Carbon Black Protection
Versão da integração: 7.0
Configure o VMware Carbon Black App Control (App Control) para funcionar com o Google Security Operations
Chave de API
Para encontrar uma chave da API correspondente a uma conta de utilizador específica do VMware Carbon Black App Control (App Control), conclua os seguintes passos:
- Inicie sessão na consola como administrador.
- Selecione Administração > Contas de início de sessão.
- Encontre o utilizador na lista e, de seguida, clique no botão Editar no lado esquerdo da linha que contém o respetivo nome de utilizador.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Configure a integração do Carbon Black Protection no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://x.x.x.x | Sim | O endereço da instância do VMware Carbon Black App Control (App Control). |
| Chave de API | String | N/A | Sim | Chave da API gerada na consola do VMware Carbon Black App Control (App Control). |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Analise o ficheiro
Descrição
Analise um ficheiro.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do conector | String | N/A | Sim | O nome do conetor de análise. Exemplo: Palo Alto Networks |
| Prioridade | String | N/A | Sim | A prioridade da análise (-2 a 2). |
| Tempo limite | String | N/A | Sim | Tempo limite de espera. Exemplo: 120 |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
A entidade é marcada como suspeita se a proteção contra roubo de identidade detetar um ficheiro MSI com dados anexados após a assinatura.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| computerId | Devolve se existir no resultado JSON |
| connectorId | Devolve se existir no resultado JSON |
| analysisStatus | Devolve se existir no resultado JSON |
| dateCreated | Devolve se existir no resultado JSON |
| prioridade | Devolve se existir no resultado JSON |
| createdByUserId | Devolve se existir no resultado JSON |
| is_malicious | Devolve se existir no resultado JSON |
| pathName | Devolve se existir no resultado JSON |
| fileCatalogId | Devolve se existir no resultado JSON |
| createdBy | Devolve se existir no resultado JSON |
| analysisResult | Devolve se existir no resultado JSON |
| dateModified | Devolve se existir no resultado JSON |
| fileName | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| analysisTarget | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"EntityResult":
{
"computerId": 1,
"connectorId": 2,
"analysisStatus": 0,
"dateCreated": "2019-01-17T09:17:41.663Z",
"priority": 0,
"createdByUserId": 0,
"is_malicious": "True",
"pathName": "c:\\\\\\\\windows\\\\\\\\winsxs\\\\\\\\trojan.conf",
"fileCatalogId": 23718,
"createdBy": "admin",
"analysisResult": 0,
"dateModified": "2019-01-17T09:30:28.053Z",
"fileName": "iexpress.exe",
"id": 17,
"analysisTarget": ""
},
"Entity": "FSFSD213CGJK3423423FCFS33dFSV123"
}]
Hash do bloco
Descrição
Bloquear um hash em políticas específicas ou a nível global.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das políticas | String | N/A | Não | Exemplo: política predefinida, política de aprovação local |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Alterar política do computador
Descrição
Mova um computador para uma nova política.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | O nome da nova política. Exemplo: política predefinida |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Encontre ficheiros
Descrição
Encontrar uma instância de um ficheiro em vários computadores.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| executado | Devolve se existir no resultado JSON |
| fileName | Devolve se existir no resultado JSON |
| computerId | Devolve se existir no resultado JSON |
| unifiedSource | Devolve se existir no resultado JSON |
| policyId | Devolve se existir no resultado JSON |
| detailedLocalState | Devolve se existir no resultado JSON |
| dateCreated | Devolve se existir no resultado JSON |
| topLevel | Devolve se existir no resultado JSON |
| certificateId | Devolve se existir no resultado JSON |
| pathName | Devolve se existir no resultado JSON |
| localState | Devolve se existir no resultado JSON |
| inicializada | Devolve se existir no resultado JSON |
| detachedCertificateId | Devolve se existir no resultado JSON |
| detachedPublisherId | Devolve se existir no resultado JSON |
| fileInstanceGroupId | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| fileCatalogId | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"executed": "true",
"fileName": "iexpress.exe",
"computerId": 1,
"unifiedSource": "null",
"policyId": 1,
"detailedLocalState": 3,
"dateCreated": "2018-05-29T10:09:27Z",
"topLevel": "false",
"certificateId": 0,
"pathName": "c:\\\\\\\\windows\\\\\\\\syswow64",
"localState": 3,
"initialized": "true",
"detachedCertificateId": 33,
"detachedPublisherId": 8,
"fileInstanceGroupId": 1,
"id": 37372,
"fileCatalogId": 23718
}]
Obtenha computadores por ficheiro
Descrição
Obtenha os computadores nos quais existe um ficheiro com o valor SHA-256 indicado.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": "00:50:56:11:22:33",
"Entity": "macAddress"
}, {
"EntityResult": 0,
"Entity": "systemMemoryDumps"
}, {
"EntityResult": "Agent did not receive all the rules yet",
"Entity": "policyStatusDetails"
}, {
"EntityResult": "False",
"Entity": "prioritized"
}, {
"EntityResult": 1,
"Entity": "platformId"
}, {
"EntityResult": "None",
"Entity": "upgradeErrorTime"
}, {
"EntityResult": 0,
"Entity": "tdCount"
}, {
"EntityResult": "False",
"Entity": "hasDuplicates"
}, {
"EntityResult": 60,
"Entity": "disconnectedEnforcementLevel"
}, {
"EntityResult": "False",
"Entity": "hasHealthCheckErrors"
}, {
"EntityResult": 100,
"Entity": "syncPercent"
}, {
"EntityResult": 0,
"Entity": "agentQueueSize"
}, {
"EntityResult": "1.1.1.1",
"Entity": "agentVersion"
}, {
"EntityResult": 0,
"Entity": "activeDebugLevel"
}, {
"EntityResult": "True",
"Entity": "tamperProtectionActive"
}, {
"EntityResult": 0,
"Entity": "refreshFlags"
}, {
"EntityResult": 0,
"Entity": "cbSensorFlags"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupMode"
}, {
"EntityResult": 2,
"Entity": "activeKernelDebugLevel"
}, {
"EntityResult": "None",
"Entity": "description"
}, {
"EntityResult": "Default Policy",
"Entity": "policyName"
}, {
"EntityResult": 60,
"Entity": "enforcementLevel"
}, {
"EntityResult": "None",
"Entity": "templateDate"
}, {
"EntityResult": 6,
"Entity": "previousPolicyId"
}, {
"EntityResult": 8192,
"Entity": "memorySize"
}, {
"EntityResult": 1212,
"Entity": "clVersion"
}, {
"EntityResult": 1,
"Entity": "id"
}, {
"EntityResult": "Approvals out of date",
"Entity": "policyStatus"
}, {
"EntityResult": 2200.0,
"Entity": "processorSpeed"
}, {
"EntityResult": 0,
"Entity": "ccFlags"
}, {
"EntityResult": "False",
"Entity": "template"
}, {
"EntityResult": "False",
"Entity": "initializing"
}, {
"EntityResult": "False",
"Entity": "uninstalled"
}, {
"EntityResult": 0,
"Entity": "upgradeErrorCount"
}, {
"EntityResult": 0,
"Entity": "templateComputerId"
}, {
"EntityResult": 55,
"Entity": "daysOffline"
}, {
"EntityResult": "None",
"Entity": "upgradeError"
}, {
"EntityResult": "False",
"Entity": "automaticPolicy"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST$,Window Manager\\\\\\\\TEST-4",
"Entity": "users"
}, {
"EntityResult": "Windows Server 2012",
"Entity": "osShortName"
}, {
"EntityResult": "False",
"Entity": "deleted"
}, {
"EntityResult": 100,
"Entity": "initPercent"
}, {
"EntityResult": "False",
"Entity": "templateTrackModsOnly"
}, {
"EntityResult": 16,
"Entity": "activeDebugFlags"
}, {
"EntityResult": "TEST-TEST-TEST-TEST",
"Entity": "CLIPassword"
}, {
"EntityResult": "2018-05-29T10:10:19.26Z",
"Entity": "dateCreated"
}, {
"EntityResult": "Yes",
"Entity": "virtualized"
}, {
"EntityResult": 0,
"Entity": "agentMemoryDumps"
}, {
"EntityResult": "False",
"Entity": "connected"
}, {
"EntityResult": -1,
"Entity": "debugLevel"
}, {
"EntityResult": "None",
"Entity": "cbSensorVersion"
}, {
"EntityResult": "Up to date",
"Entity": "upgradeStatus"
}, {
"EntityResult": "False",
"Entity": "localApproval"
}, {
"EntityResult": "False",
"Entity": "isActive"
}, {
"EntityResult": "WORKGROUP\\\\\\\\TEST",
"Entity": "name"
}, {
"EntityResult": 0,
"Entity": "debugFlags"
}, {
"EntityResult": "VMware",
"Entity": "virtualPlatform"
}, {
"EntityResult": "None",
"Entity": "computerTag"
}, {
"EntityResult": "2018-11-22T10:49:41.583Z",
"Entity": "lastRegisterDate"
}, {
"EntityResult": 0,
"Entity": "debugDuration"
}, {
"EntityResult": 0,
"Entity": "cbSensorId"
}, {
"EntityResult": 0,
"Entity": "SCEPStatus"
}, {
"EntityResult": 43432,
"Entity": "agentCacheSize"
}, {
"EntityResult": 4,
"Entity": "processorCount"
}, {
"EntityResult": "VMware Virtual Platform",
"Entity": "machineModel"
}, {
"EntityResult": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"Entity": "osName"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTimeScale"
}, {
"EntityResult": 1,
"Entity": "policyId"
}, {
"EntityResult": "False",
"Entity": "forceUpgrade"
}, {
"EntityResult": "2018-11-23T21:59:12.613Z",
"Entity": "lastPollDate"
}, {
"EntityResult": "None",
"Entity": "templateCloneCleanupTime"
}, {
"EntityResult": "True",
"Entity": "supportedKernel"
}, {
"EntityResult": 0,
"Entity": "kernelDebugLevel"
}, {
"EntityResult": 0,
"Entity": "ccLevel"
}, {
"EntityResult": "1.1.1.1",
"Entity": "ipAddress"
}, {
"EntityResult": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"Entity": "processorModel"
}, {
"EntityResult": 8,
"Entity": "syncFlags"
}
]
Obtenha informações do sistema
Descrição
Receber informações sobre um computador.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| macAddress | Devolve se existir no resultado JSON |
| systemMemoryDumps | Devolve se existir no resultado JSON |
| policyStatusDetails | Devolve se existir no resultado JSON |
| prioritário | Devolve se existir no resultado JSON |
| platformId | Devolve se existir no resultado JSON |
| upgradeErrorTime | Devolve se existir no resultado JSON |
| tdCount | Devolve se existir no resultado JSON |
| hasDuplicates | Devolve se existir no resultado JSON |
| disconnectedEnforcementLevel | Devolve se existir no resultado JSON |
| hasHealthCheckErrors | Devolve se existir no resultado JSON |
| syncPercent | Devolve se existir no resultado JSON |
| agentVersion | Devolve se existir no resultado JSON |
| activeDebugLevel | Devolve se existir no resultado JSON |
| templateCloneCleanupMode | Devolve se existir no resultado JSON |
| processorCount | Devolve se existir no resultado JSON |
| kernelDebugLevel | Devolve se existir no resultado JSON |
| refreshFlags | Devolve se existir no resultado JSON |
| activeKernelDebugLevel | Devolve se existir no resultado JSON |
| utilizadores | Devolve se existir no resultado JSON |
| policyName | Devolve se existir no resultado JSON |
| enforcementLevel | Devolve se existir no resultado JSON |
| templateDate | Devolve se existir no resultado JSON |
| previousPolicyId | Devolve se existir no resultado JSON |
| memorySize | Devolve se existir no resultado JSON |
| machineModel | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| policyStatus | Devolve se existir no resultado JSON |
| processorSpeed | Devolve se existir no resultado JSON |
| ccFlags | Devolve se existir no resultado JSON |
| modelo | Devolve se existir no resultado JSON |
| a inicializar | Devolve se existir no resultado JSON |
| initPercent | Devolve se existir no resultado JSON |
| desinstalada | Devolve se existir no resultado JSON |
| computerTag | Devolve se existir no resultado JSON |
| templateComputerId | Devolve se existir no resultado JSON |
| initPercent | Devolve se existir no resultado JSON |
| desinstalada | Devolve se existir no resultado JSON |
| computerTag | Devolve se existir no resultado JSON |
| templateComputerId | Devolve se existir no resultado JSON |
| daysOffline | Devolve se existir no resultado JSON |
| upgradeError | Devolve se existir no resultado JSON |
| automaticPolicy | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| osShortName | Devolve se existir no resultado JSON |
| eliminado | Devolve se existir no resultado JSON |
| localApproval | Devolve se existir no resultado JSON |
| tamperProtectionActive | Devolve se existir no resultado JSON |
| lastPollDate | Devolve se existir no resultado JSON |
| activeDebugFlags | Devolve se existir no resultado JSON |
| CLIPassword | Devolve se existir no resultado JSON |
| dateCreated | Devolve se existir no resultado JSON |
| virtualPlatform | Devolve se existir no resultado JSON |
| ligado | Devolve se existir no resultado JSON |
| supportedKernel | Devolve se existir no resultado JSON |
| debugLevel | Devolve se existir no resultado JSON |
| cbSensorVersion | Devolve se existir no resultado JSON |
| upgradeStatus | Devolve se existir no resultado JSON |
| upgradeErrorCount | Devolve se existir no resultado JSON |
| upgradeErrorCount | Devolve se existir no resultado JSON |
| isActive | Devolve se existir no resultado JSON |
| debugFlags | Devolve se existir no resultado JSON |
| agentMemoryDumps | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| lastRegisterDate | Devolve se existir no resultado JSON |
| ipAddress | Devolve se existir no resultado JSON |
| cbSensorId | Devolve se existir no resultado JSON |
| SCEPStatus | Devolve se existir no resultado JSON |
| agentCacheSize | Devolve se existir no resultado JSON |
| cbSensorFlags | Devolve se existir no resultado JSON |
| clVersion | Devolve se existir no resultado JSON |
| osName | Devolve se existir no resultado JSON |
| templateCloneCleanupTimeScale | Devolve se existir no resultado JSON |
| policyId | Devolve se existir no resultado JSON |
| forceUpgrade | Devolve se existir no resultado JSON |
| templateTrackModsOnly | Devolve se existir no resultado JSON |
| templateCloneCleanupTime | Devolve se existir no resultado JSON |
| agentQueueSize | Devolve se existir no resultado JSON |
| virtualizado | Devolve se existir no resultado JSON |
| ccLevel | Devolve se existir no resultado JSON |
| debugDuration | Devolve se existir no resultado JSON |
| processorModel | Devolve se existir no resultado JSON |
| syncFlags | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
{
"macAddress": "00:50:56:B5:30:57",
"systemMemoryDumps": 0,
"policyStatusDetails": "Agent did not receive all the rules yet",
"prioritized": "False",
"platformId": 1,
"upgradeErrorTime": "None",
"tdCount": 0,
"hasDuplicates": "False",
"disconnectedEnforcementLevel": 60,
"hasHealthCheckErrors": "False",
"syncPercent": 100,
"agentVersion": "8.0.0.2562",
"activeDebugLevel": 0,
"templateCloneCleanupMode": "None",
"processorCount": 4,
"kernelDebugLevel": 0,
"refreshFlags": 0,
"activeKernelDebugLevel": 2,
"users": "WORKGROUP\\\\\\\\SIEMPLIFY$,Window Manager\\\\\\\\DWM-4",
"policyName": "Default Policy",
"enforcementLevel": 60,
"templateDate": "None",
"previousPolicyId": 6,
"memorySize": 8192,
"machineModel": "VMware Virtual Platform",
"id": 1,
"policyStatus": "Approvals out of date",
"processorSpeed": 2200.0,
"ccFlags": 0,
"template": "False",
"initializing": "False",
"initPercent": 100,
"uninstalled": "False",
"computerTag": "None",
"templateComputerId": 0,
"daysOffline": 55,
"upgradeError": "None",
"automaticPolicy": "False",
"description": "None",
"osShortName": "Windows Server 2012",
"deleted": "False",
"localApproval": "False",
"tamperProtectionActive": "True",
"lastPollDate": "2018-11-23T21:59:12.613Z",
"activeDebugFlags": 16,
"CLIPassword": "EYTL-TOYF-EYKG-NIHJ",
"dateCreated": "2018-05-29T10:10:19.26Z",
"virtualPlatform": "VMware",
"connected": "False",
"supportedKernel": "True",
"debugLevel": -1,
"cbSensorVersion": "None",
"upgradeStatus": "Up to date",
"upgradeErrorCount": 0,
"isActive": "False",
"debugFlags": 0,
"agentMemoryDumps": 0,
"name": "WORKGROUP\\\\\\\\SIEMPLIFY",
"lastRegisterDate": "2018-11-22T10:49:41.583Z",
"ipAddress": "10.0.0.67",
"cbSensorId": 0,
"SCEPStatus": 0,
"agentCacheSize": 43432,
"cbSensorFlags": 0,
"clVersion": 1212,
"osName": "Microsoft Windows Server 2012 R2 x64 Server Standard (Evaluation) (6.3.9600)",
"templateCloneCleanupTimeScale": "None",
"policyId": 1,
"forceUpgrade": "False",
"templateTrackModsOnly": "False",
"templateCloneCleanupTime": "None",
"agentQueueSize": 0,
"virtualized": "Yes",
"ccLevel": 0,
"debugDuration": 0,
"processorModel": "Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz",
"syncFlags": 8
}
Tchim-tchim
Descrição
Teste a conetividade.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Hash de desbloqueio
Descrição
Desbloqueie um hash em políticas específicas ou a nível global.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das políticas | String | N/A | Não | Separados por vírgulas. Exemplo: política predefinida, política de aprovação local |
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.