Protección de Carbon Black
Versión de la integración: 7.0
Configura VMware Carbon Black App Control (App Control) para que funcione con Google Security Operations
Clave de API
Para encontrar una clave de API que corresponda a una cuenta de usuario específica de VMware Carbon Black App Control (App Control), completa los siguientes pasos:
- Accede a la consola como administrador.
- Selecciona Administración > Cuentas de acceso.
- Busca al usuario en la lista y, luego, haz clic en el botón Editar que se encuentra a la izquierda de la fila que contiene su nombre de usuario.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Configura la integración de Carbon Black Protection en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://x.x.x.x | Sí | Es la dirección de la instancia de VMware Carbon Black App Control (App Control). |
| Clave de API | String | N/A | Sí | Clave de API generada en la consola de VMware Carbon Black App Control (App Control). |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Analizar archivo
Descripción
Analiza un archivo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del conector | String | N/A | Sí | Es el nombre del conector de análisis. Ejemplo: Palo Alto Networks |
| Prioridad | String | N/A | Sí | Es la prioridad del análisis (de -2 a 2). |
| Tiempo de espera | String | N/A | Sí | Se agotó el tiempo de espera. Ejemplo: 120 |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
La entidad se marca como sospechosa si CB Protection detecta un archivo MSI que tiene datos agregados después de la firma.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| computerId | Devuelve si existe en el resultado JSON. |
| connectorId | Devuelve si existe en el resultado JSON. |
| analysisStatus | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| priority | Devuelve si existe en el resultado JSON. |
| createdByUserId | Devuelve si existe en el resultado JSON. |
| is_malicious | Devuelve si existe en el resultado JSON. |
| pathName | Devuelve si existe en el resultado JSON. |
| fileCatalogId | Devuelve si existe en el resultado JSON. |
| createdBy | Devuelve si existe en el resultado JSON. |
| analysisResult | Devuelve si existe en el resultado JSON. |
| dateModified | Devuelve si existe en el resultado JSON. |
| fileName | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| analysisTarget | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash de bloque
Descripción
Bloquear un hash en políticas específicas o de forma global
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de políticas | String | N/A | No | Ejemplo: Política predeterminada, Política de aprobación local |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Cambiar la política de la computadora
Descripción
Mover una computadora a una política nueva
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la política | String | N/A | Sí | Es el nombre de la política nueva. Ejemplo: Política predeterminada |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Buscar archivo
Descripción
Encontrar una instancia de archivo en varias computadoras
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| ejecutado | Devuelve si existe en el resultado JSON. |
| fileName | Devuelve si existe en el resultado JSON. |
| computerId | Devuelve si existe en el resultado JSON. |
| unifiedSource | Devuelve si existe en el resultado JSON. |
| policyId | Devuelve si existe en el resultado JSON. |
| detailedLocalState | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| topLevel | Devuelve si existe en el resultado JSON. |
| certificateId | Devuelve si existe en el resultado JSON. |
| pathName | Devuelve si existe en el resultado JSON. |
| localState | Devuelve si existe en el resultado JSON. |
| inicializado | Devuelve si existe en el resultado JSON. |
| detachedCertificateId | Devuelve si existe en el resultado JSON. |
| detachedPublisherId | Devuelve si existe en el resultado JSON. |
| fileInstanceGroupId | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fileCatalogId | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
Obtener computadoras por archivo
Descripción
Obtiene las computadoras en las que existe un archivo con el valor SHA-256 determinado.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Obtén información del sistema
Descripción
Obtiene información sobre una computadora.
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| macAddress | Devuelve si existe en el resultado JSON. |
| systemMemoryDumps | Devuelve si existe en el resultado JSON. |
| policyStatusDetails | Devuelve si existe en el resultado JSON. |
| priorizada | Devuelve si existe en el resultado JSON. |
| platformId | Devuelve si existe en el resultado JSON. |
| upgradeErrorTime | Devuelve si existe en el resultado JSON. |
| tdCount | Devuelve si existe en el resultado JSON. |
| hasDuplicates | Devuelve si existe en el resultado JSON. |
| disconnectedEnforcementLevel | Devuelve si existe en el resultado JSON. |
| hasHealthCheckErrors | Devuelve si existe en el resultado JSON. |
| syncPercent | Devuelve si existe en el resultado JSON. |
| agentVersion | Devuelve si existe en el resultado JSON. |
| activeDebugLevel | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupMode | Devuelve si existe en el resultado JSON. |
| processorCount | Devuelve si existe en el resultado JSON. |
| kernelDebugLevel | Devuelve si existe en el resultado JSON. |
| refreshFlags | Devuelve si existe en el resultado JSON. |
| activeKernelDebugLevel | Devuelve si existe en el resultado JSON. |
| usuarios | Devuelve si existe en el resultado JSON. |
| policyName | Devuelve si existe en el resultado JSON. |
| enforcementLevel | Devuelve si existe en el resultado JSON. |
| templateDate | Devuelve si existe en el resultado JSON. |
| previousPolicyId | Devuelve si existe en el resultado JSON. |
| memorySize | Devuelve si existe en el resultado JSON. |
| machineModel | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| policyStatus | Devuelve si existe en el resultado JSON. |
| processorSpeed | Devuelve si existe en el resultado JSON. |
| ccFlags | Devuelve si existe en el resultado JSON. |
| plantilla | Devuelve si existe en el resultado JSON. |
| se está inicializando | Devuelve si existe en el resultado JSON. |
| initPercent | Devuelve si existe en el resultado JSON. |
| Desinstalada | Devuelve si existe en el resultado JSON. |
| computerTag | Devuelve si existe en el resultado JSON. |
| templateComputerId | Devuelve si existe en el resultado JSON. |
| initPercent | Devuelve si existe en el resultado JSON. |
| Desinstalada | Devuelve si existe en el resultado JSON. |
| computerTag | Devuelve si existe en el resultado JSON. |
| templateComputerId | Devuelve si existe en el resultado JSON. |
| daysOffline | Devuelve si existe en el resultado JSON. |
| upgradeError | Devuelve si existe en el resultado JSON. |
| automaticPolicy | Devuelve si existe en el resultado JSON. |
| descripción | Devuelve si existe en el resultado JSON. |
| osShortName | Devuelve si existe en el resultado JSON. |
| borrados | Devuelve si existe en el resultado JSON. |
| localApproval | Devuelve si existe en el resultado JSON. |
| tamperProtectionActive | Devuelve si existe en el resultado JSON. |
| lastPollDate | Devuelve si existe en el resultado JSON. |
| activeDebugFlags | Devuelve si existe en el resultado JSON. |
| CLIPassword | Devuelve si existe en el resultado JSON. |
| dateCreated | Devuelve si existe en el resultado JSON. |
| virtualPlatform | Devuelve si existe en el resultado JSON. |
| conectado | Devuelve si existe en el resultado JSON. |
| supportedKernel | Devuelve si existe en el resultado JSON. |
| debugLevel | Devuelve si existe en el resultado JSON. |
| cbSensorVersion | Devuelve si existe en el resultado JSON. |
| upgradeStatus | Devuelve si existe en el resultado JSON. |
| upgradeErrorCount | Devuelve si existe en el resultado JSON. |
| upgradeErrorCount | Devuelve si existe en el resultado JSON. |
| Está activo | Devuelve si existe en el resultado JSON. |
| debugFlags | Devuelve si existe en el resultado JSON. |
| agentMemoryDumps | Devuelve si existe en el resultado JSON. |
| nombre | Devuelve si existe en el resultado JSON. |
| lastRegisterDate | Devuelve si existe en el resultado JSON. |
| ipAddress | Devuelve si existe en el resultado JSON. |
| cbSensorId | Devuelve si existe en el resultado JSON. |
| SCEPStatus | Devuelve si existe en el resultado JSON. |
| agentCacheSize | Devuelve si existe en el resultado JSON. |
| cbSensorFlags | Devuelve si existe en el resultado JSON. |
| clVersion | Devuelve si existe en el resultado JSON. |
| osName | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupTimeScale | Devuelve si existe en el resultado JSON. |
| policyId | Devuelve si existe en el resultado JSON. |
| forceUpgrade | Devuelve si existe en el resultado JSON. |
| templateTrackModsOnly | Devuelve si existe en el resultado JSON. |
| templateCloneCleanupTime | Devuelve si existe en el resultado JSON. |
| agentQueueSize | Devuelve si existe en el resultado JSON. |
| virtualizado | Devuelve si existe en el resultado JSON. |
| ccLevel | Devuelve si existe en el resultado JSON. |
| debugDuration | Devuelve si existe en el resultado JSON. |
| processorModel | Devuelve si existe en el resultado JSON. |
| syncFlags | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Hash de desbloqueo
Descripción
Desbloquea un hash en políticas específicas o a nivel global.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de políticas | String | N/A | No | Separados por comas. Ejemplo: Política predeterminada, Política de aprobación local |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.