Carbon Black Response
Version de l'intégration : 31.0
Configurer VMware Carbon Black EDR (EDR) pour qu'il fonctionne avec Google Security Operations
Clé API
Pour obtenir une clé API, veuillez procéder comme suit :
- Se connecter à la console
- Cliquez sur le nom d'utilisateur en haut à droite.
- Accédez aux informations du profil.
Cliquez sur le bouton Jeton d'API sur la gauche pour afficher le jeton d'API.
Si aucun jeton d'API ne s'affiche, cliquez sur le bouton Réinitialiser pour en créer un.
Réseau
| Fonction | Port par défaut | Direction | Protocole |
|---|---|---|---|
| API | Valeurs multiples | Sortant | apikey |
Configurer l'intégration de Carbon Black Response dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://x.x.x.x | Oui | Adresse de l'instance VMware Carbon Black EDR (EDR). |
| Clé API | Chaîne | N/A | Oui | Clé API générée dans la console VMware Carbon Black EDR (EDR). |
| Version | Chaîne | 6,3 | Oui | Version du produit. Veillez à fournir une version abrégée. Par exemple, au lieu de fournir 7.4.0, indiquez 7.4. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Requête sans frais binaire
Description
Lister les binaires par requête gratuite.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Exemple : md5:* AND original_filename:{file-name} |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"host_count": x,
"digsig_result":"Signed",
"Observed_filename": ["c:\\\\windows\\\\system32\\\\xxxxxx.exe"],
"product_version": "10.0.17134.1",
"digsig_issuer": "Microsoft Windows Production PCA 2011",
"legal_copyright": "\\\\u00a9 Microsoft Corporation. All rights reserved.",
"digsig_sign_time": "2018-04-11T19:19:00Z",
"orig_mod_len": 20888,
"is_executable_image": true,
"is_64bit": true,
"digsig_subject": "Microsoft Windows",
"digsig_publisher": "Microsoft Corporation",
"group": ["Default Group"],
"file_version": "10.0.17134.1 (WinBuild.160101.0800)",
"company_name": "Microsoft Corporation",
"internal_name": "xxxxxxx.exe",
"product_name": "Microsoft\\\\u00ae Windows\\\\u00ae Operating System",
"digsig_result_code": "0",
"timestamp": "2018-12-30T03:55:55.376Z",
"copied_mod_len": 20888,
"server_added_timestamp": "2018-12-30T03:55:55.376Z",
"digsig_prog_name": "Microsoft Windows",
"md5": "2528137C6745C4EADD87817A1909677E",
"endpoint": ["DESKTOP-CEIFS6E|15",
"DESKTOP-CEIFS6E|16",
"LP-AVITAL|17",
"LAPTOP-66I4I93K|18"],
"watchlists": [
{
"wid": "3",
"value": "2018-12-30T04:00:03.635Z"
}],
"signed": "Signed",
"original_filename": "xxxxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": "COM Surrogate",
"last_seen": "2019-02-21T15:27:33.231Z"
}
]
Hachage de bloc
Description
Bloquez un hachage.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Créer une liste de surveillance
Description
Créez une liste de surveillance pour les processus (type = événements) ou pour les binaires (type = modules).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la liste de surveillance | Chaîne | N/A | Oui | Nom de cette liste de suivi. |
| Requête | Chaîne | N/A | Oui | Requête Carbon Black brute à laquelle cette liste de surveillance correspond. |
| Type de liste de surveillance | Chaîne | N/A | Oui | Type de liste de surveillance (par exemple, "modules"). |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Télécharger le fichier binaire
Description
Téléchargez un binaire.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIb",
"Entity": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
Enrichir le fichier binaire
Description
Enrichissez le hachage avec des informations binaires provenant de la réponse CB.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": {
"host_count": x,
"digsig_result": "Unsigned",
"observed_filename":["c:\\\\\\\\TEST_source\\\\\\\\main\\\\\\\\client\\\\\\\\wpf\\\\\\\\TEST.client\\\\\\\\bin\\\\\\\\release\\\\\\\\TEST.client.exe"],
"product_version": "x.x.x.x",
"legal_copyright": "TEST",
"orig_mod_len": 4108800,
"is_executable_image": "True",
"is_64bit": "False",
"group": ["Default Group"],
"file_version": "x.x.x.x",
"comments": "Flavor=Release",
"company_name": "TEST",
"internal_name": "TEST.xxxxxx.exe",
"icon": "iVBORw0KGgoAAAANSUhEUg",
"product_name": "(unknown)",
"digsig_result_code": "xxxxxxx",
"timestamp": "2016-12-11T18:54:03.352Z",
"copied_mod_len": 4108800,
"server_added_timestamp": "2016-12-11T18:54:03.352Z",
"md5": "82A2C91219F140BB2A4FE34A7390B6C7",
"endpoint": ["WS-ALON|4"],
"Watchlists": [
{
"wid": "3", "value": "2016-12-11T19:00:03.232Z"
}],
"signed": "Unsigned",
"original_filename": "TEST.xxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": " ",
"last_seen": "2016-12-11T19:00:04.178Z"
},
"Entity": "82A2C91219F140BB2A4FE34A7123B6C7"
}
]
Processus d'enrichissement
Description
Enrichissez l'entité de processus avec les données de la réponse CB.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Processus
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": [
{
"modload_count": 28,
"sensor_id": 14,
"filtering_known_dlls": "False",
"process_md5": "d752c96401e2540a123c599154fc6fa9",
"parent_unique_id": "0000000e-0000-13d4-01d4-a04566d108ba-00000001",
"emet_count": 0,
"cmdline": "\\\\\\\\??\\\\\\\\C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\conhost.exe 0xffffffff -ForceV1",
"last_update": "2018-12-30T13:41:43.904Z",
"id": "x-x-x-x-x",
"parent_name": "python.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "TEST",
"filemod_count": 0,
"start": "2018-12-30T13:41:43.885Z",
"emet_config": "",
"netconn_count": 0,
"interface_ip": 167772456,
"process_pid": xxxx,
"username": "TEST\\\\\\\\xxxxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"parent_pid": 5076,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": 1,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 0,
"unique_id": "0000000e-0000-1310-01d4-a04566d29849-00000001"
}],
"Entity": "process.exe"
}
]
Obtenir les données FileMod pour le processus
Description
Obtenez les données filemod pour un processus par son ID.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID du processus | Chaîne | N/A | Oui | ID unique du processus. |
| ID du segment | Chaîne | N/A | Oui | Ex. 1 |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxx.exe",
"start": "2013-09-19T22:07:07Z",
"regmod_complete": [
"2|2013-09-19 22:07:07.000000|\\\\\\\\registry\\\\\\\\user\\\\\\\\s-1-5-19\\\\\\\\software\\\\\\\\microsoft\\\\\\\\sqmclient\\\\\\\\reliability\\\\\\\\adaptivesqm\\\\\\\\manifestinfo\\\\\\\\version",
"2|2013-09-19 22:09:07.000000|\\\\\\\\registry\\\\\\\\machine\\\\\\\\software\\\\\\\\microsoft\\\\\\\\reliability analysis\\\\\\\\rac\\\\\\\\wmilasttime"],
"cmdline": "xxxxxxx.exe $(arg0)",
"Filemod_complete": [
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\statedata\\\\\\\\racmetadata.dat|",
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\temp\\\\\\\\sql4475.tmp|"],
"parent_id": "",
"modload_complete": [
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\ntdll.dll"],
"id": "xxxxxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "windows",
"last_update": "2013-09-19T22:09:07Z",
"hostname": "xxxx-xxxxxxxxxxx"
},
"elapsed": 0.0126001834869
}
Obtenir la licence
Description
Obtenez la licence actuelle à partir de la réponse CB.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Obtenir les données de l'arborescence des processus
Description
Obtenez les données de l'arborescence des processus pour un processus par ID(JSON).
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID du processus | Chaîne | N/A | Oui | ID unique du processus. |
| ID du segment | Chaîne | N/A | Oui | Ex. 1 |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"cmdline": "taskhost.exe $(arg0)",
"start": "2013-09-19T22:07:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "xxxxxxx",
"hostname": "xxxxxxx-xxxxxx"
},
"Siblings": [
{
"process_md5": "c78655bc80301d76ed4fef1c1ea40a7d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxxx.exe",
"last_update": "2013-09-19T22:34:49Z",
"start": "2013-09-10T04:10:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type":"xxxxxx",
"hostname": "xxx-xxxxxxx"
}],
"children": [],
"parent": {
"process_md5": "24acb7e5be595468e3b9aa488b9b4fcb",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"start": "2013-09-10T04:09:51Z",
"parent_id": "xxxxxxxxxxxx",
"id": "xxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type": "xxxxxx",
"hostname": "xxx-xxxxxxxx"
}
}
Obtenir des informations système
Description
Obtenez des informations système pour un capteur à partir de la réponse CB et enrichissez l'entité.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": {
"systemvolume_total_size": "479127379968",
"computer_name": "LP-WORKER",
"os_environment_display_string": "Windows 10 Professional, 64-bit",
"systemvolume_free_size": "319940304896",
"physical_memory_size": "17058787328",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "10840",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "1640459",
"computer_dns_name":"xx-xxxxxx.xxxxxx.xxxxx",
"emet_report_setting": "(Locally configured)",
"last_update": "2018-06-25 13:27:47.442521+03:00",
"parity_host_id": "0",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2018-06-25 13:28:13.089904+03:00",
"status": "Offline",
"num_eventlog_bytes": "13771",
"sensor_health_message": "Elevated memory usage",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-x-x-x",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path":"",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxxx|",
"sensor_health_status": 90,
"registration_time": "2018-03-01 08:12:47.420579+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 5,
"cookie": 292474955,
"shard_id": x,
"boot_id": "xx",
"last_checkin_time": "2018-06-25 13:27:43.091387+03:00",
"os_type": 1,
"group_id": x,
"display": "True",
"sensor_uptime": "x",
"uninstall":"False"
},
"Entity": "xx-xxxxx"
}
]
Hôtes par processus
Description
Obtenez les hôtes associés à un processus particulier.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Processus".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": [
{
"systemvolume_total_size": "160534884352",
"computer_name": "COMPUTER",
"os_environment_display_string": "Windows 10 Server Server Standard (Evaluation), 64-bit",
"systemvolume_free_size": "120903110656",
"physical_memory_size": "8589463552",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "7348",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "5888902",
"computer_dns_name": "COMPUTER",
"emet_report_setting": " (Locally configured)",
"last_update": "2019-01-07 11:07:17.187979+02:00",
"parity_host_id": "x",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2019-01-07 11:07:44.348203+02:00",
"status": "Offline",
"num_eventlog_bytes": "34800",
"sensor_health_message": "Healthy",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-405201704-2854221227-856099807",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path": "",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxx|",
"sensor_health_status": 100,
"registration_time": "2018-12-22 02:46:33.629175+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 8,
"cookie": 1164577502,
"shard_id": 0,
"boot_id": "1",
"last_checkin_time": "2019-01-07 11:07:14.349477+02:00",
"os_type": 1,
"group_id": 1,
"display": "True",
"sensor_uptime": "1412441",
"uninstall": "False"
}],
"Entity": "xxxxxx.xxx"
}
]
Isoler l'hôte
Description
Isoler un point de terminaison du réseau.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Arrêter le processus
Description
Arrêtez un processus sur un hôte spécifique.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Processus
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Lister les processus
Description
Répertorie les processus liés aux entités données.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": [
{
"modload_count": 63,
"sensor_id": xx,
"filtering_known_dlls": "False",
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"cmdline": "python.exe C:\\\\\\\\HOST_Server\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "xxxxxx-xxxx-xxxxx-xxxxxx-xxxxxxx",
"parent_name": "xxxx.xxxxxx.xxxxxxx.xxxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": 167772456,
"process_pid": 6024,
"username": "xxxx\\\\\\\\xxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\python.exe",
"regmod_count": 0,
"parent_pid": 4152,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}],
"Entity": "HOST"
}
]
Ping
Description
Testez la connectivité.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Traiter une requête gratuite
Description
Lister les processus par requête libre.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Par exemple, process_name:python.exe. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"sensor_id": xx,
"filtering_known_dlls": "False",
"modload_count": 63,
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"group": "Default Group",
"cmdline": "python.exe C:\\\\\\\\bin\\\\\\\\\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "x-x-x-x-x",
"parent_name": "xxxx.xxxxxx.xxxxxx.xxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"parent_pid": 4152,
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": xxxxxxxx,
"process_pid": 6024,
"username": "xxxxx\\\\\\\\xxxxx",
"terminated": "True",
"process_name": "xxxxxx.xxx",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}
]
Résoudre l'alerte
Description
Résolvez une alerte.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | N/A | Oui | ID de l'alerte à résoudre. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Débloquer le hachage
Description
Débloquez un hachage.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Hôte Unisolate
Description
Rejoignez un point de terminaison au réseau.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Connecteurs
Connecteur Carbon Black Response
Configurer le connecteur Carbon Black Response dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Environnement | LDD | N/A | Oui | Sélectionnez l'environnement requis. Par exemple, "Client 1". Si le champ "Environnement" de l'alerte est vide, cette alerte sera injectée dans cet environnement. |
| Exécuter chaque | Integer | 0:0:0:10 | Non | Sélectionnez l'heure à laquelle exécuter la connexion. |
| Nom du champ de produit | Chaîne | device_product | Oui | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| Nom du champ d'événement | Chaîne | nom | Oui | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| Délai avant expiration du script (en secondes) | Chaîne | 60 | Oui | Délai limite (en secondes) pour le processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | null | Oui | https://x.x.x.x |
| Clé API | Mot de passe | N/A | Oui | N/A |
| Version | Chaîne | 6,3 | Oui | Version du serveur CB, la version 6.3 par défaut sera utilisée |
| Limite du nombre d'alertes | Integer | 20 | Oui | Limitez le nombre d'alertes dans chaque cycle. Exemple : 20 |
| Nombre maximal de jours en arrière | Integer | 3 | Oui | Ce champ est utilisé lors du premier cycle d'exécution du connecteur et détermine l'heure de début du connecteur. Exemple : 3 |
| Nom du champ "Environnement" | Chaîne | N/A | Non | Nom du champ de l'environnement. |
| Type de liste | Chaîne | N/A | Non | Il peut s'agir d'une liste blanche ou d'une liste noire. |
| Opérateur de liste | Chaîne | N/A | Non | Les valeurs possibles sont "exact", "start with", "ends with" ou "contains". |
| Lister les champs | Chaîne | N/A | Non | Liste de champs séparés par une virgule. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.