Carbon Black Response
Versão de integração: 31.0
Configure o VMware Carbon Black EDR (EDR) para funcionar com o Google Security Operations
Chave de API
Para obter uma chave da API, conclua os seguintes passos:
- Inicie sessão na consola
- Clique no nome de utilizador na parte superior direita
- Navegue para as informações do perfil.
Clique no botão Token de API no lado esquerdo para revelar o token de API.
Caso não seja apresentado nenhum token de API, clique no botão Repor para criar um novo.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Configure a integração do Carbon Black Response no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://x.x.x.x | Sim | O endereço da instância do VMware Carbon Black EDR (EDR). |
| Chave de API | String | N/A | Sim | Chave da API gerada na consola do VMware Carbon Black EDR (EDR). |
| Versão | String | 6,3 | Sim | A versão do produto. Certifique-se de que indica a versão mais curta. Por exemplo, em vez de indicar 7.4.0, indique 7.4. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Consulta binária gratuita
Descrição
Liste ficheiros binários por consulta gratuita.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Exemplo: md5:* AND original_filename:{file-name} |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"host_count": x,
"digsig_result":"Signed",
"Observed_filename": ["c:\\\\windows\\\\system32\\\\xxxxxx.exe"],
"product_version": "10.0.17134.1",
"digsig_issuer": "Microsoft Windows Production PCA 2011",
"legal_copyright": "\\\\u00a9 Microsoft Corporation. All rights reserved.",
"digsig_sign_time": "2018-04-11T19:19:00Z",
"orig_mod_len": 20888,
"is_executable_image": true,
"is_64bit": true,
"digsig_subject": "Microsoft Windows",
"digsig_publisher": "Microsoft Corporation",
"group": ["Default Group"],
"file_version": "10.0.17134.1 (WinBuild.160101.0800)",
"company_name": "Microsoft Corporation",
"internal_name": "xxxxxxx.exe",
"product_name": "Microsoft\\\\u00ae Windows\\\\u00ae Operating System",
"digsig_result_code": "0",
"timestamp": "2018-12-30T03:55:55.376Z",
"copied_mod_len": 20888,
"server_added_timestamp": "2018-12-30T03:55:55.376Z",
"digsig_prog_name": "Microsoft Windows",
"md5": "2528137C6745C4EADD87817A1909677E",
"endpoint": ["DESKTOP-CEIFS6E|15",
"DESKTOP-CEIFS6E|16",
"LP-AVITAL|17",
"LAPTOP-66I4I93K|18"],
"watchlists": [
{
"wid": "3",
"value": "2018-12-30T04:00:03.635Z"
}],
"signed": "Signed",
"original_filename": "xxxxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": "COM Surrogate",
"last_seen": "2019-02-21T15:27:33.231Z"
}
]
Hash do bloco
Descrição
Bloqueie um hash.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Crie uma lista de visualizações
Descrição
Crie uma lista de observação para processos (type = events) ou para ficheiros binários (type = modules).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da lista de visualização | String | N/A | Sim | Nome desta lista de visualização. |
| Consulta | String | N/A | Sim | A consulta Carbon Black não processada com a qual esta lista de observação corresponde. |
| Tipo de lista de visualização | String | N/A | Sim | O tipo de lista de observação. Por exemplo, módulos. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Transferir binário
Descrição
Transfira um ficheiro binário.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIb",
"Entity": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
Enrich Binary
Descrição
Enriqueça o hash com informações binárias da resposta da CB.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | success:False |
Resultado JSON
[
{
"EntityResult": {
"host_count": x,
"digsig_result": "Unsigned",
"observed_filename":["c:\\\\\\\\TEST_source\\\\\\\\main\\\\\\\\client\\\\\\\\wpf\\\\\\\\TEST.client\\\\\\\\bin\\\\\\\\release\\\\\\\\TEST.client.exe"],
"product_version": "x.x.x.x",
"legal_copyright": "TEST",
"orig_mod_len": 4108800,
"is_executable_image": "True",
"is_64bit": "False",
"group": ["Default Group"],
"file_version": "x.x.x.x",
"comments": "Flavor=Release",
"company_name": "TEST",
"internal_name": "TEST.xxxxxx.exe",
"icon": "iVBORw0KGgoAAAANSUhEUg",
"product_name": "(unknown)",
"digsig_result_code": "xxxxxxx",
"timestamp": "2016-12-11T18:54:03.352Z",
"copied_mod_len": 4108800,
"server_added_timestamp": "2016-12-11T18:54:03.352Z",
"md5": "82A2C91219F140BB2A4FE34A7390B6C7",
"endpoint": ["WS-ALON|4"],
"Watchlists": [
{
"wid": "3", "value": "2016-12-11T19:00:03.232Z"
}],
"signed": "Unsigned",
"original_filename": "TEST.xxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": " ",
"last_seen": "2016-12-11T19:00:04.178Z"
},
"Entity": "82A2C91219F140BB2A4FE34A7123B6C7"
}
]
Processo de enriquecimento
Descrição
Enriquecer a entidade de processo com dados da resposta da CB.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Processo
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"modload_count": 28,
"sensor_id": 14,
"filtering_known_dlls": "False",
"process_md5": "d752c96401e2540a123c599154fc6fa9",
"parent_unique_id": "0000000e-0000-13d4-01d4-a04566d108ba-00000001",
"emet_count": 0,
"cmdline": "\\\\\\\\??\\\\\\\\C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\conhost.exe 0xffffffff -ForceV1",
"last_update": "2018-12-30T13:41:43.904Z",
"id": "x-x-x-x-x",
"parent_name": "python.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "TEST",
"filemod_count": 0,
"start": "2018-12-30T13:41:43.885Z",
"emet_config": "",
"netconn_count": 0,
"interface_ip": 167772456,
"process_pid": xxxx,
"username": "TEST\\\\\\\\xxxxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"parent_pid": 5076,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": 1,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 0,
"unique_id": "0000000e-0000-1310-01d4-a04566d29849-00000001"
}],
"Entity": "process.exe"
}
]
Obtenha dados FileMod para processamento
Descrição
Obtenha dados de filemod para um processo através do respetivo ID.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do processo | String | N/A | Sim | ID exclusivo do processo. |
| ID do segmento | String | N/A | Sim | por exemplo, 1. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxx.exe",
"start": "2013-09-19T22:07:07Z",
"regmod_complete": [
"2|2013-09-19 22:07:07.000000|\\\\\\\\registry\\\\\\\\user\\\\\\\\s-1-5-19\\\\\\\\software\\\\\\\\microsoft\\\\\\\\sqmclient\\\\\\\\reliability\\\\\\\\adaptivesqm\\\\\\\\manifestinfo\\\\\\\\version",
"2|2013-09-19 22:09:07.000000|\\\\\\\\registry\\\\\\\\machine\\\\\\\\software\\\\\\\\microsoft\\\\\\\\reliability analysis\\\\\\\\rac\\\\\\\\wmilasttime"],
"cmdline": "xxxxxxx.exe $(arg0)",
"Filemod_complete": [
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\statedata\\\\\\\\racmetadata.dat|",
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\temp\\\\\\\\sql4475.tmp|"],
"parent_id": "",
"modload_complete": [
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\ntdll.dll"],
"id": "xxxxxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "windows",
"last_update": "2013-09-19T22:09:07Z",
"hostname": "xxxx-xxxxxxxxxxx"
},
"elapsed": 0.0126001834869
}
Obter licença
Descrição
Obtenha a licença atual da CB Response.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Get Process Tree Data
Descrição
Obtenha dados da árvore de processos para o processo através do ID(JSON).
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do processo | String | N/A | Sim | ID exclusivo do processo. |
| ID do segmento | String | N/A | Sim | por exemplo, 1. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"cmdline": "taskhost.exe $(arg0)",
"start": "2013-09-19T22:07:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "xxxxxxx",
"hostname": "xxxxxxx-xxxxxx"
},
"Siblings": [
{
"process_md5": "c78655bc80301d76ed4fef1c1ea40a7d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxxx.exe",
"last_update": "2013-09-19T22:34:49Z",
"start": "2013-09-10T04:10:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type":"xxxxxx",
"hostname": "xxx-xxxxxxx"
}],
"children": [],
"parent": {
"process_md5": "24acb7e5be595468e3b9aa488b9b4fcb",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"start": "2013-09-10T04:09:51Z",
"parent_id": "xxxxxxxxxxxx",
"id": "xxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type": "xxxxxx",
"hostname": "xxx-xxxxxxxx"
}
}
Obtenha informações do sistema
Descrição
Obtenha informações do sistema para um sensor da resposta do CB e enriqueça a entidade.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"systemvolume_total_size": "479127379968",
"computer_name": "LP-WORKER",
"os_environment_display_string": "Windows 10 Professional, 64-bit",
"systemvolume_free_size": "319940304896",
"physical_memory_size": "17058787328",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "10840",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "1640459",
"computer_dns_name":"xx-xxxxxx.xxxxxx.xxxxx",
"emet_report_setting": "(Locally configured)",
"last_update": "2018-06-25 13:27:47.442521+03:00",
"parity_host_id": "0",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2018-06-25 13:28:13.089904+03:00",
"status": "Offline",
"num_eventlog_bytes": "13771",
"sensor_health_message": "Elevated memory usage",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-x-x-x",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path":"",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxxx|",
"sensor_health_status": 90,
"registration_time": "2018-03-01 08:12:47.420579+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 5,
"cookie": 292474955,
"shard_id": x,
"boot_id": "xx",
"last_checkin_time": "2018-06-25 13:27:43.091387+03:00",
"os_type": 1,
"group_id": x,
"display": "True",
"sensor_uptime": "x",
"uninstall":"False"
},
"Entity": "xx-xxxxx"
}
]
Anfitriões por processo
Descrição
Obtenha anfitriões relacionados com um processo específico.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Process.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"systemvolume_total_size": "160534884352",
"computer_name": "COMPUTER",
"os_environment_display_string": "Windows 10 Server Server Standard (Evaluation), 64-bit",
"systemvolume_free_size": "120903110656",
"physical_memory_size": "8589463552",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "7348",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "5888902",
"computer_dns_name": "COMPUTER",
"emet_report_setting": " (Locally configured)",
"last_update": "2019-01-07 11:07:17.187979+02:00",
"parity_host_id": "x",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2019-01-07 11:07:44.348203+02:00",
"status": "Offline",
"num_eventlog_bytes": "34800",
"sensor_health_message": "Healthy",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-405201704-2854221227-856099807",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path": "",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxx|",
"sensor_health_status": 100,
"registration_time": "2018-12-22 02:46:33.629175+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 8,
"cookie": 1164577502,
"shard_id": 0,
"boot_id": "1",
"last_checkin_time": "2019-01-07 11:07:14.349477+02:00",
"os_type": 1,
"group_id": 1,
"display": "True",
"sensor_uptime": "1412441",
"uninstall": "False"
}],
"Entity": "xxxxxx.xxx"
}
]
Isole o anfitrião
Descrição
Isolar um ponto final da rede.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Terminar processo
Descrição
Terminar um processo num anfitrião específico.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Processo
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Apresentar processos
Descrição
Apresenta processos relacionados com as entidades fornecidas.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"modload_count": 63,
"sensor_id": xx,
"filtering_known_dlls": "False",
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"cmdline": "python.exe C:\\\\\\\\HOST_Server\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "xxxxxx-xxxx-xxxxx-xxxxxx-xxxxxxx",
"parent_name": "xxxx.xxxxxx.xxxxxxx.xxxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": 167772456,
"process_pid": 6024,
"username": "xxxx\\\\\\\\xxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\python.exe",
"regmod_count": 0,
"parent_pid": 4152,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}],
"Entity": "HOST"
}
]
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Processar consulta gratuita
Descrição
Liste os processos por consulta gratuita.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Por exemplo: process_name:python.exe. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"sensor_id": xx,
"filtering_known_dlls": "False",
"modload_count": 63,
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"group": "Default Group",
"cmdline": "python.exe C:\\\\\\\\bin\\\\\\\\\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "x-x-x-x-x",
"parent_name": "xxxx.xxxxxx.xxxxxx.xxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"parent_pid": 4152,
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": xxxxxxxx,
"process_pid": 6024,
"username": "xxxxx\\\\\\\\xxxxx",
"terminated": "True",
"process_name": "xxxxxx.xxx",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}
]
Resolva o alerta
Descrição
Resolva um alerta.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | O ID do alerta a resolver. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Hash de desbloqueio
Descrição
Desbloqueie um hash.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Unisolate Host
Descrição
Volte a juntar um ponto final à rede.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Conetores
Conetor do Carbon Black Response
Configure o conetor do Carbon Black Response no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Ambiente | LDD | N/A | Sim | Selecione o ambiente necessário. Por exemplo, "Cliente um". Caso o campo Ambiente do alerta esteja vazio, este alerta é injetado neste ambiente. |
| Executar a cada | Número inteiro | 0:0:0:10 | Não | Selecione a hora para executar a associação. |
| Nome do campo do produto | String | device_product | Sim | O nome do campo usado para determinar o produto do dispositivo. |
| Nome do campo de evento | String | nome | Sim | O nome do campo usado para determinar o nome do evento (subtipo). |
| Limite de tempo do script (segundos) | String | 60 | Sim | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | String | nulo | Sim | https://x.x.x.x |
| Chave de API | Palavra-passe | N/A | Sim | N/A |
| Versão | String | 6,3 | Sim | Vai ser usada a versão 6.3 predefinida do servidor CB |
| Limite da quantidade de alertas | Número inteiro | 20 | Sim | Limite o número de alertas em cada ciclo. Exemplo: 20 |
| Máximo de dias para trás | Número inteiro | 3 | Sim | Este campo é usado no primeiro ciclo de execução do conetor e determina a hora de início do conetor. Exemplo: 3 |
| Nome do campo do ambiente | String | N/A | Não | O nome do campo do ambiente. |
| Tipo de lista | String | N/A | Não | Pode ser uma lista de autorizações ou uma lista negra. |
| Operador de lista | String | N/A | Não | Pode ser "exacto", "começa por", "termina com" ou "contém". |
| Apresentar campos | String | N/A | Não | Lista de campos separados por vírgulas. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.