Alerts Connector - 已淘汰
從 VMware Carbon Black Cloud 取得快訊,做為 Google SecOps SOAR 快訊,在 Google SecOps SOAR 平台中進行分析。
連接器總覽
連接器會定期連線至 VMware Carbon Black Cloud API 端點,並提取特定時間範圍內產生的快訊清單。如有新快訊,連接器會根據 Carbon Black Cloud 快訊建立 Google SecOps SOAR 快訊,並將連接器時間戳記儲存為上次成功擷取的快訊時間。下次執行連接器時,連接器只會查詢時間戳記之後建立的快訊。
連結器會檢查重複的快訊 (即標示為溢位的快訊),不會從重複的快訊建立 Google SecOps SOAR 快訊。
測試模式:連接器提供測試模式,方便您進行偵錯和疑難排解。在測試模式中,連接器會執行下列操作:
- 不會更新上次執行時間戳記。
- 根據指定的小時數擷取快訊。
- 傳回單一擷取警報。
加密通訊:連接器支援加密通訊 (SSL 或 TLS)。
Proxy 支援:連接器支援使用 Proxy 連線至 API 端點,以傳輸 HTTPS 流量。
Unicode 支援:連接器支援處理快訊的 Unicode 編碼。
API 權限
Carbon Black Cloud 連接器使用的 API 憑證與 Carbon Black Cloud 整合相同。如要進一步瞭解 Carbon Black Cloud 的 API 設定,請參閱「必要條件」一節。
連接器參數
如要設定或編輯連結器參數,您必須是 Google SecOps 的「管理員」權限群組成員。如要進一步瞭解使用者權限群組,請參閱「使用權限群組」。
請使用下列參數設定連接器:
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 環境 | DDL | 不適用 | 是 | 選取所需環境。例如「Customer One」。 如果警告的「環境」欄位空白,警告就會插入此環境。 |
| 執行頻率 | 整數 | 0:0:0:10 | 否 | 選取執行連線的時間。 |
| 產品欄位名稱 | 字串 | ProductName | 是 | 儲存產品名稱的欄位名稱。 |
| 事件欄位名稱 | 字串 | AlertName | 是 | 儲存事件名稱的欄位名稱。 |
| 活動類別 ID | 字串 | AlertName | 否 | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| Python 程序逾時 | 字串 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| 環境欄位名稱 | 字串 | "" | 否 | 儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
| API 根層級 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API 根層級網址。 |
| 機構金鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud 機構金鑰。 |
| API ID | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API ID (自訂 API 金鑰 ID)。 |
| API 密鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API 密鑰 (自訂 API 密鑰)。 |
| 時差 (以小時為單位) | 整數 | 24 | 是 | 要擷取警示的小時數。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 是 | 單一連接器執行作業中要處理的快訊數量。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 要擷取至 Google SecOps SOAR 的 Carbon Black Cloud 快訊最低嚴重程度。 |
| 要用於「名稱」欄位的快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示名稱欄位的 Carbon Black Cloud 警示欄位。可能的值為 type 和 policy_name。 |
| 規則產生器應使用哪個快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示規則產生器欄位的 Carbon Black Cloud 警示欄位。可能的值包括 type、category 和 policy_name。 |
| Proxy 伺服器位址 | IP_OR_HOST | 不適用 | 否 | 用於連線的 Proxy 伺服器。 |
| Proxy 伺服器使用者名稱 | 字串 | 不適用 | 否 | Proxy 伺服器使用者名稱。 |
| Proxy 伺服器密碼 | 密碼 | 不適用 | 否 | Proxy 伺服器密碼。 |
連接器規則
- 連接器支援使用 Proxy。
VMware Carbon Black Cloud 警報和事件基準連接器
總覽
使用 VMware Carbon Black Cloud Baseline Connector 擷取 Carbon Black Cloud 快訊和快訊相關事件。Google SecOps 擷取快訊後,會將其標示為已處理,且不會再擷取任何更新。如要擷取快訊更新,請使用追蹤連接器。
在 Google SecOps 中自訂「快訊名稱」和「規則產生器」欄位
連接器提供選項,可使用範本自訂 Google SecOps SOAR 的「警報名稱」和「規則產生器」欄位值。如果是範本,連接器會從 API 傳回的 Carbon Black Cloud 快訊資料取得資料。
以下是 API 傳回的 Carbon Black Cloud 快訊資料範例。快訊資料會參照快訊中可用的欄位,並可用於範本:
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
連接器參數
如要設定或編輯連結器參數,您必須是 Google SecOps 的「管理員」權限群組成員。如要進一步瞭解使用者權限群組,請參閱「使用權限群組」。
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | ProductName | 是 | 儲存產品名稱的欄位名稱。 |
| 事件欄位名稱 | 字串 | AlertName | 是 | 儲存事件名稱的欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
| API 根層級 | 字串 | https://defense.conferdeploy.net |
是 | VMware Carbon Black Cloud API 根層級網址。 |
| 機構金鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud 機構金鑰。例如 7DDDD9DD。 |
| API ID | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API ID (自訂 API 金鑰 ID)。 |
| API 密鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API 密鑰 (自訂 API 密鑰)。 |
| 時差 (以小時為單位) | 整數 | 24 | 是 | 要擷取警示的小時數。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 是 | 單一連接器執行作業中要處理的快訊數量。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 要擷取至 Google SecOps SOAR 的 Carbon Black Cloud 警告最低嚴重程度。例如 4 或 7。 |
| 要用於「名稱」欄位的快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示名稱欄位的 Carbon Black Cloud 警示欄位。可能的值為 type 和 policy_name。 |
| 規則產生器應使用哪個快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示規則產生器欄位的 Carbon Black Cloud 警示欄位。可能的值包括 type、category 和 policy_name。 |
| 要匯入的警示信譽 | 字串 | 不適用 | 否 | 要擷取的快訊 Carbon Black Cloud 信譽。 此參數接受以逗號分隔資料值的字串。 |
| 每個快訊可擷取的事件上限 | 整數 | 25 | 是 | 要擷取到每個 Carbon Black Cloud 快訊的事件數。 |
| Proxy 伺服器位址 | IP_OR_HOST | 不適用 | 否 | 用於連線的 Proxy 伺服器。 |
| Proxy 伺服器使用者名稱 | 字串 | 不適用 | 否 | Proxy 伺服器使用者名稱。 |
| Proxy 伺服器密碼 | 密碼 | 不適用 | 否 | Proxy 伺服器密碼。 |
| 快訊名稱範本 | 字串 | 不適用 | 否 | 如果指定此值,連接器會使用 Carbon Black Cloud API 回應警報資料中的這個值,填入「警報名稱」欄位。 預留位置的格式為 [欄位名稱]。 例如:快訊 - [原因]。 這個欄位的長度上限為 256 個字元。如果未提供任何內容或提供的範本無效,連線器會使用預設的快訊名稱。 |
| 規則產生器範本 | 字串 | 不適用 | 否 | 如果指定,連接器會使用 Carbon Black Cloud API 回應警報資料中的這個值,填入「規則產生器」欄位。 預留位置的格式為 [欄位名稱]。 例如:快訊 - [原因]。 這個欄位的長度上限為 256 個字元。如果未提供任何內容,或提供的範本無效,連接器會使用預設規則產生器值。 |
連接器規則
- 連接器支援使用 Proxy。
VMware Carbon Black Cloud 警報和事件追蹤連接器
總覽
使用 VMware Carbon Black Cloud Tracking 連接器擷取 Carbon Black Cloud 快訊和相關事件。如果連接器偵測到已處理的 Carbon Black Cloud 快訊有新事件,就會為每個新偵測到的事件建立額外的 Google SecOps SOAR 快訊。
在 Google SecOps 中自訂「快訊名稱」和「規則產生器」欄位
透過範本,連結器可自訂 Google SecOps SOAR 的「警報名稱」和「規則產生器」欄位值。如果是範本,連接器會從 API 傳回的 Carbon Black Cloud 快訊資料取得資料。
以下是 API 傳回的 Carbon Black Cloud 快訊資料範例。快訊資料會參照快訊中可用的欄位,並可用於範本:
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
連接器參數
如要設定或編輯連結器參數,您必須是 Google SecOps 的「管理員」權限群組成員。如要進一步瞭解使用者權限群組,請參閱「使用權限群組」。
請使用下列參數設定連接器:
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | ProductName | 是 | 儲存產品名稱的欄位名稱。 |
| 事件欄位名稱 | 字串 | AlertName | 是 | 儲存事件名稱的欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
| API 根層級 | 字串 | https://defense.conferdeploy.net |
是 | VMware Carbon Black Cloud API 根層級網址。 |
| 機構金鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud 機構金鑰。例如 7DDDD9DD。 |
| API ID | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API ID (自訂 API 金鑰 ID)。 |
| API 密鑰 | 字串 | 不適用 | 是 | VMware Carbon Black Cloud API 密鑰 (自訂 API 密鑰)。 |
| 時差 (以小時為單位) | 整數 | 24 | 是 | 要擷取快訊的小時數。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 是 | 單一連接器執行作業中要處理的快訊數量。 |
| 要擷取的最低嚴重程度 | 整數 | 不適用 | 否 | 要擷取至 Google SecOps SOAR 的 Carbon Black Cloud 警報最低嚴重程度。例如 4 或 7。 |
| 要用於「名稱」欄位的快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示名稱欄位的 Carbon Black Cloud 警示欄位。可能的值包括:type 和 policy_name。 |
| 規則產生器應使用哪個快訊欄位 | 字串 | 類型 | 是 | 要用於 Google SecOps SOAR 警示規則產生器欄位的 Carbon Black Cloud 警示欄位。可能的值包括 type、category 和 policy_name。 |
| 要匯入的警示信譽 | 字串 | 不適用 | 否 | 要擷取的 Carbon Black Cloud 警報信譽警報。 此參數接受以逗號分隔資料值的字串。 |
| 活動緩衝期 (小時) | 整數 | 24 | 是 | 擷取快訊事件的小時數。 |
| 每個快訊可擷取的事件上限 | 整數 | 25 | 是 | 每個連接器疊代中,單一 Carbon Black Cloud 快訊要擷取的事件數量。 |
| Proxy 伺服器位址 | IP_OR_HOST | 不適用 | 否 | 用於連線的 Proxy 伺服器。 |
| Proxy 伺服器使用者名稱 | 字串 | 不適用 | 否 | Proxy 伺服器使用者名稱。 |
| Proxy 伺服器密碼 | 密碼 | 不適用 | 否 | Proxy 伺服器密碼。 |
| 快訊名稱範本 | 字串 | 不適用 | 否 | 如果指定此值,連接器會使用 Carbon Black Cloud API 回應警報資料中的這個值,填入「警報名稱」欄位。 預留位置的格式為 [欄位名稱]。 例如:快訊 - [原因]。 這個欄位的長度上限為 256 個字元。 如果未提供任何內容或提供的範本無效,連接器就會使用預設的快訊名稱值。 |
| 規則產生器範本 | 字串 | 不適用 | 否 | 如果指定,連接器會使用 Carbon Black Cloud API 回應警報資料中的這個值,填入「規則產生器」欄位。 預留位置的格式為 [欄位名稱]。 示例:規則 - [原因]。 這個欄位的長度上限為 256 個字元。如果未提供任何內容或提供的範本無效,連接器會使用預設規則產生器值。 |
| 每個快訊的事件總數上限 | 整數 | 100 | 否 | 連接器為每項 Carbon Black Cloud 快訊擷取的事件總數。 達到上限後,連接器就不會再擷取任何新的事件來觸發快訊。 如要避免限制每則快訊的事件總數,請將這個參數值留空。 |
連接器規則
- 連接器支援使用 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。