Carbon Black Defense
統合バージョン: 9.0
Google Security Operations と連携するように VMware Carbon Black Endpoint Standard(Endpoint Standard)を構成する
API キー
- Carbon Black コンソールにログインします。
- ページの右上にあるユーザー名に移動し、[プロフィール情報] を選択します。
ページの左側にある [API Token] をクリックして、API トークンを表示します。
API トークンが表示されていない場合は、[リセット] をクリックして新しいトークンを作成します。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
Google SecOps で Carbon Black Defense の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://{server-addres} | はい | VMware Carbon Black Endpoint Standard(Endpoint Standard)API のルート URL。 |
| API シークレット キー | 文字列 | なし | はい | VMware Carbon Black Endpoint Standard(Endpoint Standard)の API キー。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
デバイスのステータスの変更
説明
デバイスのステータスを変更します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| デバイスのステータス | 文字列 | なし | はい | 新しいステータス。例: REGISTERED |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| cb_defense_deviceId | なし |
| cb_defense_device_status | なし |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
変更ポリシー
説明
各クエリの結果エンティティに割り当てられている CB Defense ポリシーを変更します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | はい | 新しいポリシー名。例: DFLabs_Policy |
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| cb_defense_deviceId | なし |
| cb_defense_policy | なし |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
ポリシーを作成
説明
Cb Defense で新しいポリシーを作成します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | はい | ポリシーの名前。 |
| ポリシーの説明 | 文字列 | なし | はい | ポリシーの説明。 |
| 優先度 | 文字列 | 低 | はい | このポリシーに割り当てられたセンサーに関連付けられている優先度スコア。例: LOW |
| ポリシーの詳細 | 文字列 | なし | はい | ポリシーの詳細。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| new_policy_id | なし | なし |
ポリシーの削除
説明
Cb Defense からポリシーを削除します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | はい | ポリシー名。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ポリシーからルールを削除する
説明
既存のポリシーからルールを削除します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー名 | 文字列 | なし | はい | ポリシー名。 |
| ルール ID | 文字列 | なし | はい | ルール ID。例: 1 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
デバイス情報を取得する
説明
デバイスに関する情報を取得します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| assignedToName | JSON の結果に存在する場合に返す |
| macAddress | JSON の結果に存在する場合に返す |
| adGroupId | JSON の結果に存在する場合に返す |
| avEngine | JSON の結果に存在する場合に返す |
| avVdfVersion | JSON の結果に存在する場合に返す |
| rootedByAnalyticsTime | JSON の結果に存在する場合に返す |
| linuxKernelVersion | JSON の結果に存在する場合に返す |
| lastExternalIpAddress | JSON の結果に存在する場合に返す |
| lastDevicePolicyRequestedTime | JSON の結果に存在する場合に返す |
| activationCodeExpiryTime | JSON の結果に存在する場合に返す |
| currentSensorPolicyName | JSON の結果に存在する場合に返す |
| organizationName | JSON の結果に存在する場合に返す |
| deviceGuid | JSON の結果に存在する場合に返す |
| loginUserName | JSON の結果に存在する場合に返す |
| lastPolicyUpdatedTime | JSON の結果に存在する場合に返す |
| registeredTime | JSON の結果に存在する場合に返す |
| deviceSessionId | JSON の結果に存在する場合に返す |
| lastDevicePolicyChangedTime | JSON の結果に存在する場合に返す |
| windowsPlatform | JSON の結果に存在する場合に返す |
| osVersion | JSON の結果に存在する場合に返す |
| firstVirusActivityTime | JSON の結果に存在する場合に返す |
| avUpdateServers | JSON の結果に存在する場合に返す |
| lastReportedTime | JSON の結果に存在する場合に返す |
| middleName | JSON の結果に存在する場合に返す |
| activationCode | JSON の結果に存在する場合に返す |
| deregisteredTime | JSON の結果に存在する場合に返す |
| lastResetTime | JSON の結果に存在する場合に返す |
| lastInternalIpAddress | JSON の結果に存在する場合に返す |
| deviceOwnerId | JSON の結果に存在する場合に返す |
| avMaster | JSON の結果に存在する場合に返す |
| lastLocation | JSON の結果に存在する場合に返す |
| deviceType | JSON の結果に存在する場合に返す |
| targetPriorityType | JSON の結果に存在する場合に返す |
| encodedActivationCode | JSON の結果に存在する場合に返す |
| lastVirusActivityTime | JSON の結果に存在する場合に返す |
| avStatus | JSON の結果に存在する場合に返す |
| sensorStates | JSON の結果に存在する場合に返す |
| メール | JSON の結果に存在する場合に返す |
| virtualizationProvider | JSON の結果に存在する場合に返す |
| avPackVersion | JSON の結果に存在する場合に返す |
| assignedToId | JSON の結果に存在する場合に返す |
| scanStatus | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| policyName | JSON の結果に存在する場合に返す |
| scanLastActionTime | JSON の結果に存在する場合に返す |
| vdiBaseDevice | JSON の結果に存在する場合に返す |
| rootedByAnalytics | JSON の結果に存在する場合に返す |
| testId | JSON の結果に存在する場合に返す |
| avProductVersion | JSON の結果に存在する場合に返す |
| rootedBySensorTime | JSON の結果に存在する場合に返す |
| lastShutdownTime | JSON の結果に存在する場合に返す |
| 検疫済み | JSON の結果に存在する場合に返す |
| createTime | JSON の結果に存在する場合に返す |
| deviceId | JSON の結果に存在する場合に返す |
| sensorVersion | JSON の結果に存在する場合に返す |
| passiveMode | JSON の結果に存在する場合に返す |
| virtualMachine | JSON の結果に存在する場合に返す |
| firstName | JSON の結果に存在する場合に返す |
| uninstallCode | JSON の結果に存在する場合に返す |
| uninstalledTime | JSON の結果に存在する場合に返す |
| メッセージ | JSON の結果に存在する場合に返す |
| policyOverride | JSON の結果に存在する場合に返す |
| organizationId | JSON の結果に存在する場合に返す |
| sensorOutOfDate | JSON の結果に存在する場合に返す |
| avAveVersion | JSON の結果に存在する場合に返す |
| 設定されます。 | JSON の結果に存在する場合に返す |
| policyId | JSON の結果に存在する場合に返す |
| deviceMetaDataItemList | JSON の結果に存在する場合に返す |
| lastName | JSON の結果に存在する場合に返す |
| originEventHash | JSON の結果に存在する場合に返す |
| avLastScanTime | JSON の結果に存在する場合に返す |
| rootedBySensor | JSON の結果に存在する場合に返す |
| scanLastCompleteTime | JSON の結果に存在する場合に返す |
| lastContact | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[
{
"EntityResult":
{
"assignedToName": null,
"macAddress": null,
"adGroupId": 0,
"avEngine": "",
"avVdfVersion": null,
"rootedByAnalyticsTime": null,
"linuxKernelVersion": null,
"lastExternalIpAddress": "1.1.1.1",
"lastDevicePolicyRequestedTime": null,
"activationCodeExpiryTime": 1513776891190,
"currentSensorPolicyName": null,
"organizationName": "cb-internal-alliances.com",
"deviceGuid": null,
"loginUserName": null,
"lastPolicyUpdatedTime": null,
"registeredTime": 1513172091219,
"deviceSessionId": null,
"lastDevicePolicyChangedTime": null,
"windowsPlatform": null,
"osVersion": "Windows 10 x64",
"firstVirusActivityTime": 0,
"avUpdateServers": null,
"lastReportedTime": 1520325064134,
"middleName": null,
"activationCode": null,
"deregisteredTime": null,
"lastResetTime": 0,
"lastInternalIpAddress": "1.1.1.1",
"deviceOwnerId": 260377,
"avMaster": false,
"lastLocation": "OFFSITE",
"deviceType": "WINDOWS",
"targetPriorityType": "MEDIUM",
"encodedActivationCode": null,
"lastVirusActivityTime": 0,
"avStatus": ["AV_BYPASS"],
"sensorStates": ["ACTIVE","LIVE_RESPONSE_NOT_RUNNING","LIVE_RESPONSE_NOT_KILLED"],
"email": "ACorona",
"virtualizationProvider": null,
"avPackVersion": null,
"assignedToId": null,
"scanStatus": null,
"name": "HP-01",
"policyName": "default",
"scanLastActionTime": 0,
"vdiBaseDevice": null,
"rootedByAnalytics": false,
"testId": -1,
"avProductVersion": null,
"rootedBySensorTime": null,
"lastShutdownTime": 1519811818082,
"quarantined": false,
"createTime": null,
"deviceId": 605341,
"sensorVersion": "1.1.1.1",
"passiveMode": false,
"virtualMachine": false,
"firstName": null,
"uninstallCode": null,
"uninstalledTime": null,
"messages": null,
"policyOverride": false,
"organizationId": 1105,
"sensorOutOfDate": false,
"avAveVersion": null,
"status": "REGISTERED",
"policyId": 6525,
"deviceMetaDataItemList": null,
"lastName": null,
"originEventHash": null,
"avLastScanTime": 0,
"rootedBySensor": false,
"scanLastCompleteTime": 0,
"lastContact": 1520325053567
},
"Entity": "HP-01"
}
]
イベントを取得する
説明
エンティティ別にイベントを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | 文字列 | なし | はい | 検索の期間。例: 3h |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| eventId | JSON の結果に存在する場合に返す |
| parentApp | JSON の結果に存在する場合に返す |
| eventTime | JSON の結果に存在する場合に返す |
| selectedApp | JSON の結果に存在する場合に返す |
| attackStage | JSON の結果に存在する場合に返す |
| processDetails | JSON の結果に存在する場合に返す |
| eventType | JSON の結果に存在する場合に返す |
| targetAp | JSON の結果に存在する場合に返す |
| longDescription | JSON の結果に存在する場合に返す |
| threatIndicators | JSON の結果に存在する場合に返す |
| securityEventCode | JSON の結果に存在する場合に返す |
| registryValue | JSON の結果に存在する場合に返す |
| incidentId | JSON の結果に存在する場合に返す |
| shortDescription | JSON の結果に存在する場合に返す |
| createTime | JSON の結果に存在する場合に返す |
| alertScore | JSON の結果に存在する場合に返す |
| alertCategory | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[
{
"EntityResult":
{
"0":
{
"eventId": "1defe38112e911e7b34047d6447797bd",
"parentApp":
{
"applicationName": "C: \\\\Windows\\\\System32\\\\svchost.exe",
"md5Hash": null,
"reputationProperty": null,
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null
"sha256Hash": "c7db4ae8175c33a47baa3ddfa089fad17bc8e362f21e835d78ab22c9231fe370",
"virusSubCategory": null
},
"eventTime": 1490617768036,
"selectedApp":
{
"applicationName": "taskeng.exe",
"md5Hash": "a21ac8d41e63cf1aa24ebc165ae82c9a",
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": "C: \\\\Windows\\\\System32\\\\taskeng.exe",
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "74b9cf472d5008e00735482f084f886eaa201248d6e87ab6b1990e3670bd6693",
"virusSubCategory": null
},
"attackStage": null,
"processDetails":
{
"userName": "SYSTEM",
"interpreterHash": null,
"parentCommandLine": "C: Windows\\\\system32\\\\svchost.exe-knetsvcs",
"milisSinceProcessStart": 32,
"name": "taskeng.exe",
"parentPid": 772,
"processId": 2872,
"interpreterName": null,
"commandLine": "taskeng.exe{5267BC82-9B0D-4F0B-A566-E06CDE5602F1}S-1-5-18: NTAUTHORITY\\\\System: Service: ",
"parentName": "svchost.exe",
"parentPrivatePid": "772-1489763380982-18",
"targetPrivatePid": "2468-1490617768051-975",
"targetPid": 2468,
"targetCommandLine": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"privatePid": "2872-1490617768004-974",
"targetName": "GoogleUpdate.exe",
"fullUserName": "NTAUTHORITY\\\\SYSTEM"
},
"eventType": "SYSTEM_API_CALL",
"targetApp":
{
"applicationName": "C: \\\\ProgramFiles(x86)\\\\Google\\\\Update\\\\GoogleUpdate.exe",
"md5Hash": null,
"reputationProperty": "TRUSTED_WHITE_LIST",
"effectiveReputation": null,
"applicationPath": null,
"virusName": null,
"effectiveReputationSource": null,
"virusCategory": null,
"sha256Hash": "52fc3aa9f704300041e486e57fe863218e4cdf4c8eee05ca6b99a296efee5737",
"virusSubCategory": null
},
"longDescription": "",
"threatIndicators": ["SUSPENDED_PROCESS"],
"securityEventCode": null,
"registryValue": null,
"incidentId": null,
"shortDescription": "",
"createTime": 1490617872232,
"alertScore": 0,
"alertCategory": null
}
},
"Entity": "HP-01"
}
]
プロセスの取得
説明
デバイス別にプロセスを一覧表示します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 期間 | 文字列 | 3 時間 | はい | 検索の期間。例: 3h |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| applicationName | JSON の結果に存在する場合に返す |
| processId | JSON の結果に存在する場合に返す |
| numEvents | JSON の結果に存在する場合に返す |
| applicationPath | JSON の結果に存在する場合に返す |
| privatePid | JSON の結果に存在する場合に返す |
| sha256Hash | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[
{
"EntityResult":
{
"0":
{
"applicationName": "chrome.exe",
"processId": 3052,
"numEvents": 252,
"applicationPath": null,
"privatePid": "3052-1489181082476-30",
"sha256Hash": "c8b01dd0153bbe4527630fb002f9ef8b4e04127bdff212831ff67bd6ab0ea265"
}
},
"Entity": "HP-01"
}
]
Ping
説明
接続をテストします。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。