VMware Carbon Black Endpoint Standard Live Response
統合バージョン: 6.0
ユースケース
CB Endpoint Standard エージェントが実行されているホストで、リアルタイムの調査と修復を行います。
Google Security Operations と連携するように VMware Carbon Black Endpoint Standard Live Response を構成する
プロダクトの権限
Carbon Black Live Response 機能は、API キーで認証されます。ユーザーは、Carbon Black Cloud Console の [Settings] > [API Keys] で API キーの設定を確認できます。
サービス ホスト名
Carbon Black Cloud のホスト名は 2 つあります。
https://defense-<environment>.conferdeploy.nethttps://api-<environment>.conferdeploy.net
また、次のような複数の環境があります(すべてを網羅しているわけではありません)。
- prod02
- prod04
- prod05
Carbon Black Live Response API では、次のホスト名が使用されます。
https://defense-about:blank)<environment>.conferdeploy.net
API キー
API キーには次の 2 つの部分があります。
- API シークレット キー(以前は API キー)。
- API ID(以前のコネクタ ID)。
認証は、X-Auth-Token HTTP ヘッダーを介して API に渡されます。
- 適切なヘッダーを生成するには、API シークレット キーと API ID をスラッシュで連結します。
- たとえば、API シークレット キーが ABCD で、API ID が 1234 の場合、対応する X-Auth-Token HTTP ヘッダーは X-Auth-Token: ABCD/1234 になります。
すべての API リクエストは、API シークレット キーと API ID を使用して認証する必要があります。未認証のリクエストは HTTP 401 エラーを返します。
API シークレット キーと API ID を取得する方法
- Carbon Black Cloud 組織にログインします。
- [設定] > [API キー] に移動します。
- [API キーを追加] をクリックします。
- [Access Level] = [Live Response] を選択し、他のパラメータを構成します。
- API 秘密鍵と API ID のペアを取得します。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
CB Live Response v6 API バージョンのプロダクト権限
Carbon Black Cloud APIs にアクセスするために必要な概念:
- サービス ホスト名
- API キー
- RBAC
- 組織キー
サービス ホスト名:
CarbonBlack Live Response API では、次のホスト名が使用されます。
https://defense-<environment>.conferdeploy.net
API キー
Carbon Black Cloud APIs とサービスは、API キーを使用して認証されます。ユーザーは、Carbon Black Cloud Console の [Settings] > [API Keys] で API キーの設定を確認できます。
API キーには次の 2 つの部分があります。
- API シークレット キー(以前は API キー)。
- API ID(以前のコネクタ ID)。
API シークレット キーと API ID を取得する方法
- Carbon Black Cloud 組織にログインします。
- [設定] > [API キー] に移動します。
- [API キーを追加] をクリックします。
- 名前、アクセスレベルなどを構成する
- API 秘密鍵と API ID のペアを取得します。
これにより、組織管理者は API キーを定義し、API リクエストの認証に必要な API シークレット キーと API ID にアクセスできます。また、セキュリティ上の理由から、管理者はこの API キーの使用を特定の IP アドレスのセットに制限できます。
組織キー
API キーに加えて、多くの Carbon Black Cloud API またはサービスでは、API リクエスト パスに org_key が必要です。これは、複数の組織を管理するお客様をサポートするためのものです。org_key は、Carbon Black Cloud Console の [Settings] > [API Keys] で確認できます。
CB Live Response Google SecOps 統合の API アクセスを構成する
CB Live Response Google SecOps 統合の API アクセスを構成するには、次の手順を行う必要があります。
- Carbon Black Cloud Console にログインし、[Settings > API Access] に移動します。
- [API アクセス] ページで、[アクセスレベル] に移動します。
- [アクセスレベル] ページで、[+ アクセスレベルを追加] をクリックします。
開いたウィンドウで、新しいアクセスレベルの名前と説明を入力し、次のスクリーンショットのように権限を選択します。
[API アクセス] タブに戻ります。
[+ Add API Key] をクリックして、新しい API キーを作成します。
開いたタブで必須フィールドを入力し、ステップ 4 で構成したアクセスレベルを選択します。
[保存] をクリックすると、API ID と API シークレット キーが表示されます。これらの値は、統合を構成する際に必要になるため、保存してください。
API ID と API シークレット キーを保存すると、CB Live Response v6 API の API アクセスが完了します。
Google SecOps で VMware Carbon Black Endpoint Standard Live Response の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://defense-{environment}.conferdeploy.net | はい | Endpoint Standard Live Response API のルート URL。 |
| 組織キー | 文字列 | なし | はい | VMware Carbon Black Cloud 組織キー。 |
| Carbon Black Cloud API ID | 文字列 | なし | はい | Vmware Carbon Black Cloud API ID(デバイスデータの読み取りを許可するカスタム API キー ID)。 |
| Carbon Black Cloud API 秘密鍵 | 文字列 | なし | はい | Vmware Carbon Black Cloud API 秘密鍵(デバイスデータの読み取りを許可するカスタム API キー ID)。 |
| Live Response API ID | 文字列 | なし | はい | Endpoint Standard Live Response API キー API ID。 |
| Live Response API のシークレット キー | パスワード | なし | はい | Live Response API キー API シークレット キー。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
| Live Response V6 API を使用する | チェックボックス | オフ | いいえ | 有効にすると、統合では CB Cloud(プラットフォーム)API の一部である Live Response API バージョン 6 が使用されます。 |
アクション
Ping
説明
Google Security Operations の [Marketplace] タブの統合構成ページで提供されるパラメータを使用して、VMware Carbon Black Endpoint Standard Live Response への接続をテストします。
パラメータ
なし
ユースケース
このアクションは、Google Security Operations Marketplace タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 | ||
|---|---|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
プロセスを終了
説明
Google SecOps のホストまたは IP エンティティに基づいて、ホスト上のプロセスを強制終了します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロセス名 | 文字列 | なし | いいえ | PID を検索するプロセス名。プロセス名では大文字と小文字が区別されません。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
ユースケース
影響を受けるデバイスで悪意のあるプロセスを強制終了します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションは JSON 結果を返します。
アクションは、実行された kill プロセス タスクに関する情報を返し、その結果は、アクションが実行されたエンティティごとにグループ化され、後で式ビルダーで使用されます。参考として JSON の例をご覧ください。
{
"entity1":[
{
"obj": {
"name": "kill",
"object": 2224
},
"id": 1,
"name": "kill",
"username": null,
"creation_time": 1602161475,
"completion_time": 1602161475,
"result_code": 0,
"result_type": "WinHresult",
"result_desc": "",
"status": "complete"
}]
}
プロセスのリスト取得
説明
指定された Google SecOps のホストまたは IP エンティティに基づいて、エンドポイントで実行されているプロセスを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロセス名 | 文字列 | なし | いいえ | ホストで検索するプロセス名。プロセス名では大文字と小文字が区別されません。 |
| 返されるレコード数 | Integer | 25 | いいえ | エンティティ アクションごとに返すレコード数。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
ユースケース
調査のために特定のホストからプロセス リストを取得します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| cb_defense_deviceId | なし |
| cb_defense_policy | なし |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションは JSON 結果を返します。
アクションは、get コマンドの結果からプロセスに関する情報を返し、その結果はアクションが実行されたエンティティごとにグループ化され、後で式ビルダーで使用されます。参考として JSON の例をご覧ください。
{
"entity1":[
{
"pid": 4,
"create_time": 132463818889511,
"path": "SYSTEM",
"command_line": "",
"sid": "S-1-5-18",
"username": "NT AUTHORITY\\SYSTEM",
"parent": 0,
"parent_create_time": 0
}]
}
ファイルをダウンロード
説明
Google SecOps ホストまたは IP エンティティに基づいて VMware CB Cloud Agent を実行しているホストからファイルをダウンロードします。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | ダウンロードするファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| リモート ディレクトリ パス | 文字列 | なし | はい | ファイルをダウンロードするためにアクションが実行するリモート ディレクトリ パスを指定します。例: C:\\TMP\\ |
| ローカル ディレクトリ パス | 文字列 | なし | はい | アクションでファイルを保存するローカル ディレクトリ パスを指定します。例: /tmp/ |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ファイル(提供されている場合、省略可)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"file_details": {
"offset": 0,
"count": 0,
"file_id": "55173d88-b4a8-4410-870c-8d3a0acf1cc9"
},
"id": 1,
"name": "get file",
"result_code": 0,
"result_type": "WinHresult",
"result_desc": "",
"status": "complete",
"sub_keys": [],
"files": [],
"input": {
"name": "get file",
"object": "C:\\TMP\\127.0.0.1.txt"
},
"create_time": "2021-06-16T11:46:41Z",
"finish_time": "2021-06-16T11:46:42Z"
}
ファイルの一覧表示
説明
Google SecOps ホストまたは IP エンティティに基づいて、VMware CB Cloud Agent を実行しているホスト上のファイルを一覧表示します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リモート ディレクトリ パス | 文字列 | なし | はい | アクションで一覧表示するターゲット ディレクトリのパスを指定します。例: C:\\TMP\\ または /tmp/ |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行数を指定します。 |
| 開始行 | Integer | 0 | いいえ | どの行からデータの返信を開始するかを指定します。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"id": 0,
"name": "directory list",
"result_code": 0,
"result_type": "WinHresult",
"result_desc": "",
"status": "complete",
"sub_keys": [],
"files": [
{
"size": 0,
"attributes": [
"DIRECTORY"
],
"filename": ".",
"alternate_name": "",
"create_time": "2021-01-27T19:06:19Z",
"last_access_time": "2021-06-16T07:51:39Z",
"last_write_time": "2021-06-16T07:51:40Z"
},
{
"size": 0,
"attributes": [
"DIRECTORY"
],
"filename": "..",
"alternate_name": "",
"create_time": "2021-01-27T19:06:19Z",
"last_access_time": "2021-06-16T07:51:39Z",
"last_write_time": "2021-06-16T07:51:40Z"
},
{
"size": 341,
"attributes": [
"ARCHIVE"
],
"filename": "127.0.0.1.txt",
"alternate_name": "127001~1.TXT",
"create_time": "2021-01-27T19:18:44Z",
"last_access_time": "2021-03-18T12:34:04Z",
"last_write_time": "2021-01-27T19:03:27Z"
},
ファイルのアップロード
説明
Google SecOps ホストまたは IP エンティティに基づいて、VMware CB Cloud Agent を実行しているホストにファイルを配置します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | アップロードするファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| ソース ディレクトリのパス | 文字列 | なし | はい | アップロードするファイルを取得するためにアクションが使用するソース ディレクトリのパスを指定します。例: /tmp/ |
| 宛先ディレクトリのパス | 文字列 | なし | はい | アクションでファイルをアップロードするターゲット ディレクトリ パスを指定します。例: C:\\TMP\\ |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ファイル(提供されている場合、省略可)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"id": 0,
"name": "put file",
"result_code": 0,
"result_type": "WinHresult",
"result_desc": "",
"status": "complete",
"sub_keys": [],
"files": [],
"input": {
"chunkNumber": 0,
"file_id": "a3623dc4-a1cc-4d29-8cde-2d36d605b1a5",
"name": "put file",
"object": "C:\\TMP\\test_file.txt"
},
"create_time": "2021-06-16T07:51:40Z",
"finish_time": "2021-06-16T07:51:41Z"
}
Execute File
説明
Google SecOps ホストまたは IP エンティティに基づいて、VMware CB Cloud Agent を実行しているホストでファイルを実行します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | 実行するファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| リモート ディレクトリ パス | 文字列 | なし | はい | 実行するファイルのリモート ディレクトリ パスを指定します。例: C:\\TMP\\ |
| リモートホストの出力ログファイル | 文字列 | なし | いいえ | リダイレクトされた出力を保存する出力ログファイルを指定します。例: C:\\TMP\\cmdoutput.log |
| ファイルに渡すコマンド引数 | 文字列 | なし | いいえ | ファイルの実行時に渡すコマンド引数を指定します。 たとえば、ここでは「/C whoami」を指定して、cmd で whoami コマンドを実行しています。C:\Windows\system32\cmd.exe /C whoami |
| 結果を待つ | ブール値 | チェックボックスがオフ | いいえ | 有効にすると、アクションはコマンドが完了するまで待機します。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ファイル(提供されている場合、省略可)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"process_details": {
"pid": 0,
"return_code": -1
},
"id": 0,
"name": "create process",
"result_code": 0,
"result_desc": "",
"status": "pending",
"sub_keys": [],
"files": [],
"input": {
"wait": false,
"name": "create process",
"object": "C:\\Windows\\system32\\cmd.exe /C whoami"
},
"create_time": "2021-06-16T12:14:25Z",
"finish_time": "2021-06-16T12:14:25.690Z"
}
Memdump を作成する
説明
Google SecOps ホストまたは IP エンティティに基づいて、VMware CB Cloud Agent を実行しているホストで memdump を作成します。
また、作成されたメモリダンプに無効なリモート ディレクトリ パスが指定された場合、VMware CB API はエラー メッセージを提供しません。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | memdump の作成に使用するファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| リモート ディレクトリ パス | 文字列 | なし | はい | memdump を保存するディレクトリのファイルパスを指定します。例: C:\\TMP\\ |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ファイル(提供されている場合、省略可)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"mem_dump": {
"compressing": false,
"complete": true,
"dumping": false,
"return_code": 1627,
"percentdone": 0
},
"id": 0,
"name": "memdump",
"result_code": 0,
"result_type": "WinHresult",
"result_desc": "",
"status": "complete",
"sub_keys": [],
"files": [],
"input": {
"name": "memdump",
"object": "C:\\TMP\\cb-session-dump2.dmp"
},
"create_time": "2021-06-16T13:06:26Z",
"finish_time": "+53427-09-21T04:18:52Z"
}
ファイルを削除
説明
Google SecOps ホストまたは IP エンティティに基づいて、VMware CB Cloud Agent を実行しているホストからファイルを削除します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | 削除するファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| リモート ディレクトリ パス | 文字列 | なし | はい | 削除するファイルのリモート ディレクトリ パスを指定します。例: C:\\TMP\\ |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"values": [],
"id": 0,
"name": "delete file",
"result_code": 0,
"result_desc": "",
"status": "pending",
"sub_keys": [],
"files": [],
"input": {
"name": "delete file",
"object": "C:\\TMP\\test_file.txt"
},
"create_time": "2021-06-16T13:43:45Z",
"finish_time": "2021-06-16T13:43:45.796Z"
}
Cloud Storage のファイルを一覧表示する
説明
Google SecOps のホストまたは IP エンティティに基づいて、既存のライブ レスポンス セッションの VMware Carbon Black Cloud ファイル ストレージ内のファイルを一覧表示します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行数を指定します。 |
| 開始行 | Integer | 0 | いいえ | どの行からデータの返信を開始するかを指定します。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"id": "97200931-cca6-4eed-8952-c47d529de103",
"size": 32,
"file_name": "test_file.txt",
"size_uploaded": 0,
"upload_url": null
}
]
Cloud Storage からファイルを削除する
説明
Google SecOps ホストまたは IP エンティティに基づいて、既存のライブ レスポンス セッションの VMware Carbon Black Cloud ファイル ストレージからファイルを削除します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | 削除するファイル名を指定します。ファイル名では大文字と小文字は区別されません。 |
| アクティブなセッションを x 回確認する | Integer | 20 | はい | エンティティのアクティブなセッションを取得するためにアクションが試行する回数。チェックは 2 秒ごとに行われます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ファイル(提供されている場合、省略可)
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。