VMware Carbon Black Cloud
Ce document fournit des conseils aux administrateurs sur la configuration et l'intégration de VMware Carbon Black Cloud avec le module SOAR de Google Security Operations.
Version de l'intégration : 32.0
Présentation
L'intégration de VMware Carbon Black Cloud vous aide à effectuer les tâches suivantes :
Ingérez les événements et les alertes VMware Carbon Black Cloud pour créer des alertes.
Google SecOps utilise des alertes pour orchestrer des playbooks ou des analyses manuelles.
Effectuer des actions d'enrichissement
Obtenez des données depuis VMware Carbon Black Cloud pour enrichir les données des alertes Google SecOps.
Effectuer des actions actives
Planifiez une analyse et mettez un hôte en quarantaine dans Google SecOps SOAR à l'aide de l'agent VMware Carbon Black Cloud.
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie du code source complet de cette intégration à partir du bucket Cloud Storage.
Prérequis
Cette section s'applique à la configuration initiale de l'intégration. Pour vous assurer que les données circulent comme prévu de VMware Carbon Black Cloud vers Google SecOps, suivez les étapes listées dans cette section dans VMware Carbon Black Cloud.
Pour configurer l'accès à l'API pour l'intégration VMware Carbon Black Cloud, procédez comme suit :
- Configurez le niveau d'accès.
- Créez une clé API.
Cette intégration présente des limites. Pour en savoir plus sur les limites, consultez Configurer le remplacement de la réputation dans la documentation VMware Carbon Black Cloud.
Configurer le niveau d'accès
Pour configurer le niveau d'accès à l'intégration VMware Carbon Black Cloud, procédez comme suit :
Dans la console VMware Carbon Black Cloud, accédez à Settings > API Access (Paramètres > Accès à l'API).
Sélectionnez Niveaux d'accès.
Cliquez sur Ajouter un niveau d'accès.
Saisissez le nom et la description du nouveau niveau d'accès, puis sélectionnez les autorisations suivantes :
Catégorie Nom de l'autorisation .Nom de la notation Type d'autorisation Alertes Informations générales org.alerts Lire Alertes Ignorer org.alerts.dismiss Exécuter Appareil Mettre l'e-mail en quarantaine device.quarantine Exécuter Appareil Ignorer device.bypass Exécuter Appareil Informations générales appareil Lire Appareil Affectation de la police device.policy Mettre à jour Appareil Analyse en arrière-plan device.bg-scan Exécuter Rechercher Événements org.search.events Créer
Lire
Cliquez sur Enregistrer.
Créer une clé API
Pour créer une clé API pour l'intégration VMware Carbon Black Cloud, procédez comme suit :
Dans la console VMware Carbon Black Cloud, accédez à Settings > API Access > API Keys (Paramètres > Accès à l'API > Clés API).
Cliquez sur Ajouter une clé API.
Saisissez le nom de la clé et sélectionnez le niveau d'accès que vous avez créé dans une section précédente.
Cliquez sur Enregistrer pour obtenir votre paire clé secrète/ID d'API.
Enregistrez la valeur de votre clé secrète d'API, car vous ne pourrez pas la récupérer ultérieurement.
Intégrer VMware Carbon Black Cloud à Google SecOps
Pour configurer ou modifier les paramètres d'intégration, vous devez être inclus dans le groupe d'autorisations "Administrateurs" dans Google SecOps. Pour en savoir plus sur les groupes d'autorisations pour les utilisateurs, consultez Utiliser des groupes d'autorisations.
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | Non applicable | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | Non applicable | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://defense.conferdeploy.net/ |
Oui | URL racine de l'API VMware Carbon Black Cloud. |
| Clé de l'organisation | Chaîne | Non applicable | Oui | Clé d'organisation VMware Carbon Black Cloud. |
| ID de l'API | Chaîne | Non applicable | Oui | ID de l'API VMware Carbon Black Cloud (ID de clé API personnalisée). |
| Clé secrète de l'API | Chaîne | Non applicable | Oui | Clé secrète de l'API VMware Carbon Black Cloud (clé secrète de l'API personnalisée). |
| Vérifier le protocole SSL | Case à cocher | Sélectionné | Non | Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL pour la connexion au serveur VMware Carbon Black Cloud est valide. |
| Exécuter à distance | Case à cocher | Non sélectionné | Non | Cochez la case pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Si nécessaire, vous pourrez modifier la configuration ultérieurement. Une fois les instances configurées, vous pouvez les utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Ping
Testez la connectivité à VMware Carbon Black Cloud.
Paramètres
Aucun
Cas d'utilisation
L'action teste la connectivité lorsqu'elle est exécutée à partir de la page de configuration de l'intégration dans l'onglet Google SecOps Marketplace. Vous pouvez exécuter cette action manuellement, mais vous ne pouvez pas l'utiliser dans vos playbooks.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de demandes, l'action "Envoyer un ping" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to the VMware Carbon Black Cloud server
with the provided connection parameters! |
Action effectuée. |
Failed to connect to the VMware Carbon Black Cloud server! Error
is ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Enrichir les entités
Enrichissez les entités d'adresse IP ou d'hôte Google SecOps SOAR en fonction des informations sur l'appareil provenant de VMware Carbon Black Cloud.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
Cas d'utilisation
Enrichissez les entités hôtes ou IP Google SecOps SOAR avec des informations provenant de VMware Carbon Black Cloud, si l'agent Carbon Black est installé sur une entité hôte ou d'adresse IP respective.
Pour aider un intervenant à examiner une éventuelle alerte de logiciel malveillant provenant d'un hôte sur lequel un capteur est installé, VMware Carbon Black Cloud peut fournir des données d'enrichissement telles que les informations sur l'hôte, l'état du capteur et sa règle Carbon Black.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Enrichissement d'entités
| Champ d'enrichissement | Applicabilité |
|---|---|
| CB_Cloud.device_id | Toujours |
| CB_Cloud.antivirus_status | Toujours |
| CB_Cloud.antivirus_last_scan_time | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.owner_email | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.owner_first_name | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.owner_last_name | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.last_contact_time | Toujours |
| CB_Cloud._last_device_policy_changed_time | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.last_external_ip_address | Toujours |
| CB_Cloud.last_internal_ip_address | Toujours |
| CB_Cloud.last_location | Toujours |
| CB_Cloud.full_device_name | Toujours |
| CB_Cloud.organization_id | Toujours |
| CB_Cloud.organization_name | Toujours |
| CB_Cloud.device_os | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.device_os_version | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.passive_mode | Toujours |
| CB_Cloud.device_policy_id | Toujours |
| CB_Cloud.device_policy_name | Toujours |
| CB_Cloud.device_policy_override | Si la valeur est "true" |
| CB_Cloud.quarantined | Toujours |
| CB_Cloud.scan_status | Si les informations sont affichées dans le résultat JSON |
| CB_Cloud.sensor_out_of_date | Toujours |
| CB_Cloud.sensor_states | Toujours |
| CB_Cloud.sensor_version | Toujours |
| CB_Cloud.device_status | Toujours |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Enrichir les entités" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit la sortie des résultats JSON reçue lors de l'utilisation de l'action "Enrichir les entités" :
{
"results": [
{
"activation_code": null,
"activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
"ad_group_id": 649,
"av_ave_version": null,
"av_engine": "",
"av_last_scan_time": null,
"av_master": false,
"av_pack_version": null,
"av_product_version": null,
"av_status": [
"AV_DEREGISTERED"
],
"av_update_servers": null,
"av_vdf_version": null,
"current_sensor_policy_name": "vmware-example",
"deregistered_time": "2020-04-21T07:31:22.285Z",
"device_meta_data_item_list": [
{
"key_name": "OS_MAJOR_VERSION",
"key_value": "Windows 10",
"position": 0
},
{
"key_name": "SUBNET",
"key_value": "10.0.2",
"position": 0
}
],
"device_owner_id": 439953,
"email": "User",
"first_name": null,
"id": 3401539,
"last_contact_time": "2020-04-21T07:30:21.614Z",
"last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
"last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
"last_external_ip_address": "198.51.100.209",
"last_internal_ip_address": "203.0.113.15",
"last_location": "OFFSITE",
"last_name": null,
"last_policy_updated_time": "2020-04-09T11:19:01.371Z",
"last_reported_time": "2020-04-21T07:14:33.810Z",
"last_reset_time": null,
"last_shutdown_time": "2020-04-21T06:41:11.083Z",
"linux_kernel_version": null,
"login_user_name": null,
"mac_address": "000000000000",
"middle_name": null,
"name": "<span class='hlt1'>WinDev2003Eval</span>",
"organization_id": 1105,
"organization_name": "cb-internal-alliances.com",
"os": "WINDOWS",
"os_version": "Windows 10 x64",
"passive_mode": false,
"policy_id": 36194,
"policy_name": "vmware-example",
"policy_override": false,
"quarantined": false,
"registered_time": "2020-04-21T05:05:37.407Z",
"scan_last_action_time": null,
"scan_last_complete_time": null,
"scan_status": null,
"sensor_kit_type": "WINDOWS",
"sensor_out_of_date": false,
"sensor_pending_update": false,
"sensor_states": [
"ACTIVE",
"LIVE_RESPONSE_NOT_RUNNING",
"LIVE_RESPONSE_NOT_KILLED",
"LIVE_RESPONSE_ENABLED",
"SECURITY_CENTER_OPTLN_DISABLED"
],
"sensor_version": "3.4.0.1097",
"status": "DEREGISTERED",
"target_priority": "MEDIUM",
"uninstall_code": "9EFCKADP",
"vdi_base_device": null,
"virtual_machine": false,
"virtualization_provider": "UNKNOWN",
"windows_platform": null
}
],
"num_found": 6
}
Messages de sortie
Sur un mur des cas, l'action "Enrichir les entités" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute Enrich Entities action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Ignorer une alerte VMware Carbon Black Cloud
Ignorer l'alerte VMware Carbon Black Cloud.
Dans les événements créés par le connecteur VMware Carbon Black Cloud Alerts, le champ Event.id peut être transmis en tant qu'espace réservé pour l'ID d'alerte afin de fermer une alerte dans l'action "Fermer l'alerte VMware Carbon Black Cloud".
Cette action accepte les ID d'alerte au format alphanumérique, comme 27162661199ea9a043c11ea9a29a93652bc09fd, et non au format affiché dans l'UI, comme DONAELUN.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | Non applicable | Oui | ID de l'alerte à ignorer sur le serveur VMware Carbon Black Cloud. Spécifiez l'ID de l'alerte au format alphanumérique, par exemple 27162661199ea9a043c11ea9a29a93652bc09fd, et non au format affiché dans l'UI, par exemple DONAELUN. |
| Motif de la clôture | LDD | Aucun motif de refus | Non | Raison de la clôture de l'alerte VMware Carbon Black Cloud. Les valeurs possibles sont les suivantes :
|
| Décision | LDD | Aucun | Non | Valeur de détermination à définir pour une alerte. Les valeurs possibles sont les suivantes :
|
| Message de fermeture de l'alerte | Chaîne | Non applicable | Non | Message à ajouter à la fermeture de l'alerte. |
Cas d'utilisation
Ignorer ou fermer une alerte VMware Carbon Black Cloud en fonction de l'analyse effectuée dans Google SecOps SOAR.
Une fois l'alerte traitée dans Google SecOps SOAR, l'utilisateur a besoin d'une action pour fermer l'alerte VMware Carbon Black Cloud depuis Google SecOps SOAR afin de maintenir la synchronisation de l'état de l'alerte entre VMware Carbon Black Cloud et Google SecOps SOAR.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action "Fermer l'alerte VMware Carbon Black Cloud" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de cas, l'action "Dismiss VMware Carbon Black Cloud Alert" (Ignorer l'alerte VMware Carbon Black Cloud) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute Dismiss alert action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Mettre à jour une règle pour un appareil à l'aide de l'ID de la règle
Modifier une règle sur le capteur VMware Carbon Black Cloud d'un hôte Le champ d'application de l'action est l'adresse IP ou l'entité hôte.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de stratégie | Integer | Non applicable | Oui | Spécifiez une règle à associer au capteur VMware Carbon Black Cloud. |
Cas d'utilisation
Créez une tâche de mise à jour des règles sur le serveur VMware Carbon Black Cloud à partir de Google SecOps SOAR.
Lors de l'analyse des alertes, un responsable de la réponse aux incidents a remarqué que le même hôte avait généré plusieurs alertes de faux positifs sur une courte période. Il peut utiliser cette action pour créer une tâche de mise à jour des règles qui rend les règles du capteur moins restrictives.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie du résultat du script lorsque vous utilisez l'action "Mettre à jour une règle pour un appareil par ID de règle" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de requêtes, l'action "Mettre à jour une règle pour un appareil par ID de règle" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Analyse de l'appareil en arrière-plan
Créez une tâche d'analyse en arrière-plan des appareils sur le serveur VMware Carbon Black Cloud, basée sur les entités "Adresse IP" ou "Hôte".
Cas d'utilisation
Créez une tâche d'analyse en arrière-plan pour l'hôte à l'aide du capteur VMware Carbon Black Cloud de Google SecOps SOAR.
Lors de l'analyse des alertes, un responsable de la gestion des incidents remarque qu'un hôte peut avoir été piraté. Le responsable de la réponse aux incidents peut utiliser cette action pour demander une analyse en arrière-plan à la demande de l'hôte. Cette analyse vérifie s'il existe d'autres exécutables suspects sur l'hôte. Le capteur sur l'hôte crée des alertes pour ces exécutables suspects.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Analyse de l'arrière-plan de l'appareil" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de cas, l'action "Analyse de l'arrière-plan de l'appareil" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Activer le mode contournement pour l'appareil
Activez la tâche de contournement pour un appareil sur le serveur VMware Carbon Black Cloud. La tâche est basée sur les entités Adresse IP ou Hôte de Google SecOps SOAR.
Cas d'utilisation
Créez une tâche "Enable Bypass Mode" (Activer le mode contournement) sur le serveur VMware Carbon Black Cloud depuis Google SecOps SOAR.
Lors de l'analyse des alertes liées à un capteur ou à un hôte de plate-forme spécifique, un responsable des interventions a remarqué que le capteur générait plusieurs alertes de faux positifs. Il peut utiliser cette action pour activer le mode contournement afin de suivre les événements que l'agent distant traite comme des alertes et de mettre à jour les règles.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Activer le mode contournement pour l'appareil" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de requêtes, l'action "Activer le mode contournement pour l'appareil" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Désactiver le mode Contournement pour un appareil
Créez une tâche de désactivation du mode contournement pour les appareils sur le serveur VMware Carbon Black Cloud. La tâche est basée sur les entités Adresse IP ou Hôte de Google SecOps SOAR.
Cas d'utilisation
Après avoir activé le mode contournement sur un capteur spécifique et résolu les problèmes de configuration et de règles de VMware Carbon Black Cloud, un intervenant en cas d'incident a décidé que le capteur Carbon Black fonctionnait comme prévu et n'avait pas besoin de fonctionner en mode contournement. Ils exécutent l'action "Créer une tâche de désactivation du mode contournement pour l'appareil" afin de créer une tâche de désactivation du mode contournement sur un hôte spécifique.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Désactiver le mode contournement pour l'appareil" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur de requêtes, l'action "Désactiver le mode contournement pour l'appareil" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Mettre l'appareil en quarantaine
Créez une tâche de mise en quarantaine d'appareil sur le serveur VMware Carbon Black Cloud en fonction des entités Adresse IP ou Hôte Google SecOps SOAR.
Cas d'utilisation
Un intervenant en cas d'incident a remarqué qu'un hôte présentait des signes de compromission et peut utiliser cette tâche pour le mettre en quarantaine.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Mettre l'appareil en quarantaine" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Mettre l'appareil en quarantaine" :
[
{
"Entity": "siemplify-ID",
"EntityResult": {
"status": "done"
}
}
]
Messages de sortie
Sur un mur de cas, l'action "Mettre l'appareil en quarantaine" fournit les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Supprimer la mise en quarantaine d'un appareil
Créez une tâche de suppression de la mise en quarantaine d'un appareil sur le serveur VMware Carbon Black Cloud en fonction des entités Adresse IP ou Hôte Google SecOps SOAR.
Cas d'utilisation
Après avoir analysé et corrigé une alerte liée à un hôte spécifique géré par VMware Carbon Black Cloud, un responsable de la réponse aux incidents a découvert que l'hôte n'était pas compromis. Ils exécutent l'action "Unquarantine Device" (Supprimer la mise en quarantaine de l'appareil) pour créer une tâche hôte de suppression de la mise en quarantaine sur le serveur VMware Carbon Black Cloud et se connecter à l'hôte.
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Supprimer la mise en quarantaine de l'appareil" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur des cas, l'action "Sortir l'appareil de la quarantaine" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Failed to execute action! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Exécuter une recherche de processus d'entité
Utilisez cette action pour rechercher des informations sur les processus stockés dans VMware Carbon Black Cloud.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
- Utilisateur
- Hash
- Processus
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Première ligne | Integer | 0 | Non | Spécifiez la ligne à partir de laquelle extraire les données. |
| Nombre maximal de lignes à renvoyer | Integer | 50 | Non | Spécifiez le nombre de lignes que l'action doit renvoyer. |
| Créer un insight | Case à cocher | Non sélectionné | Non | Si cette option est sélectionnée, l'action crée un insight Google SecOps SOAR basé sur les informations de processus de Carbon Black Cloud. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Enrichissement d'entités
| Champ d'enrichissement | Logique |
|---|---|
| IsSuspicous | Défini sur "True" lorsque les données renvoyées incluent une catégorie d'alerte (alert_category) définie sur THREAT et une liste d'ID d'alerte (alert_ids) associée au processus. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Exécuter la recherche de processus d'entité" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Exécuter la recherche de processus d'entité" :
{
"results": [
{
"alert_category": [
"THREAT"
],
"alert_id": [
"19183229-384f-49a7-8ad7-87d0db243fcc",
"4dfc6aed-656d-41d1-9568-0de349d7a8b3",
"8eb04992-ed94-4471-8a71-fd78bad887de",
"ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
"edc046a0-98f0-43eb-b3c0-a67469c11d19",
"f365a912-1d79-421e-bccb-f57b52100be8"
],
"backend_timestamp": "2021-02-02T18:38:46.520Z",
"childproc_count": 0,
"crossproc_count": 0,
"device_external_ip": "161.47.37.87",
"device_group_id": 0,
"device_id": 3602123,
"device_installed_by": "sadiya@acalvio.com",
"device_internal_ip": "172.26.115.53",
"device_location": "UNKNOWN",
"device_name": "desktop1-win10",
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_policy": "test",
"device_policy_id": 32064,
"device_target_priority": "HIGH",
"device_timestamp": "2020-08-19T16:31:20.887Z",
"document_guid": "sF1Ug1--SEyLWljQrWe8NA",
"event_threat_score": [
6
],
"filemod_count": 0,
"ingress_time": 1612291119946,
"modload_count": 0,
"netconn_count": 0,
"org_id": "7DESJ9GN",
"parent_effective_reputation": "KNOWN_MALWARE",
"parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
"parent_hash": [
"86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
],
"parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
"parent_pid": 9940,
"parent_reputation": "KNOWN_MALWARE",
"process_cmdline": [
"powershell.exe -ep bypass"
],
"process_cmdline_length": [
25
],
"process_effective_reputation": "COMPANY_BLACK_LIST",
"process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
"process_hash": [
"908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"cda48fc75952ad12d99e526d0b6bf70a"
],
"process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
"process_pid": [
1464
],
"process_reputation": "COMPANY_BLACK_LIST",
"process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
"process_start_time": "2020-08-19T16:05:24.057Z",
"process_username": [
"DESKTOP1-WIN10\\acalvio"
],
"regmod_count": 0,
"scriptload_count": 0,
"watchlist_hit": [
"BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
"BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
]
}
],
"num_found": 1,
"num_available": 1,
"approximate_unaggregated": 6,
"num_aggregated": 6,
"contacted": 47,
"completed": 47
}
Messages de sortie
Sur un mur de dossiers, l'action "Exécuter la recherche des processus d'entité" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Execute Entity Processes Search". Error
is ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Lister les remplacements de réputation
Utilisez cette action pour lister les remplacements de réputation configurés dans VMware Carbon Black Cloud.
Cette action ne s'applique pas aux entités.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Liste de remplacement de la réputation | LDD | Non spécifié Valeurs possibles :
|
Non | Spécifiez l'action que la liste de remplacement doit renvoyer. |
| Type de remplacement de la réputation | LDD | Non spécifié Valeurs possibles :
|
Non | Spécifiez le type de remplacement que l'action doit renvoyer. |
| Première ligne | Integer | 0 | Non | Spécifiez à partir de quelle ligne l'action doit récupérer les données. |
| Nombre maximal de lignes à renvoyer | Integer | 50 | Non | Spécifiez le nombre de lignes que l'action doit renvoyer. |
| Ordre de tri des lignes | LDD | ASC Valeurs possibles :
|
Spécifiez l'ordre de tri des lignes renvoyées. Les lignes sont triées en fonction de la valeur create_time. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Table du mur des cas
Sur le mur des demandes, l'option "List Reputation Overrides" (Lister les remplacements de réputation) fournit les tableaux suivants :
Table SHA-256
Nom du tableau : "Found SHA-256 Reputation Overrides"
Colonnes du tableau :
- Hachage SHA-256
- Nom de fichier
- ID
- Liste des remplacements
- Description
- Source
- Référence de la source
- Création
- Créé par
Table CERT
Nom de la table : "Found CERT Reputation Overrides"
Colonnes du tableau :
- Autorité de certification
- Signé par
- ID
- Liste des remplacements
- Description
- Source
- Référence de la source
- Création
- Créé par
Tableau des OUTILS INFORMATIQUES
Nom de la table : "Found IT_TOOL Reputation Overrides"
Colonnes du tableau :
- Chemin d'accès aux outils informatiques
- Inclure les processus enfants
- ID
- Liste des remplacements
- Description
- Source
- Référence de la source
- Création
- Créé par
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Lister les remplacements de réputation" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Lister les remplacements de réputation" pour un certificat :
{
"num_found": 2,
"results": [
{
"id": "6b040826d43a11eb85899b2a3fb7559d",
"created_by": "user@example.com",
"create_time": "2021-06-23T15:48:13.355Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "",
"source": "APP",
"source_ref": null,
"signed_by": "Example Software Corp.",
"certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
}
]
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "List Reputation Overrides" (Lister les remplacements de réputation) pour un hachage SHA-256 :
{
"num_found": 25,
"results": [
{
"id": "0a0d2bf89d4d11ebbef6695028ab76fe",
"created_by": "I2TK7ET355",
"create_time": "2021-04-14T18:12:57.161Z",
"override_list": "WHITE_LIST",
"override_type": "SHA256",
"description": "Test Data",
"source": "APP",
"source_ref": null,
"sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
"filename": null
}
]
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Lister les remplacements de réputation" pour un outil informatique :
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
Messages de sortie
Sur un mur des cas, l'action "Lister les remplacements de réputation" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "List Reputation Overrides". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Créer un remplacement de réputation pour un certificat
Créez un remplacement de réputation pour le certificat. Pour en savoir plus sur le remplacement de la réputation, consultez Remplacement de la réputation.
Cette action ne s'applique pas aux entités.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Autorité de certification | Chaîne | Non applicable | Non | Spécifiez l'autorité de certification qui autorise la validité du certificat à ajouter au remplacement de la réputation. |
| Signé par | Chaîne | Oui | Spécifiez le nom du signataire à ajouter au remplacement de la réputation. | |
| Description | Chaîne | Non applicable | Non | Spécifiez une description pour la dérogation de réputation créée. |
| Liste de remplacement de la réputation | LDD | Non spécifié | Oui | Spécifiez la liste de remplacements à créer. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action "Créer un remplacement de réputation pour le certificat" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Créer un remplacement de réputation pour le certificat" :
{
"id": "fb19756cf03311eb81e9bf7658b8ce59",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:12:41.168Z",
"override_list": "WHITE_LIST",
"override_type": "CERT",
"description": "An override for a CERT",
"source": "APP",
"source_ref": null,
"signed_by": "Test signer for override",
"certificate_authority": "test cert ca"
}
Messages de sortie
Sur un mur de requêtes, l'action "Créer un remplacement de réputation pour le certificat" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Create a Reputation Override for
Certificate". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Créer un remplacement de réputation pour un hachage SHA-256
Créez un remplacement de réputation pour le hachage fourni au format SHA-256. Pour en savoir plus sur le remplacement de la réputation, consultez Remplacement de la réputation.
Cette action s'exécute sur l'entité FileHash si elle est fournie.
Vous pouvez fournir le hachage SHA-256 sous forme d'entité (artefact) Google SecOps SOAR FileHash ou en tant que paramètre d'entrée d'action. Si le hachage est transmis à l'action à la fois en tant qu'entité et en tant que paramètre d'entrée, l'action est exécutée sur le paramètre d'entrée.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Hachage SHA-256 | Chaîne | Non applicable | Non | Spécifiez une valeur de hachage SHA-256 pour laquelle créer un remplacement. |
| Nom de fichier | Chaîne | Non applicable | Oui | Spécifiez un nom de fichier correspondant à ajouter à un remplacement de réputation. |
| Description | Chaîne | Non applicable | Non | Spécifiez une description pour la dérogation de réputation créée. |
| Liste de remplacement de la réputation | LDD | Non spécifié | Oui | Spécifiez la liste de remplacements à créer. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action "Créer un remplacement de réputation pour le hachage SHA-256" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Créer un remplacement de réputation pour le hachage SHA-256" :
{
"id": "1ea6c923f03211eb83cf87b4dce84539",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T05:59:21.821Z",
"override_list": "BLACK_LIST",
"override_type": "SHA256",
"description": "An override for a sha256 hash",
"source": "APP",
"source_ref": null,
"sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
"filename": "foo.exe"
}
Messages de sortie
Sur un mur de requêtes, l'action "Créer un remplacement de réputation pour le hachage SHA-256" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Créer un remplacement de la réputation pour l'outil informatique
Utilisez cette action pour créer un remplacement de réputation pour l'outil informatique spécifique, tel que Jira ou ServiceNow. Le remplacement de la réputation est basé sur un nom de fichier et un chemin d'accès. Pour en savoir plus sur le remplacement de la réputation, consultez Remplacement de la réputation.
Cette action s'exécute sur l'entité "Fichier" si elle est fournie.
Vous pouvez fournir le nom de fichier sous la forme d'une entité (artefact) Google SecOps SOAR File ou en tant que paramètre d'entrée d'action. Si le nom de fichier est transmis à l'action à la fois en tant qu'entité et paramètre d'entrée, l'action utilise le paramètre d'entrée. L'action ajoute le nom du fichier au paramètre Chemin d'accès au fichier pour obtenir le chemin d'accès résultant et l'ajouter au remplacement.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du fichier | Chaîne | Non applicable | Non | Spécifiez le nom de fichier correspondant à ajouter au remplacement de la réputation. |
| Chemin d'accès au fichier | Chaîne | Non applicable | Oui | Spécifiez le chemin d'accès où l'outil informatique correspondant est stocké sur le disque pour ajouter le chemin d'accès au remplacement de la réputation. Voici un exemple :
C\\TMP\\. |
| Inclure les processus enfants | Case à cocher | Non sélectionné | Non | Si cette option est sélectionnée, les processus enfants de l'outil informatique sont inclus dans la liste approuvée. |
| Description | Chaîne | Non applicable | Non | Spécifiez une description pour la dérogation de réputation créée. |
| Liste de remplacement de la réputation | LDD | Non spécifié | Oui | Spécifiez la liste de remplacements à créer. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action "Créer un remplacement de réputation pour l'outil informatique" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Créer un remplacement de réputation pour l'outil informatique" :
{
"id": "067ebeeaf03311eb8bb20bf76c87cd52",
"created_by": "HZ9PEI2E3L",
"create_time": "2021-07-29T06:05:50.790Z",
"override_list": "BLACK_LIST",
"override_type": "IT_TOOL",
"description": "An override for an IT_TOOL",
"source": "APP",
"source_ref": null,
"path": "C:\\TMP\\TMP\\TMP\\foo.exe",
"include_child_processes": false
}
Messages de sortie
Sur un mur de demandes, l'action "Créer un remplacement de réputation pour l'outil informatique" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Supprimer un forçage de la réputation
Supprimez un remplacement de réputation à l'aide de l'ID de remplacement de réputation fourni. Pour en savoir plus sur le remplacement de la réputation, consultez Remplacement de la réputation.
Cette action ne s'applique pas aux entités.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de remplacement de la réputation | Chaîne | Non applicable | Oui | Spécifiez l'ID de remplacement de la réputation à supprimer. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action "Supprimer le remplacement de la réputation" :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Messages de sortie
Sur un mur des cas, l'action "Supprimer un forçage de réputation" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Delete a Reputation Override". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Lister les failles de l'hôte
Utilisez cette action pour lister les failles que Carbon Black Cloud a trouvées sur l'hôte.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Filtre de gravité | CSV | Non applicable | Non | Spécifiez la liste des niveaux de gravité des failles, séparés par une virgule. Si rien n'est fourni, l'action ingère toutes les failles associées. Valeurs possibles : "Critique", "Important", "Modéré", "Faible". |
| Nombre maximal de failles à renvoyer | Integer | 100 | Non | Spécifiez le nombre de failles à renvoyer pour chaque hôte. Si rien n'est fourni, l'action traite toutes les failles associées. |
Sorties d'action
L'action fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Enrichissement d'entités | Non disponible |
| Résultat du script | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "List Host Vulnerabilities" (Lister les failles de l'hôte) :
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Lister les failles de l'hôte" :
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"moderate": 1,
"low": 1
}
},
"details": [
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2015-2534",
"cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB3091287",
"solution": null,
"created_at": "2015-09-09T00:59:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
},
{
"os_product_id": "161_0",
"category": "OS",
"os_info": {
"os_type": "WINDOWS",
"os_name": "Microsoft Windows 10 Enterprise",
"os_version": "10.0.10240",
"os_arch": "64-bit"
},
"product_info": {
"vendor": null,
"product": null,
"version": null,
"release": null,
"arch": null
},
"vuln_info": {
"cve_id": "CVE-2017-8554",
"cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
"risk_meter_score": 0.9,
"severity": "LOW",
"fixed_by": "KB5016639",
"solution": null,
"created_at": "2017-06-29T13:29:00Z",
"nvd_link": "http://example",
"cvss_access_complexity": null,
"cvss_access_vector": null,
"cvss_authentication": null,
"cvss_availability_impact": null,
"cvss_confidentiality_impact": null,
"cvss_integrity_impact": null,
"easily_exploitable": null,
"malware_exploitable": null,
"active_internet_breach": null,
"cvss_exploit_subscore": null,
"cvss_impact_subscore": null,
"cvss_vector": null,
"cvss_v3_exploit_subscore": null,
"cvss_v3_impact_subscore": null,
"cvss_v3_vector": null,
"cvss_score": null,
"cvss_v3_score": null
},
"device_count": 1,
"affected_assets": null
}
]
}
Messages de sortie
Sur un mur de cas, l'action "Lister les failles de l'hôte" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Connecteurs
Les connecteurs suivants peuvent être utilisés dans l'intégration VMware Carbon Black Cloud :
Le connecteur d'alertes est obsolète. Il utilise les mêmes données d'alerte Carbon Black pour les alertes et événements Google SecOps SOAR, ce qui signifie qu'il manque complètement les données d'événement Carbon Black. Utilisez plutôt le connecteur de référence ou le connecteur de suivi.
Le connecteur de référence récupère les alertes et les événements de Carbon Black. Ce connecteur ne surveille pas l'ajout de nouveaux événements aux alertes Carbon Black.
Le connecteur de suivi récupère les alertes et les événements de Carbon Black, et surveille si de nouveaux événements sont ajoutés aux alertes déjà ingérées. Si un nouvel événement apparaît dans une alerte CB, le connecteur crée une alerte Google SecOps SOAR avec les événements qui ont été ajoutés à une alerte Carbon Black.
Pour savoir comment configurer un connecteur dans Google SecOps SOAR, consultez Configurer le connecteur.
Connecteur d'alertes VMware Carbon Black Cloud – Obsolète
Recevez des alertes de VMware Carbon Black Cloud en tant qu'alertes Google SecOps SOAR pour les analyser dans la plate-forme Google SecOps SOAR.
Présentation des connecteurs
Le connecteur se connecte régulièrement au point de terminaison de l'API VMware Carbon Black Cloud et extrait la liste des alertes générées au cours d'une période spécifique. Si de nouvelles alertes sont présentes, le connecteur crée des alertes Google SecOps SOAR en fonction des alertes Carbon Black Cloud et enregistre le code temporel du connecteur comme heure de la dernière alerte ingérée. Lors de la prochaine exécution du connecteur, celui-ci interroge l'API Carbon Black uniquement pour les alertes créées après l'horodatage.
Le connecteur recherche les alertes en double (également appelées alertes marquées comme "overflow") et ne crée pas d'alertes Google SecOps SOAR à partir de ces alertes.
Mode test : le connecteur dispose d'un mode test à des fins de débogage et de dépannage. En mode test, le connecteur effectue les opérations suivantes :
- Ne pas mettre à jour le code temporel de la dernière exécution.
- Récupérez les alertes en fonction du nombre d'heures spécifié pour lesquelles vous souhaitez les extraire.
- Renvoie une seule alerte pour l'ingestion.
Communications chiffrées : le connecteur est compatible avec les communications chiffrées (SSL ou TLS).
Prise en charge du proxy : le connecteur permet de se connecter aux points de terminaison de l'API à l'aide d'un proxy pour le trafic HTTPS.
Compatibilité Unicode : le connecteur est compatible avec l'encodage Unicode pour les alertes traitées.
Autorisations des API
Le connecteur Carbon Black Cloud utilise les mêmes identifiants d'API que l'intégration Carbon Black Cloud. Pour en savoir plus sur la configuration de l'API pour Carbon Black Cloud, consultez la section Conditions préalables.
Paramètres du connecteur
Pour configurer ou modifier les paramètres du connecteur, vous devez être inclus dans le groupe d'autorisations "Administrateurs" dans Google SecOps. Pour en savoir plus sur les groupes d'autorisations pour les utilisateurs, consultez Utiliser des groupes d'autorisations.
Utilisez les paramètres suivants pour configurer le connecteur :
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Environnement | LDD | Non applicable | Oui | Sélectionnez l'environnement requis. Par exemple, "Client 1". Si le champ "Environnement" de l'alerte est vide, l'alerte est injectée dans cet environnement. |
| Exécuter chaque | Integer | 0:0:0:10 | Non | Sélectionnez l'heure à laquelle exécuter la connexion. |
| Nom du champ de produit | Chaîne | ProductName | Oui | Nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | AlertName | Oui | Nom du champ dans lequel le nom de l'événement est stocké. |
| ID de la classe d'événement | Chaîne | AlertName | Non | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| Délai d'expiration du processus Python | Chaîne | 180 | Oui | Délai limite (en secondes) pour le processus Python qui exécute le script actuel. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" est introuvable, l'environnement est |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est |
| Racine de l'API | Chaîne | Non applicable | Oui | URL racine de l'API VMware Carbon Black Cloud. |
| Clé de l'organisation | Chaîne | N/A | Oui | Clé d'organisation VMware Carbon Black Cloud. |
| ID de l'API | Chaîne | N/A | Oui | ID de l'API VMware Carbon Black Cloud (ID de clé API personnalisée). |
| Clé secrète de l'API | Chaîne | N/A | Oui | Clé secrète de l'API VMware Carbon Black Cloud (clé secrète de l'API personnalisée). |
| Décalage horaire en heures | Integer | 24 | Oui | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Nombre d'alertes à traiter lors d'une seule exécution du connecteur. |
| Gravité minimale à récupérer | Integer | N/A | Non | Gravité minimale de l'alerte Carbon Black Cloud à ingérer dans Google SecOps SOAR. |
| Quel champ d'alerte utiliser pour le champ "Nom" ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Nom de l'alerte Google SecOps SOAR". Les valeurs possibles sont "type" et "policy_name". |
| Quel champ d'alerte utiliser pour le générateur de règles ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Générateur de règles d'alerte Google SecOps SOAR". Les valeurs possibles sont "type", "category" et "policy_name". |
| Adresse du serveur proxy | IP_OR_HOST | Non applicable | Non | Serveur proxy à utiliser pour la connexion. |
| Nom d'utilisateur du serveur proxy | Chaîne | Non applicable | Non | Nom d'utilisateur du serveur proxy. |
| Mot de passe du serveur proxy | Mot de passe | Non applicable | Non | Mot de passe du serveur proxy. |
Règles du connecteur
- Le connecteur est compatible avec l'utilisation de proxys.
Connecteur de base des alertes et événements VMware Carbon Black Cloud
Présentation
Utilisez le connecteur VMware Carbon Black Cloud Baseline pour ingérer les alertes Carbon Black Cloud et les événements associés. Une fois les alertes ingérées, Google SecOps les marque comme traitées et ne récupère aucune mise à jour pour elles. Pour récupérer les mises à jour des alertes, utilisez le connecteur de suivi.
Personnaliser les champs "Nom de l'alerte" et "Générateur de règles" dans Google SecOps
Le connecteur permet de personnaliser les valeurs des champs Nom de l'alerte et Générateur de règles de Google SecOps SOAR à l'aide de modèles. Pour les modèles, le connecteur récupère les données d'alerte Carbon Black Cloud renvoyées par l'API.
Vous trouverez ci-dessous un exemple des données d'alerte Carbon Black Cloud renvoyées par l'API. Les données d'alerte font référence aux champs disponibles dans l'alerte et peuvent être utilisées pour les modèles :
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
Paramètres du connecteur
Pour configurer ou modifier les paramètres du connecteur, vous devez être inclus dans le groupe d'autorisations "Administrateurs" dans Google SecOps. Pour en savoir plus sur les groupes d'autorisations pour les utilisateurs, consultez Utiliser des groupes d'autorisations.
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | ProductName | Oui | Nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | AlertName | Oui | Nom du champ dans lequel le nom de l'événement est stocké. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" est introuvable, l'environnement est |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est |
| Racine de l'API | Chaîne | https://defense.conferdeploy.net |
Oui | URL racine de l'API VMware Carbon Black Cloud. |
| Clé de l'organisation | Chaîne | Non applicable | Oui | Clé d'organisation VMware Carbon Black Cloud. Par exemple, 7DDDD9DD. |
| ID de l'API | Chaîne | Non applicable | Oui | ID de l'API VMware Carbon Black Cloud (ID de clé API personnalisée). |
| Clé secrète de l'API | Chaîne | Non applicable | Oui | Clé secrète de l'API VMware Carbon Black Cloud (clé secrète de l'API personnalisée). |
| Décalage horaire en heures | Integer | 24 | Oui | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Nombre d'alertes à traiter lors d'une seule exécution du connecteur. |
| Gravité minimale à récupérer | Integer | N/A | Non | Gravité minimale de l'alerte Carbon Black Cloud à ingérer dans Google SecOps SOAR. Par exemple, 4 ou 7. |
| Quel champ d'alerte utiliser pour le champ "Nom" ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Nom de l'alerte Google SecOps SOAR". Les valeurs possibles sont "type" et "policy_name". |
| Quel champ d'alerte utiliser pour le générateur de règles ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Générateur de règles d'alerte Google SecOps SOAR". Les valeurs possibles sont "type", "category" et "policy_name". |
| Ingérer la réputation des alertes | Chaîne | Non applicable | Non | Réputation Carbon Black Cloud de l'alerte à ingérer. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Limite d'événements à ingérer par alerte | Integer | 25 | Oui | Nombre d'événements à ingérer dans chaque alerte Carbon Black Cloud. |
| Adresse du serveur proxy | IP_OR_HOST | Non applicable | Non | Serveur proxy à utiliser pour la connexion. |
| Nom d'utilisateur du serveur proxy | Chaîne | Non applicable | Non | Nom d'utilisateur du serveur proxy. |
| Mot de passe du serveur proxy | Mot de passe | Non applicable | Non | Mot de passe du serveur proxy. |
| Modèle de nom d'alerte | Chaîne | Non applicable | Non | Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'alerte de la réponse de l'API Carbon Black Cloud pour remplir le champ "Nom de l'alerte". Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Alerte : [raison]. La longueur maximale de ce champ est de 256 caractères. Si vous ne fournissez rien ou si vous indiquez un modèle non valide, le connecteur utilise le nom d'alerte par défaut. |
| Modèle de générateur de règles | Chaîne | N/A | Non | Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'alerte de la réponse de l'API Carbon Black Cloud pour remplir le champ "Générateur de règles". Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Alerte : [raison]. La longueur maximale de ce champ est de 256 caractères. Si vous ne fournissez rien ou si vous fournissez un modèle non valide, le connecteur utilise la valeur par défaut du générateur de règles. |
Règles du connecteur
- Le connecteur est compatible avec l'utilisation de proxys.
Connecteur de suivi des alertes et événements VMware Carbon Black Cloud
Présentation
Utilisez le connecteur VMware Carbon Black Cloud Tracking pour extraire les alertes et les événements associés de Carbon Black Cloud. Si le connecteur détecte de nouveaux événements pour des alertes Carbon Black Cloud déjà traitées, il crée une alerte Google SecOps SOAR supplémentaire pour chaque nouvel événement détecté.
Personnaliser les champs "Nom de l'alerte" et "Générateur de règles" dans Google SecOps
Le connecteur permet de personnaliser les valeurs des champs Nom de l'alerte et Générateur de règles de Google SecOps SOAR à l'aide de modèles. Pour les modèles, le connecteur récupère les données d'alerte Carbon Black Cloud renvoyées par l'API.
Vous trouverez ci-dessous un exemple des données d'alerte Carbon Black Cloud renvoyées par l'API. Les données d'alerte font référence aux champs disponibles dans l'alerte et peuvent être utilisées pour les modèles :
{
"id": "aa751d91-6623-1a6b-8b4a-************",
"legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
"org_key": "7DE****",
"create_time": "2022-03-22T18:12:48.593Z",
"last_update_time": "2022-03-22T18:13:12.504Z",
"first_event_time": "2022-03-22T15:16:01.015Z",
"last_event_time": "2022-03-22T15:45:25.316Z",
"threat_id": "31c53f050ca571be0af1b29f2d06****",
"severity": 5,
"category": "THREAT",
"device_id": 131****,
"device_os": "WINDOWS",
"device_os_version": "Windows 10 x64",
"device_name": "**********",
"device_username": "Administrator",
"policy_name": "default",
"target_value": "MEDIUM",
"workflow": {
"state": "OPEN",
"remediation": null,
"last_update_time": "2022-03-22T18:12:48.593Z",
"comment": null,
"changed_by": "Carbon Black"
},
"notes_present": false,
"tags": null,
"policy_id": 6525,
"reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
"reason_code": "T_RUN_ANY",
"process_name": "waappagent.exe",
"device_location": "OFFSITE",
"created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
"threat_indicators": [
{
"process_name": "waappagent.exe",
"sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "services.exe",
"sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
"ttps": [
"RUN_BLACKLIST_APP"
]
},
{
"process_name": "svchost.exe",
"sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
"ttps": [
"COMPANY_BLACKLIST",
"MODIFY_MEMORY_PROTECTION",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
},
{
"process_name": "windowsazureguestagent.exe",
"sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"ttps": [
"ATTEMPTED_CLIENT",
"COMPANY_BLACKLIST",
"MITRE_T1082_SYS_INF_DISCOVERY",
"MITRE_T1106_NATIVE_API",
"MITRE_T1571_NON_STD_PORT",
"NON_STANDARD_PORT",
"RUN_ANOTHER_APP",
"RUN_SYSTEM_APP"
]
}
],
"threat_activity_dlp": "NOT_ATTEMPTED",
"threat_activity_phish": "NOT_ATTEMPTED",
"threat_activity_c2": "NOT_ATTEMPTED",
"threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
"threat_cause_actor_name": "windowsazureguestagent.exe",
"threat_cause_actor_process_pid": "3504-132914439190103761-0",
"threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
"threat_cause_parent_guid": null,
"threat_cause_reputation": "TRUSTED_WHITE_LIST",
"threat_cause_threat_category": null,
"threat_cause_vector": "UNKNOWN",
"threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
"blocked_threat_category": "UNKNOWN",
"not_blocked_threat_category": "NON_MALWARE",
"kill_chain_status": [
"INSTALL_RUN"
],
"sensor_action": null,
"run_state": "RAN",
"policy_applied": "NOT_APPLIED",
"type": "CB_ANALYTICS",
"alert_classification": null
}
Paramètres du connecteur
Pour configurer ou modifier les paramètres du connecteur, vous devez être inclus dans le groupe d'autorisations "Administrateurs" dans Google SecOps. Pour en savoir plus sur les groupes d'autorisations pour les utilisateurs, consultez Utiliser des groupes d'autorisations.
Utilisez les paramètres suivants pour configurer le connecteur :
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | ProductName | Oui | Nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | AlertName | Oui | Nom du champ dans lequel le nom de l'événement est stocké. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" est introuvable, l'environnement est |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est |
| Racine de l'API | Chaîne | https://defense.conferdeploy.net |
Oui | URL racine de l'API VMware Carbon Black Cloud. |
| Clé de l'organisation | Chaîne | Non applicable | Oui | Clé d'organisation VMware Carbon Black Cloud. Par exemple, 7DDDD9DD. |
| ID de l'API | Chaîne | Non applicable | Oui | ID de l'API VMware Carbon Black Cloud (ID de clé API personnalisée). |
| Clé secrète de l'API | Chaîne | N/A | Oui | Clé secrète de l'API VMware Carbon Black Cloud (clé secrète de l'API personnalisée). |
| Décalage horaire en heures | Integer | 24 | Oui | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Nombre d'alertes à traiter lors d'une seule exécution du connecteur. |
| Gravité minimale à récupérer | Integer | Non applicable | Non | Gravité minimale de l'alerte Carbon Black Cloud à ingérer dans Google SecOps SOAR. Par exemple, 4 ou 7. |
| Quel champ d'alerte utiliser pour le champ "Nom" ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Nom de l'alerte Google SecOps SOAR". Les valeurs possibles sont "type" et "policy_name". |
| Quel champ d'alerte utiliser pour le générateur de règles ? | Chaîne | type | Oui | Champ d'alerte Carbon Black Cloud à utiliser pour le champ "Générateur de règles d'alerte Google SecOps SOAR". Les valeurs possibles sont "type", "category" et "policy_name". |
| Ingérer la réputation des alertes | Chaîne | Non applicable | Non | Alerte de réputation Carbon Black Cloud à ingérer. Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. |
| Période de marge des événements (en heures) | Integer | 24 | Oui | Nombre d'heures à partir desquelles récupérer les événements d'alerte. |
| Limite d'événements à ingérer par alerte | Integer | 25 | Oui | Nombre d'événements à ingérer dans une seule alerte Carbon Black Cloud pour chaque itération du connecteur. |
| Adresse du serveur proxy | IP_OR_HOST | Non applicable | Non | Serveur proxy à utiliser pour la connexion. |
| Nom d'utilisateur du serveur proxy | Chaîne | Non applicable | Non | Nom d'utilisateur du serveur proxy. |
| Mot de passe du serveur proxy | Mot de passe | Non applicable | Non | Mot de passe du serveur proxy. |
| Modèle de nom d'alerte | Chaîne | Non applicable | Non | Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'alerte de la réponse de l'API Carbon Black Cloud pour remplir le champ "Nom de l'alerte". Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Alerte : [raison]. La longueur maximale de ce champ est de 256 caractères. Si vous ne fournissez rien ou si vous fournissez un modèle non valide, le connecteur utilise la valeur par défaut du nom de l'alerte. |
| Modèle de générateur de règles | Chaîne | Non applicable | Non | Si elle est spécifiée, le connecteur utilise cette valeur à partir des données d'alerte de la réponse de l'API Carbon Black Cloud pour remplir le champ "Générateur de règles". Vous pouvez fournir des espaces réservés au format suivant : [nom du champ]. Exemple : Règle : [raison]. La longueur maximale de ce champ est de 256 caractères. Si vous ne fournissez rien ou si vous fournissez un modèle non valide, le connecteur utilise la valeur par défaut du générateur de règles. |
| Limite totale d'événements par alerte | Integer | 100 | Non | Nombre total d'événements récupérés par le connecteur pour chaque alerte Carbon Black Cloud. Si cette limite est atteinte, le connecteur ne récupère aucun nouvel événement pour une alerte. Pour ne pas limiter le nombre total d'événements pour chaque alerte, laissez la valeur de ce paramètre vide. |
Règles du connecteur
- Le connecteur est compatible avec l'utilisation de proxys.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.