Carbon Black Protection
Versione integrazione: 7.0
Configura VMware Carbon Black App Control (App Control) per funzionare con Google Security Operations
Chiave API
Per trovare una chiave API corrispondente a un determinato account utente VMware Carbon Black App Control (App Control), completa i seguenti passaggi:
- Accedi alla console come amministratore.
- Seleziona Amministrazione > Account di accesso.
- Trova l'utente nell'elenco, quindi fai clic sul pulsante Modifica a sinistra della riga contenente il suo nome utente.
Rete
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Configura l'integrazione di Carbon Black Protection in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Radice API | Stringa | https://x.x.x.x | Sì | L'indirizzo dell'istanza di VMware Carbon Black App Control (App Control). |
| Chiave API | Stringa | N/D | Sì | Chiave API generata nella console di VMware Carbon Black App Control (App Control). |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Analizza file
Descrizione
Analizza un file.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome connettore | Stringa | N/D | Sì | Il nome del connettore di analisi. Esempio: Palo Alto Networks |
| Priorità | Stringa | N/D | Sì | La priorità dell'analisi (-2 a 2). |
| Timeout | Stringa | N/D | Sì | Timeout di attesa. Esempio: 120 |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
L'entità viene contrassegnata come sospetta se CB Protection rileva un file MSI a cui sono stati aggiunti dati dopo la firma.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| computerId | Restituisce se esiste nel risultato JSON |
| connectorId | Restituisce se esiste nel risultato JSON |
| analysisStatus | Restituisce se esiste nel risultato JSON |
| dateCreated | Restituisce se esiste nel risultato JSON |
| priorità | Restituisce se esiste nel risultato JSON |
| createdByUserId | Restituisce se esiste nel risultato JSON |
| is_malicious | Restituisce se esiste nel risultato JSON |
| pathName | Restituisce se esiste nel risultato JSON |
| fileCatalogId | Restituisce se esiste nel risultato JSON |
| createdBy | Restituisce se esiste nel risultato JSON |
| analysisResult | Restituisce se esiste nel risultato JSON |
| dateModified | Restituisce se esiste nel risultato JSON |
| fileName | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| analysisTarget | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash del blocco
Descrizione
Blocca un hash in base a criteri specifici o a livello globale.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi delle policy | Stringa | N/D | No | Esempio: policy predefinita, policy di approvazione locale |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Modifica criterio computer
Descrizione
Spostare un computer in un nuovo criterio.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome del criterio | Stringa | N/D | Sì | Il nuovo nome del criterio. Esempio: norme predefinite |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Trova file
Descrizione
Trovare un'istanza di file su più computer.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| eseguito | Restituisce se esiste nel risultato JSON |
| fileName | Restituisce se esiste nel risultato JSON |
| computerId | Restituisce se esiste nel risultato JSON |
| unifiedSource | Restituisce se esiste nel risultato JSON |
| policyId | Restituisce se esiste nel risultato JSON |
| detailedLocalState | Restituisce se esiste nel risultato JSON |
| dateCreated | Restituisce se esiste nel risultato JSON |
| topLevel | Restituisce se esiste nel risultato JSON |
| certificateId | Restituisce se esiste nel risultato JSON |
| pathName | Restituisce se esiste nel risultato JSON |
| localState | Restituisce se esiste nel risultato JSON |
| inizializzato | Restituisce se esiste nel risultato JSON |
| detachedCertificateId | Restituisce se esiste nel risultato JSON |
| detachedPublisherId | Restituisce se esiste nel risultato JSON |
| fileInstanceGroupId | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| fileCatalogId | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
Ottieni Computer per file
Descrizione
Recupera i computer su cui esiste un file con il valore SHA-256 specificato.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Ottieni informazioni sul sistema
Descrizione
Ricevere informazioni su un computer.
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| macAddress | Restituisce se esiste nel risultato JSON |
| systemMemoryDumps | Restituisce se esiste nel risultato JSON |
| policyStatusDetails | Restituisce se esiste nel risultato JSON |
| con priorità | Restituisce se esiste nel risultato JSON |
| platformId | Restituisce se esiste nel risultato JSON |
| upgradeErrorTime | Restituisce se esiste nel risultato JSON |
| tdCount | Restituisce se esiste nel risultato JSON |
| hasDuplicates | Restituisce se esiste nel risultato JSON |
| disconnectedEnforcementLevel | Restituisce se esiste nel risultato JSON |
| hasHealthCheckErrors | Restituisce se esiste nel risultato JSON |
| syncPercent | Restituisce se esiste nel risultato JSON |
| agentVersion | Restituisce se esiste nel risultato JSON |
| activeDebugLevel | Restituisce se esiste nel risultato JSON |
| templateCloneCleanupMode | Restituisce se esiste nel risultato JSON |
| processorCount | Restituisce se esiste nel risultato JSON |
| kernelDebugLevel | Restituisce se esiste nel risultato JSON |
| refreshFlags | Restituisce se esiste nel risultato JSON |
| activeKernelDebugLevel | Restituisce se esiste nel risultato JSON |
| utenti | Restituisce se esiste nel risultato JSON |
| policyName | Restituisce se esiste nel risultato JSON |
| enforcementLevel | Restituisce se esiste nel risultato JSON |
| templateDate | Restituisce se esiste nel risultato JSON |
| previousPolicyId | Restituisce se esiste nel risultato JSON |
| memorySize | Restituisce se esiste nel risultato JSON |
| machineModel | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| policyStatus | Restituisce se esiste nel risultato JSON |
| processorSpeed | Restituisce se esiste nel risultato JSON |
| ccFlags | Restituisce se esiste nel risultato JSON |
| modello | Restituisce se esiste nel risultato JSON |
| in fase di inizializzazione | Restituisce se esiste nel risultato JSON |
| initPercent | Restituisce se esiste nel risultato JSON |
| disinstallata | Restituisce se esiste nel risultato JSON |
| computerTag | Restituisce se esiste nel risultato JSON |
| templateComputerId | Restituisce se esiste nel risultato JSON |
| initPercent | Restituisce se esiste nel risultato JSON |
| disinstallata | Restituisce se esiste nel risultato JSON |
| computerTag | Restituisce se esiste nel risultato JSON |
| templateComputerId | Restituisce se esiste nel risultato JSON |
| daysOffline | Restituisce se esiste nel risultato JSON |
| upgradeError | Restituisce se esiste nel risultato JSON |
| automaticPolicy | Restituisce se esiste nel risultato JSON |
| descrizione | Restituisce se esiste nel risultato JSON |
| osShortName | Restituisce se esiste nel risultato JSON |
| eliminato | Restituisce se esiste nel risultato JSON |
| localApproval | Restituisce se esiste nel risultato JSON |
| tamperProtectionActive | Restituisce se esiste nel risultato JSON |
| lastPollDate | Restituisce se esiste nel risultato JSON |
| activeDebugFlags | Restituisce se esiste nel risultato JSON |
| CLIPassword | Restituisce se esiste nel risultato JSON |
| dateCreated | Restituisce se esiste nel risultato JSON |
| virtualPlatform | Restituisce se esiste nel risultato JSON |
| connessa | Restituisce se esiste nel risultato JSON |
| supportedKernel | Restituisce se esiste nel risultato JSON |
| debugLevel | Restituisce se esiste nel risultato JSON |
| cbSensorVersion | Restituisce se esiste nel risultato JSON |
| upgradeStatus | Restituisce se esiste nel risultato JSON |
| upgradeErrorCount | Restituisce se esiste nel risultato JSON |
| upgradeErrorCount | Restituisce se esiste nel risultato JSON |
| isActive | Restituisce se esiste nel risultato JSON |
| debugFlags | Restituisce se esiste nel risultato JSON |
| agentMemoryDumps | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
| lastRegisterDate | Restituisce se esiste nel risultato JSON |
| ipAddress | Restituisce se esiste nel risultato JSON |
| cbSensorId | Restituisce se esiste nel risultato JSON |
| SCEPStatus | Restituisce se esiste nel risultato JSON |
| agentCacheSize | Restituisce se esiste nel risultato JSON |
| cbSensorFlags | Restituisce se esiste nel risultato JSON |
| clVersion | Restituisce se esiste nel risultato JSON |
| osName | Restituisce se esiste nel risultato JSON |
| templateCloneCleanupTimeScale | Restituisce se esiste nel risultato JSON |
| policyId | Restituisce se esiste nel risultato JSON |
| forceUpgrade | Restituisce se esiste nel risultato JSON |
| templateTrackModsOnly | Restituisce se esiste nel risultato JSON |
| templateCloneCleanupTime | Restituisce se esiste nel risultato JSON |
| agentQueueSize | Restituisce se esiste nel risultato JSON |
| virtualizzato | Restituisce se esiste nel risultato JSON |
| ccLevel | Restituisce se esiste nel risultato JSON |
| debugDuration | Restituisce se esiste nel risultato JSON |
| processorModel | Restituisce se esiste nel risultato JSON |
| syncFlags | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Unblock Hash
Descrizione
Sbloccare un hash in base a norme specifiche o a livello globale.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi delle policy | Stringa | N/D | No | Separati da virgole. Esempio: policy predefinita, policy di approvazione locale |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.