Questa pagina è stata tradotta dall'API Cloud Translation.

Carbon Black Defense

Versione integrazione: 9.0

Configura VMware Carbon Black Endpoint Standard (Endpoint Standard) per funzionare con Google Security Operations

Chiave API

Accedi alla console Carbon Black.
Vai al nome utente in alto a destra nella pagina e seleziona Informazioni del profilo.
Fai clic su Token API sul lato sinistro della pagina per visualizzare il token API.

Se non viene visualizzato alcun token API, fai clic su Reimposta per crearne uno nuovo.

Rete

Funzione	Porta predefinita	Direzione	Protocollo
API	Multivalori	In uscita	apikey

Configura l'integrazione di Carbon Black Defense in Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome istanza	Stringa	N/D	No	Nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione	Stringa	N/D	No	Descrizione dell'istanza.
Root API	Stringa	https://{server-addres}	Sì	URL radice dell'API VMware Carbon Black Endpoint Standard (Endpoint Standard).
Chiave segreta API	Stringa	N/D	Sì	Chiave API VMware Carbon Black Endpoint Standard (Endpoint Standard).
Esegui da remoto	Casella di controllo	Deselezionata	No	Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente).

Azioni

Modifica stato dispositivo

Descrizione

Modificare lo stato di un dispositivo.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Stato del dispositivo	Stringa	N/D	Sì	Il nuovo stato. Esempio: REGISTERED

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
cb_defense_deviceId	N/D
cb_defense_device_status	N/D

Approfondimenti

N/D

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Modifica policy

Descrizione

Modifica il criterio CB Defense assegnato a ciascuna delle entità dei risultati delle query.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome del criterio	Stringa	N/D	Sì	Il nuovo nome del criterio. Esempio: DFLabs_Policy

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
cb_defense_deviceId	N/D
cb_defense_policy	N/D

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Crea policy

Descrizione

Crea una nuova policy su Cb Defense.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome del criterio	Stringa	N/D	Sì	Nome del criterio.
Descrizione della policy	Stringa	N/D	Sì	Una descrizione del criterio.
Livello di priorità	Stringa	BASSO	Sì	Il punteggio di priorità associato ai sensori assegnati a questa policy. Esempio: LOW
Dettagli criteri	Stringa	N/D	Sì	I dettagli delle norme.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
new_policy_id	N/D	N/D

Eliminazione criterio

Descrizione

Elimina una policy da Cb Defense.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome del criterio	Stringa	N/D	Sì	Nome della policy.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Elimina regola dalla policy

Descrizione

Rimuovi una regola da una policy esistente.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome del criterio	Stringa	N/D	Sì	Nome della policy.
ID regola	Stringa	N/D	Sì	ID regola. Esempio: 1

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Get Device Info

Descrizione

Recuperare informazioni su un dispositivo.

Parametri

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
assignedToName	Restituisce se esiste nel risultato JSON
macAddress	Restituisce se esiste nel risultato JSON
adGroupId	Restituisce se esiste nel risultato JSON
avEngine	Restituisce se esiste nel risultato JSON
avVdfVersion	Restituisce se esiste nel risultato JSON
rootedByAnalyticsTime	Restituisce se esiste nel risultato JSON
linuxKernelVersion	Restituisce se esiste nel risultato JSON
lastExternalIpAddress	Restituisce se esiste nel risultato JSON
lastDevicePolicyRequestedTime	Restituisce se esiste nel risultato JSON
activationCodeExpiryTime	Restituisce se esiste nel risultato JSON
currentSensorPolicyName	Restituisce se esiste nel risultato JSON
organizationName	Restituisce se esiste nel risultato JSON
deviceGuid	Restituisce se esiste nel risultato JSON
loginUserName	Restituisce se esiste nel risultato JSON
lastPolicyUpdatedTime	Restituisce se esiste nel risultato JSON
registeredTime	Restituisce se esiste nel risultato JSON
deviceSessionId	Restituisce se esiste nel risultato JSON
lastDevicePolicyChangedTime	Restituisce se esiste nel risultato JSON
windowsPlatform	Restituisce se esiste nel risultato JSON
osVersion	Restituisce se esiste nel risultato JSON
firstVirusActivityTime	Restituisce se esiste nel risultato JSON
avUpdateServers	Restituisce se esiste nel risultato JSON
lastReportedTime	Restituisce se esiste nel risultato JSON
middleName	Restituisce se esiste nel risultato JSON
activationCode	Restituisce se esiste nel risultato JSON
deregisteredTime	Restituisce se esiste nel risultato JSON
lastResetTime	Restituisce se esiste nel risultato JSON
lastInternalIpAddress	Restituisce se esiste nel risultato JSON
deviceOwnerId	Restituisce se esiste nel risultato JSON
avMaster	Restituisce se esiste nel risultato JSON
lastLocation	Restituisce se esiste nel risultato JSON
deviceType	Restituisce se esiste nel risultato JSON
targetPriorityType	Restituisce se esiste nel risultato JSON
encodedActivationCode	Restituisce se esiste nel risultato JSON
lastVirusActivityTime	Restituisce se esiste nel risultato JSON
avStatus	Restituisce se esiste nel risultato JSON
sensorStates	Restituisce se esiste nel risultato JSON
email	Restituisce se esiste nel risultato JSON
virtualizationProvider	Restituisce se esiste nel risultato JSON
avPackVersion	Restituisce se esiste nel risultato JSON
assignedToId	Restituisce se esiste nel risultato JSON
scanStatus	Restituisce se esiste nel risultato JSON
nome	Restituisce se esiste nel risultato JSON
policyName	Restituisce se esiste nel risultato JSON
scanLastActionTime	Restituisce se esiste nel risultato JSON
vdiBaseDevice	Restituisce se esiste nel risultato JSON
rootedByAnalytics	Restituisce se esiste nel risultato JSON
testId	Restituisce se esiste nel risultato JSON
avProductVersion	Restituisce se esiste nel risultato JSON
rootedBySensorTime	Restituisce se esiste nel risultato JSON
lastShutdownTime	Restituisce se esiste nel risultato JSON
in quarantena	Restituisce se esiste nel risultato JSON
Ora di creazione	Restituisce se esiste nel risultato JSON
deviceId	Restituisce se esiste nel risultato JSON
sensorVersion	Restituisce se esiste nel risultato JSON
passiveMode	Restituisce se esiste nel risultato JSON
virtualMachine	Restituisce se esiste nel risultato JSON
firstName	Restituisce se esiste nel risultato JSON
uninstallCode	Restituisce se esiste nel risultato JSON
uninstalledTime	Restituisce se esiste nel risultato JSON
messaggi	Restituisce se esiste nel risultato JSON
policyOverride	Restituisce se esiste nel risultato JSON
organizationId	Restituisce se esiste nel risultato JSON
sensorOutOfDate	Restituisce se esiste nel risultato JSON
avAveVersion	Restituisce se esiste nel risultato JSON
stato	Restituisce se esiste nel risultato JSON
policyId	Restituisce se esiste nel risultato JSON
deviceMetaDataItemList	Restituisce se esiste nel risultato JSON
lastName	Restituisce se esiste nel risultato JSON
originEventHash	Restituisce se esiste nel risultato JSON
avLastScanTime	Restituisce se esiste nel risultato JSON
rootedBySensor	Restituisce se esiste nel risultato JSON
scanLastCompleteTime	Restituisce se esiste nel risultato JSON
lastContact	Restituisce se esiste nel risultato JSON

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Risultato JSON

[
    {
  "EntityResult":
    {
     "assignedToName": null,
     "macAddress": null,
     "adGroupId": 0,
     "avEngine": "",
     "avVdfVersion": null,
     "rootedByAnalyticsTime": null,
     "linuxKernelVersion": null,
     "lastExternalIpAddress": "1.1.1.1",
     "lastDevicePolicyRequestedTime": null,
     "activationCodeExpiryTime": 1513776891190,
     "currentSensorPolicyName": null,
     "organizationName": "cb-internal-alliances.com",
     "deviceGuid": null,
     "loginUserName": null,
     "lastPolicyUpdatedTime": null,
     "registeredTime": 1513172091219,
     "deviceSessionId": null,
     "lastDevicePolicyChangedTime": null,
     "windowsPlatform": null,
     "osVersion": "Windows 10 x64",
     "firstVirusActivityTime": 0,
     "avUpdateServers": null,
     "lastReportedTime": 1520325064134,
     "middleName": null,
     "activationCode": null,
     "deregisteredTime": null,
     "lastResetTime": 0,
     "lastInternalIpAddress": "1.1.1.1",
     "deviceOwnerId": 260377,
     "avMaster": false,
     "lastLocation": "OFFSITE",
     "deviceType": "WINDOWS",
     "targetPriorityType": "MEDIUM",
     "encodedActivationCode": null,
     "lastVirusActivityTime": 0,
     "avStatus": ["AV_BYPASS"],
     "sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
     "email": "ACorona",
     "virtualizationProvider": null,
     "avPackVersion": null,
     "assignedToId": null,
     "scanStatus": null,
     "name": "HP-01",
     "policyName": "default",
     "scanLastActionTime": 0,
     "vdiBaseDevice": null,
     "rootedByAnalytics": false,
     "testId": -1,
     "avProductVersion": null,
     "rootedBySensorTime": null,
     "lastShutdownTime": 1519811818082,
     "quarantined": false,
     "createTime": null,
     "deviceId": 605341,
     "sensorVersion": "1.1.1.1",
     "passiveMode": false,
     "virtualMachine": false,
     "firstName": null,
     "uninstallCode": null,
     "uninstalledTime": null,
     "messages": null,
     "policyOverride": false,
     "organizationId": 1105,
     "sensorOutOfDate": false,
     "avAveVersion": null,
     "status": "REGISTERED",
     "policyId": 6525,
     "deviceMetaDataItemList": null,
     "lastName": null,
     "originEventHash": null,
     "avLastScanTime": 0,
     "rootedBySensor": false,
     "scanLastCompleteTime": 0,
     "lastContact": 1520325053567
 },
 "Entity": "HP-01"
}
]

Recupera eventi

Descrizione

Recupera eventi per entità.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Intervallo di tempo	string	N/D	Sì	Intervallo di tempo della ricerca. Esempio: 3 ore

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
eventId	Restituisce se esiste nel risultato JSON
parentApp	Restituisce se esiste nel risultato JSON
eventTime	Restituisce se esiste nel risultato JSON
selectedApp	Restituisce se esiste nel risultato JSON
attackStage	Restituisce se esiste nel risultato JSON
processDetails	Restituisce se esiste nel risultato JSON
eventType	Restituisce se esiste nel risultato JSON
targetAp	Restituisce se esiste nel risultato JSON
longDescription	Restituisce se esiste nel risultato JSON
threatIndicators	Restituisce se esiste nel risultato JSON
securityEventCode	Restituisce se esiste nel risultato JSON
registryValue	Restituisce se esiste nel risultato JSON
incidentId	Restituisce se esiste nel risultato JSON
shortDescription	Restituisce se esiste nel risultato JSON
Ora di creazione	Restituisce se esiste nel risultato JSON
alertScore	Restituisce se esiste nel risultato JSON
alertCategory	Restituisce se esiste nel risultato JSON

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Risultato JSON

[
    {
        "EntityResult":
        {
            "0":
            {
                "eventId": "1defe38112e911e7b34047d6447797bd",
                "parentApp":
                {
                    "applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
                    "md5Hash": null,
                    "reputationProperty": null,
                    "effectiveReputation": null,
                    "applicationPath": null,
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null
                    "sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
                    "virusSubCategory": null
                },
                "eventTime": 1490617768036,
                "selectedApp":
                {
                    "applicationName": "taskeng.exe",
                    "md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
                    "reputationProperty": "TRUSTED_WHITE_LIST",
                    "effectiveReputation": null,
                    "applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null,
                    "sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
                    "virusSubCategory": null
                },
                "attackStage": null,
                "processDetails":
                {
                    "userName": "SYSTEM",
                    "interpreterHash": null,
                    "parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
                    "milisSinceProcessStart": 32,
                    "name": "taskeng.exe",
                    "parentPid": 772,
                    "processId": 2872,
                    "interpreterName": null,
                    "commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
                    "parentName": "svchost.exe",
                    "parentPrivatePid": "772-1489763380982-18",
                    "targetPrivatePid": "2468-1490617768051-975",
                    "targetPid": 2468,
                    "targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
                    "privatePid": "2872-1490617768004-974",
                    "targetName": "GoogleUpdate.exe",
                    "fullUserName": "NTAUTHORITY\\\\SYSTEM"
                },
                "eventType": "SYSTEM_API_CALL",
                "targetApp":
                {
                    "applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
                    "md5Hash": null,
                    "reputationProperty": "TRUSTED_WHITE_LIST",
                    "effectiveReputation": null,
                    "applicationPath": null,
                    "virusName": null,
                    "effectiveReputationSource": null,
                    "virusCategory": null,
                    "sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
                    "virusSubCategory": null
                },
                "longDescription": "",
                "threatIndicators": ["SUSPENDED_PROCESS"],
                "securityEventCode": null,
                "registryValue": null,
                "incidentId": null,
                "shortDescription": "",
                "createTime": 1490617872232,
                "alertScore": 0,
                "alertCategory": null
            }
        },
        "Entity": "HP-01"
    }
]

Recupero processi

Descrizione

Elenca i processi per dispositivo.

Parametri

Parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Intervallo di tempo	string	3 ore	Sì	Intervallo di tempo della ricerca. Esempio: 3 ore

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica - Quando applicarla
applicationName	Restituisce se esiste nel risultato JSON
processId	Restituisce se esiste nel risultato JSON
numEvents	Restituisce se esiste nel risultato JSON
applicationPath	Restituisce se esiste nel risultato JSON
privatePid	Restituisce se esiste nel risultato JSON
sha256Hash	Restituisce se esiste nel risultato JSON

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Risultato JSON

[
    {
        "EntityResult":
        {
            "0":
            {
                "applicationName": "chrome.exe",
                "processId": 3052,
                "numEvents": 252,
                "applicationPath": null,
                "privatePid": "3052-1489181082476-30",
                "sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
            }
        },
        "Entity": "HP-01"
    }
]

Dindin

Descrizione

Testa la connettività.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome risultato script	Opzioni di valore	Esempio
operazione riuscita	Vero/Falso	success:False

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.