Se usó la API de Cloud Translation para traducir esta página.

Respuesta en vivo de VMware Carbon Black Endpoint Standard

Versión de integración: 6.0

Caso de uso

Realiza investigaciones y correcciones en tiempo real en los hosts que ejecutan el agente de CB Endpoint Standard.

Configura la respuesta en vivo de VMware Carbon Black Endpoint Standard para que funcione con Google Security Operations

Permiso del producto

La función Live Response de Carbon Black se autentica a través de una clave de API. Los usuarios pueden ver la configuración de las claves de API en la consola de Carbon Black Cloud en Configuración > Claves de API.

Nombres de host del servicio

Existen dos nombres de host de Carbon Black Cloud:

https://defense-<environment>.conferdeploy.net
https://api-<environment>.conferdeploy.net

Además, tenemos varios entornos, como los siguientes (esta no es una lista completa):

prod02
prod04
prod05

Para la API de Carbon Black Live Response, se usarán los siguientes nombres de host: https://defense-about:blank)<environment>.conferdeploy.net

Claves de API

Las claves de API incluyen dos partes:

Clave secreta de la API (anteriormente, clave de API).
Es el ID de la API (anteriormente, ID del conector).

La autenticación se pasa a la API a través del encabezado HTTP X-Auth-Token.

Para generar el encabezado adecuado, concatena la clave secreta de la API con el ID de la API, con una barra diagonal entre ellos.
Por ejemplo, si la clave secreta de la API es ABCD y el ID de la API es 1234, el encabezado HTTP X-Auth-Token correspondiente será: X-Auth-Token: ABCD/1234

Todas las solicitudes a la API deben autenticarse con una clave secreta de la API y un ID de la API. Las solicitudes no autenticadas devuelven un error HTTP 401.

Cómo obtener una clave secreta de la API y un ID de la API

Accede a tu organización de Carbon Black Cloud.
Navega a Configuración > Claves de API.
Haz clic en "Agregar clave de API".
Selecciona Nivel de acceso = Respuesta en vivo y configura otros parámetros.
Obtén tu par de ID y clave secreta de la API.

Red

Función	Puerto predeterminado	Dirección	Protocolo
API	Valores múltiples	Saliente	apikey

Permiso del producto para la versión 6 de la API de CB Live Response

Conceptos necesarios para acceder a las APIs de Carbon Black Cloud:

Nombre de host del servicio
Claves de API
RBAC
Claves de organización

Nombres de host del servicio:

Para la API de CarbonBlack Live Response, se usarán los siguientes nombres de host: https://defense-<environment>.conferdeploy.net

Claves de API

Las APIs y los servicios de Carbon Black Cloud se autentican a través de claves de API. Los usuarios pueden ver la configuración de las claves de API en la consola de Carbon Black Cloud en Configuración > Claves de API.

Las claves de API incluyen dos partes:

Clave secreta de la API (anteriormente, clave de API).
Es el ID de la API (anteriormente, ID del conector).

Cómo obtener una clave secreta de la API y un ID de la API

Accede a tu organización de Carbon Black Cloud.
Navega a Configuración > Claves de API.
Haz clic en "Agregar clave de API".
Configura el nombre, el nivel de acceso, etcétera.
Obtén tu par de ID y clave secreta de la API.

Esto permite que un administrador de la organización defina una clave de API y obtenga acceso a la clave secreta de la API y al ID de la API que se requerirán para autenticar la solicitud a la API. Además, por motivos de seguridad, los administradores pueden restringir el uso de esta clave de API a un conjunto específico de direcciones IP.

Llaves de organización

Además de las claves de API, muchas APIs o servicios de Carbon Black Cloud requieren una org_key en la ruta de la solicitud de API. Esto es para ayudar a los clientes que administran varias organizaciones. Puedes encontrar tu clave de organización en la consola de Carbon Black Cloud en Settings > API Keys.

Configura el acceso a la API para la integración de CB Live Response de Google SecOps

Para configurar el acceso a la API para la integración de CB Live Response de Google SecOps, se deben seguir estos pasos:

Accede a la consola de Carbon Black Cloud y ve a Settings > API Access.
En la página Acceso a la API, ve a Niveles de acceso.
En la página Niveles de acceso, haz clic en + Agregar nivel de acceso.
En la ventana que se abrió, proporciona un nombre y una descripción para el nuevo nivel de acceso, y selecciona los permisos como se muestra en la siguiente captura de pantalla:
Regresa a la pestaña API Access.
Haz clic en + Agregar clave de API para crear una clave de API nueva.
En la pestaña que se abrió, completa el campo obligatorio y selecciona el nivel de acceso que configuraste en el paso 4:
Una vez que hagas clic en Guardar, se mostrarán el ID de API y la clave secreta de la API. Guarda esos valores, ya que los necesitarás para configurar la integración.
Una vez que se guardan el ID de la API y la clave secreta de la API, se completa el acceso a la API de CB Live Response v6.

Configura la integración de Live Response de VMware Carbon Black Endpoint Standard en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	String	N/A	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	N/A	No	Es la descripción de la instancia.
Raíz de la API	String	https://defense-{environment}.conferdeploy.net	Sí	Es la URL raíz del extremo de la API de respuesta en vivo estándar.
Clave de organización	String	N/A	Sí	Es la clave de organización de VMware Carbon Black Cloud.
ID de la API de Carbon Black Cloud	String	N/A	Sí	Es el ID de la API de VMware Carbon Black Cloud (ID de clave de API personalizada que permite leer datos de dispositivos).
Clave secreta de la API de Carbon Black Cloud	String	N/A	Sí	Clave secreta de la API de VMware Carbon Black Cloud (ID de clave de API personalizada que permite leer datos de dispositivos).
ID de la API de Live Response	String	N/A	Sí	Estándar de extremo Es el ID de la API de la clave de la API de Live Response.
Clave secreta de la API de Live Response	Contraseña	N/A	Sí	Es el secreto de la clave de API de Live Response.
Ejecutar de forma remota	Casilla de verificación	Desmarcado	No	Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).
Usa la API de Live Response V6	Casilla de verificación	Desmarcado	No	Si está habilitada, la integración usará la versión 6 de la API de Live Response, que forma parte de las APIs de CB Cloud (Platform).

Acciones

Ping

Descripción

Prueba la conectividad con la respuesta en vivo de VMware Carbon Black Endpoint Standard con los parámetros proporcionados en la página de configuración de la integración en la pestaña de Google Security Operations Marketplace.

Parámetros

N/A

Caso de uso

La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, no se usa en los playbooks.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente, se imprimirá el mensaje "Successfully connected to the VMware Carbon Black Endpoint Standard Live Response service with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime el mensaje "No se pudo conectar al servicio de respuesta en vivo de VMware Carbon Black Endpoint Standard". Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente, se imprimirá el mensaje "Successfully connected to the VMware Carbon Black Endpoint Standard Live Response service with the provided connection parameters!".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad, imprime el mensaje "No se pudo conectar al servicio de respuesta en vivo de VMware Carbon Black Endpoint Standard". Error is {0}".format(exception.stacktrace)

General

Kill Process

Descripción

Finaliza un proceso en un host según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del proceso	String	N/A	No	Es el nombre del proceso para el que se buscará el PID. El nombre del proceso no distingue mayúsculas de minúsculas.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Caso de uso

Finaliza el proceso malicioso en el dispositivo afectado.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

La acción debe devolver un resultado JSON.

La acción debe devolver la información sobre la tarea de proceso de eliminación ejecutada, y esos resultados deben agruparse según las entidades en las que se ejecutó la acción para usarlos más adelante con el compilador de expresiones. Consulta el ejemplo de JSON como referencia.

{
    "entity1":[
  {
    "obj": {
        "name": "kill",
        "object": 2224
    },
    "id": 1,
    "name": "kill",
    "username": null,
    "creation_time": 1602161475,
    "completion_time": 1602161475,
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete"
}]
}

Enumera procesos

Descripción

Enumera los procesos que se ejecutan en el endpoint según la entidad de host o IP de Google SecOps proporcionada.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Nombre del proceso	String	N/A	No	Nombre del proceso que se buscará en el host. El nombre del proceso no distingue mayúsculas de minúsculas.
Cantidad de registros que se devolverán	Número entero	25	No	Cantidad de registros que debe devolver la acción de la entidad.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Casos de uso

Obtén una lista de procesos del host específico para la investigación.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
cb_defense_deviceId	N/A
cb_defense_policy	N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

La acción debe devolver un resultado JSON.

La acción debe devolver la información sobre los procesos del resultado del comando get, y esos resultados deben agruparse según las entidades en las que se ejecutó la acción, para usarlos más adelante con el compilador de expresiones. Consulta el ejemplo de JSON como referencia.

{
    "entity1":[
  {
    "pid": 4,
    "create_time": 132463818889511,
    "path": "SYSTEM",
    "command_line": "",
    "sid": "S-1-5-18",
    "username": "NT AUTHORITY\\SYSTEM",
    "parent": 0,
    "parent_create_time": 0
  }]
}

Descargar archivo

Descripción

Descarga un archivo desde un host que ejecuta VMware CB Cloud Agent basado en la entidad de host o IP de Google SecOps.

Nota: El nombre del archivo se puede proporcionar como una entidad (artefacto) de archivo de SecOps de Google o como un parámetro de entrada de acción. Si el nombre de archivo se pasa a la acción como una entidad y un parámetro de entrada, la acción se ejecutará en el parámetro de entrada. El nombre del archivo no distingue mayúsculas de minúsculas. El nombre de archivo se agregará a la ruta de acceso del directorio local y a la ruta de acceso del directorio remoto para obtener las rutas de acceso de archivo resultantes que acepta la API de CB Cloud. Si la acción se ejecuta en varias entidades de host o IP, para no reemplazar el archivo descargado de varias entidades, se agrega el nombre de host o la dirección IP al nombre del archivo descargado. Por ejemplo, el formato es hostname_filename.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre del archivo que se descargará. El nombre del archivo no distingue mayúsculas de minúsculas.
Ruta de acceso del directorio remoto	String	N/A	Sí	Especifica la ruta de acceso del directorio remoto que debe tomar la acción para descargar el archivo. Ejemplo: C:\\TMP\\
Ruta de acceso del directorio local	String	N/A	Sí	Especifica la ruta de acceso al directorio local en el que la acción debe guardar el archivo. Ejemplo: /tmp/
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Archivo (opcional, si se proporciona)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "file_details": {
        "offset": 0,
        "count": 0,
        "file_id": "55173d88-b4a8-4410-870c-8d3a0acf1cc9"
    },
    "id": 1,
    "name": "get file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "get file",
        "object": "C:\\TMP\\127.0.0.1.txt"
    },
    "create_time": "2021-06-16T11:46:41Z",
    "finish_time": "2021-06-16T11:46:42Z"
}

Enumerar archivos

Descripción

Enumera los archivos en un host que ejecuta el agente de VMware CB Cloud según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Ruta de acceso del directorio remoto	String	N/A	Sí	Especifica la ruta de acceso del directorio de destino que debe mostrar la acción. Ejemplo: C:\\TMP\\ o /tmp/
Cantidad máxima de filas que se devolverán	Número entero	50	No	Especifica cuántas filas debe devolver la acción.
Comenzar desde la fila	Número entero	0	No	Especifica desde qué fila debe comenzar la acción para devolver datos.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "id": 0,
    "name": "directory list",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": ".",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 0,
            "attributes": [
                "DIRECTORY"
            ],
            "filename": "..",
            "alternate_name": "",
            "create_time": "2021-01-27T19:06:19Z",
            "last_access_time": "2021-06-16T07:51:39Z",
            "last_write_time": "2021-06-16T07:51:40Z"
        },
        {
            "size": 341,
            "attributes": [
                "ARCHIVE"
            ],
            "filename": "127.0.0.1.txt",
            "alternate_name": "127001~1.TXT",
            "create_time": "2021-01-27T19:18:44Z",
            "last_access_time": "2021-03-18T12:34:04Z",
            "last_write_time": "2021-01-27T19:03:27Z"
        },

Put File

Descripción

Coloca un archivo en un host que ejecute VMware CB Cloud Agent según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre del archivo que se subirá. El nombre del archivo no distingue mayúsculas de minúsculas.
Ruta de acceso del directorio de origen	String	N/A	Sí	Especifica la ruta de acceso directorio del código fuente que debe tomar la acción para obtener el archivo que se subirá. Ejemplo: /tmp/
Ruta de acceso del directorio de destino	String	N/A	Sí	Especifica la ruta del directorio de destino al que la acción debe subir el archivo. Ejemplo: C:\\TMP\\
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Archivo (opcional, si se proporciona)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "id": 0,
    "name": "put file",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "chunkNumber": 0,
        "file_id": "a3623dc4-a1cc-4d29-8cde-2d36d605b1a5",
        "name": "put file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T07:51:40Z",
    "finish_time": "2021-06-16T07:51:41Z"
}

Ejecutar archivo

Descripción

Ejecuta el archivo en un host que ejecuta el agente de VMware CB Cloud según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre del archivo que se ejecutará. El nombre del archivo no distingue mayúsculas de minúsculas.
Ruta de acceso del directorio remoto	String	N/A	Sí	Especifica la ruta de acceso del directorio remoto para el archivo que se ejecutará. Ejemplo: C:\\TMP\\
Archivo de registro de salida en el host remoto	String	N/A	No	Especifica la acción del archivo de registro de salida en la que se debe guardar la salida redireccionada. Ejemplo: C:\\TMP\\cmdoutput.log
Argumentos de comando para pasar al archivo	String	N/A	No	Especifica los argumentos de comando que se pasarán para ejecutar el archivo. Por ejemplo, aquí especificamos "/C whoami" para ejecutar el comando whoami con cmd: C:\Windows\system32\cmd.exe /C whoami
Espera el resultado	Booleano	Casilla de verificación desmarcada	No	Si se habilita, la acción esperará a que se complete el comando.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Archivo (opcional, si se proporciona)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "process_details": {
        "pid": 0,
        "return_code": -1
    },
    "id": 0,
    "name": "create process",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "wait": false,
        "name": "create process",
        "object": "C:\\Windows\\system32\\cmd.exe /C whoami"
    },
    "create_time": "2021-06-16T12:14:25Z",
    "finish_time": "2021-06-16T12:14:25.690Z"
}

Crea un volcado de memoria

Descripción

Crea un volcado de memoria en un host que ejecuta el agente de CB Cloud de VMware según la entidad de host o IP de SecOps de Google.

Además, ten en cuenta que la API de VMware CB no proporciona un mensaje de error si se proporciona una ruta de directorio remoto no válida para el volcado de memoria creado.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre de archivo para la creación de memdump. El nombre del archivo no distingue mayúsculas de minúsculas.
Ruta de acceso del directorio remoto	String	N/A	Sí	Especifica la ruta de acceso del archivo de directorio para almacenar el volcado de memoria. Ejemplo: C:\\TMP\\
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Archivo (opcional, si se proporciona)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "mem_dump": {
        "compressing": false,
        "complete": true,
        "dumping": false,
        "return_code": 1627,
        "percentdone": 0
    },
    "id": 0,
    "name": "memdump",
    "result_code": 0,
    "result_type": "WinHresult",
    "result_desc": "",
    "status": "complete",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "memdump",
        "object": "C:\\TMP\\cb-session-dump2.dmp"
    },
    "create_time": "2021-06-16T13:06:26Z",
    "finish_time": "+53427-09-21T04:18:52Z"
}

Borrar archivo

Descripción

Borra un archivo de un host que ejecuta VMware CB Cloud Agent según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre del archivo que se borrará. El nombre del archivo no distingue mayúsculas de minúsculas.
Ruta de acceso del directorio remoto	String	N/A	Sí	Especifica la ruta de acceso al directorio remoto del archivo que se borrará. Ejemplo: C:\\TMP\\
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "values": [],
    "id": 0,
    "name": "delete file",
    "result_code": 0,
    "result_desc": "",
    "status": "pending",
    "sub_keys": [],
    "files": [],
    "input": {
        "name": "delete file",
        "object": "C:\\TMP\\test_file.txt"
    },
    "create_time": "2021-06-16T13:43:45Z",
    "finish_time": "2021-06-16T13:43:45.796Z"
}

Enumera archivos en Cloud Storage

Descripción

Enumera los archivos en el almacenamiento de archivos de VMware Carbon Black Cloud para una sesión de respuesta en vivo existente según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Cantidad máxima de filas que se devolverán	Número entero	50	No	Especifica cuántas filas debe devolver la acción.
Comenzar desde la fila	Número entero	0	No	Especifica desde qué fila debe comenzar la acción para devolver datos.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "id": "97200931-cca6-4eed-8952-c47d529de103",
        "size": 32,
        "file_name": "test_file.txt",
        "size_uploaded": 0,
        "upload_url": null
    }
]

Borra un archivo de Cloud Storage

Descripción

Borra un archivo del almacenamiento de archivos de VMware Carbon Black Cloud para una sesión de respuesta en vivo existente según la entidad de host o IP de Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Nombre del archivo	String	N/A	No	Especifica el nombre del archivo que se borrará. El nombre del archivo no distingue mayúsculas de minúsculas.
Verificar si hay sesiones activas X veces	Número entero	20	Sí	Cantidad de intentos que debe realizar la acción para obtener una sesión activa para la entidad. La verificación se realiza cada 2 segundos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host
Archivo (opcional, si se proporciona)

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.