VMware Carbon Black Cloud

Este documento fornece orientações aos administradores sobre como configurar e integrar o VMware Carbon Black Cloud com o módulo SOAR do Google Security Operations.

Versão de integração: 32.0

Vista geral

A integração do VMware Carbon Black Cloud ajuda-o nas seguintes tarefas:

  • Carregue eventos e alertas do VMware Carbon Black Cloud para criar alertas.

    O Google SecOps usa alertas para realizar orquestrações com manuais de procedimentos ou análises manuais.

  • Realizar ações de enriquecimento.

    Obtenha dados do VMware Carbon Black Cloud para enriquecer os dados nos alertas do Google SecOps.

  • Realizar ações ativas.

    Agende uma análise e coloque em quarentena um anfitrião no Google SecOps SOAR através do agente do VMware Carbon Black Cloud.

Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia do código-fonte completo desta integração a partir do contentor do Cloud Storage.

Pré-requisitos

Esta secção aplica-se à configuração inicial da integração. Para garantir que os dados fluem conforme esperado do VMware Carbon Black Cloud para o Google SecOps, conclua os passos indicados nesta secção no VMware Carbon Black Cloud.

Para configurar o acesso à API para a integração do VMware Carbon Black Cloud, conclua os seguintes passos:

  1. Configure o nível de acesso.
  2. Crie uma chave da API.

Esta integração tem limitações. Para mais informações sobre limitações, consulte o artigo Configure a substituição de reputação na documentação do VMware Carbon Black Cloud.

Configure o nível de acesso

Para configurar o nível de acesso para a integração do VMware Carbon Black Cloud, conclua os seguintes passos:

  1. Na consola do VMware Carbon Black Cloud, aceda a Settings > API Access.

  2. Selecione Níveis de acesso.

  3. Clique em Adicionar nível de acesso.

  4. Indique um nome e uma descrição para o novo nível de acesso e selecione as seguintes autorizações:

    Categoria Nome da autorização .Nome da notação Tipo de autorização
    Alertas Informações gerais org.alerts Leitura
    Alertas Ignorar org.alerts.dismiss Execute
    Dispositivo Quarentena device.quarantine Execute
    Dispositivo Ignorar device.bypass Execute
    Dispositivo Informações gerais dispositivo Leitura
    Dispositivo Atribuição policial device.policy Atualizar
    Dispositivo Análise em segundo plano device.bg-scan Execute
    Pesquisar Eventos org.search.events

    Criar

    Leitura

  5. Clique em Guardar.

Crie uma chave da API

Para criar uma chave da API para a integração do VMware Carbon Black Cloud, conclua os seguintes passos:

  1. Na consola do VMware Carbon Black Cloud, aceda a Settings > API Access > API Keys.

  2. Clique em Adicionar chave da API.

  3. Introduza o nome da chave e selecione o nível de acesso que criou numa secção anterior.

  4. Clique em Guardar para obter o par de ID da API e chave secreta da API.

    Guarde o valor da chave secreta da API, uma vez que não o pode obter mais tarde.

Integre o VMware Carbon Black Cloud com o Google SecOps

Para configurar ou editar os parâmetros de integração, tem de estar incluído no grupo de autorizações de administradores no Google SecOps. Para ver mais detalhes sobre os grupos de autorizações para utilizadores, consulte o artigo Trabalhar com grupos de autorizações.

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da instância String Não aplicável Não Nome da instância para a qual pretende configurar a integração.
Descrição String Não aplicável Não Descrição da instância.
Raiz da API String https://defense.conferdeploy.net/ Sim URL raiz da API VMware Carbon Black Cloud.
Chave da organização String Não aplicável Sim Chave da organização do VMware Carbon Black Cloud.
ID da API String Não aplicável Sim ID da API VMware Carbon Black Cloud (ID da chave de API personalizada).
Chave secreta da API String Não aplicável Sim Chave secreta da API VMware Carbon Black Cloud (chave secreta da API personalizada).
Validar SSL Caixa de verificação Selecionado Não Se esta opção estiver selecionada, o Google SecOps verifica se o certificado SSL para a ligação ao servidor do VMware Carbon Black Cloud é válido.
Executar remotamente Caixa de verificação Não selecionado Não Selecione a caixa de verificação para executar a integração configurada remotamente. Depois de selecionar a caixa de verificação, é apresentada a opção para selecionar o utilizador remoto (agente).

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode alterar a configuração numa fase posterior. Depois de configurar as instâncias, pode usá-las em manuais de procedimentos. Para informações detalhadas sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Tchim-tchim

Teste a conetividade à VMware Carbon Black Cloud.

Parâmetros

Nenhum.

Exemplos de utilização

A ação testa a conetividade quando é executada a partir da página de configuração da integração no separador Google SecOps Marketplace. Pode executar esta ação manualmente, mas não a pode usar nos seus manuais de procedimentos.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Resultado do script Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Ping:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Num mural de registos, a ação Ping apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters! Ação efetuada com êxito.
Failed to connect to the VMware Carbon Black Cloud server! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Enriquecer entidades

Enriquecer as entidades de endereço IP ou anfitrião do SOAR do Google SecOps com base nas informações do dispositivo do VMware Carbon Black Cloud.

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião

Exemplos de utilização

Enriquecer as entidades de IP ou anfitrião do SOAR do Google SecOps com informações da VMware Carbon Black Cloud, se o agente do Carbon Black estiver instalado num endereço IP ou numa entidade de anfitrião respetiva.

Para ajudar um responsável pela resposta a incidentes a investigar um possível alerta de software malicioso de um anfitrião com um sensor instalado, o VMware Carbon Black Cloud pode fornecer dados de enriquecimento, como as informações do anfitrião, o estado do sensor e a respetiva política do Carbon Black.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Enriquecimento de entidades
Campo de enriquecimento Aplicabilidade
CB_Cloud.device_id Sempre
CB_Cloud.antivirus_status Sempre
CB_Cloud.antivirus_last_scan_time Se as informações forem apresentadas no resultado JSON
CB_Cloud.owner_email Se as informações forem apresentadas no resultado JSON
CB_Cloud.owner_first_name Se as informações forem apresentadas no resultado JSON
CB_Cloud.owner_last_name Se as informações forem apresentadas no resultado JSON
CB_Cloud.last_contact_time Sempre
CB_Cloud._last_device_policy_changed_time Se as informações forem apresentadas no resultado JSON
CB_Cloud.last_external_ip_address Sempre
CB_Cloud.last_internal_ip_address Sempre
CB_Cloud.last_location Sempre
CB_Cloud.full_device_name Sempre
CB_Cloud.organization_id Sempre
CB_Cloud.organization_name Sempre
CB_Cloud.device_os Se as informações forem apresentadas no resultado JSON
CB_Cloud.device_os_version Se as informações forem apresentadas no resultado JSON
CB_Cloud.passive_mode Sempre
CB_Cloud.device_policy_id Sempre
CB_Cloud.device_policy_name Sempre
CB_Cloud.device_policy_override Se for verdadeiro
CB_Cloud.quarantined Sempre
CB_Cloud.scan_status Se as informações forem apresentadas no resultado JSON
CB_Cloud.sensor_out_of_date Sempre
CB_Cloud.sensor_states Sempre
CB_Cloud.sensor_version Sempre
CB_Cloud.device_status Sempre
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich Entities:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Enrich Entities:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}
Mensagens de saída

Num mural de registos, a ação Enriquecer entidades fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully enriched entities: ENTITY_ID_LIST

No entities were enriched.

Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute Enrich Entities action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Ignore o alerta do VMware Carbon Black Cloud

Ignorar alerta do VMware Carbon Black Cloud.

Nos eventos criados pelo conetor de alertas do VMware Carbon Black Cloud, o campo Event.id pode ser transmitido como um marcador de posição para o ID do alerta para ignorar um alerta na ação Ignorar alerta do VMware Carbon Black Cloud.

Esta ação aceita IDs de alertas no formato alfanumérico, como 27162661199ea9a043c11ea9a29a93652bc09fd, e não no formato apresentado na IU, como DONAELUN.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do alerta String Não aplicável Sim ID do alerta a ignorar no servidor VMware Carbon Black Cloud. Especifique o ID do alerta no formato alfanumérico, como 27162661199ea9a043c11ea9a29a93652bc09fd, e não no formato apresentado na IU como DONAELUN.
Motivo para ignorar LDD Nenhum motivo para ignorar Não Motivo da rejeição do alerta do VMware Carbon Black Cloud. Os valores possíveis são os seguintes:
  • Nenhum motivo para ignorar
  • Resolvido
  • Resolvido – Benigno/Conhecido como bom
  • Duplicar/Limpar
  • Outro
Determinação LDD Nenhum Não O valor de determinação a definir para um alerta. Os valores possíveis são os seguintes:
  • Nenhum
  • Verdadeiro positivo
  • Falso positivo
Mensagem para ignorar alertas String Não aplicável Não Mensagem a adicionar à rejeição do alerta.

Exemplos de utilização

Rejeite ou feche um alerta do VMware Carbon Black Cloud com base na análise feita no Google SecOps SOAR.

Depois de o alerta ser processado no Google SecOps SOAR, para manter o estado do alerta sincronizado entre o VMware Carbon Black Cloud e o Google SecOps SOAR, o utilizador precisa de uma ação que rejeite (feche) o alerta do VMware Carbon Black Cloud a partir do Google SecOps SOAR.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores da saída do resultado do script quando usa a ação Dismiss VMware Carbon Black Cloud Alert:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Numa Case Wall, a ação Dismiss VMware Carbon Black Cloud Alert (Ignorar alerta do VMware Carbon Black Cloud) apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID

Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON

 Ação efetuada com êxito.
Failed to execute Dismiss alert action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Atualize uma política para um dispositivo através do ID da política

Altere uma política no sensor do VMware Carbon Black Cloud num anfitrião. O âmbito da ação é a entidade de endereço IP ou anfitrião.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID da política Número inteiro Não aplicável Sim Especifique uma política a associar ao sensor do VMware Carbon Black Cloud.

Exemplos de utilização

Crie uma tarefa de atualização de políticas no servidor do VMware Carbon Black Cloud a partir do Google SecOps SOAR.

Ao analisar os alertas, um responsável pela resposta a incidentes reparou que o mesmo anfitrião gerou vários alertas falsos positivos num curto período de tempo. Podem usar esta ação para criar uma tarefa de atualização da política que altere a política de sensores para ser menos restritiva.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Update a Policy for Device by Policy ID (Atualizar uma política para o dispositivo por ID da política):

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Num mural de registos, a ação Atualizar uma política para o dispositivo por ID da política apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Análise de fundo do dispositivo

Crie uma tarefa de análise em segundo plano do dispositivo no servidor VMware Carbon Black Cloud que se baseia nas entidades de endereço IP ou anfitrião.

Exemplos de utilização

Crie uma tarefa de análise em segundo plano para o anfitrião através do sensor do VMware Carbon Black Cloud do Google SecOps SOAR.

Ao analisar os alertas, um responsável pela resposta a incidentes repara que um anfitrião pode estar comprometido. O responsável pela resposta a incidentes pode usar esta ação para pedir uma análise em segundo plano a pedido do anfitrião. Esta análise verifica se existem outros executáveis suspeitos no anfitrião e o sensor no anfitrião cria alertas para estes executáveis suspeitos.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Device Background Scan:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Numa parede de capas, a ação de verificação em segundo plano do dispositivo fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created a background scan task for the following entities: ENTITY_ID_LIST

No tasks were created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Ative o modo de desvio para o dispositivo

Ative a tarefa do modo de desvio para um dispositivo no servidor do VMware Carbon Black Cloud. A tarefa baseia-se no endereço IP ou nas entidades de anfitrião do Google SecOps SOAR.

Exemplos de utilização

Crie uma tarefa de modo de ignorar a ativação no servidor do VMware Carbon Black Cloud a partir do Google SecOps SOAR.

Ao analisar alertas relacionados com um sensor ou um anfitrião de uma plataforma específica, um responsável pela resposta a incidentes reparou que o sensor cria vários alertas falsos positivos. Podem usar esta ação para ativar o modo de desvio para acompanhar os eventos que o agente remoto processa como alertas e atualizar as políticas.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Enable Bypass Mode for Device:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Numa Case Wall, a ação Ativar modo de bypass para o dispositivo fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST

No taskswere created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Desative o modo de bypass para o dispositivo

Crie uma tarefa de modo de ignorar desativação para dispositivos no servidor VMware Carbon Black Cloud. A tarefa baseia-se no endereço IP do Google SecOps SOAR ou nas entidades de anfitrião.

Exemplos de utilização

Depois de ativar o modo de desvio num sensor específico e resolver problemas com a configuração e as políticas do VMware Carbon Black Cloud, um responsável pela resposta a incidentes decidiu que o sensor do Carbon Black funciona como esperado e não requer o funcionamento num modo de desvio. Executam a ação Create Disable Bypass Mode Task for Device para criar uma tarefa para desativar o modo de desvio num anfitrião específico.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Disable Bypass Mode for Device:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Numa Case Wall, a ação Disable Bypass Mode for Device (Desativar modo de bypass para o dispositivo) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Coloque o dispositivo em quarentena

Crie uma tarefa de dispositivo em quarentena no servidor do VMware Carbon Black Cloud com base nas entidades de endereço IP ou anfitrião do Google SecOps SOAR.

Exemplos de utilização

Um responsável pela resposta a incidentes reparou que um anfitrião estava a apresentar sinais de comprometimento e pode usar esta tarefa para o colocar em quarentena.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Quarantine Device:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Quarantine Device:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]
Mensagens de saída

Numa parede de registos, a ação Colocar dispositivo em quarentena apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Remova o dispositivo da quarentena

Crie uma tarefa de remoção da quarentena do dispositivo no servidor do VMware Carbon Black Cloud com base nas entidades de endereço IP ou anfitrião do Google SecOps SOAR.

Exemplos de utilização

Após analisar e corrigir um alerta relacionado com um anfitrião específico gerido pela VMware Carbon Black Cloud, um responsável pela resposta a incidentes descobriu que o anfitrião não está comprometido. Executam a ação Unquarantine Device para criar uma tarefa de anfitrião de remoção da quarentena no servidor VMware Carbon Black Cloud e estabelecer ligação ao anfitrião.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Unquarantine Device:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Numa Case Wall, a ação Unquarantine Device (Remover dispositivo da quarentena) apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Failed to execute action! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Use esta ação para pesquisar informações sobre processos que estão armazenados no VMware Carbon Black Cloud.

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Anfitrião
  • Utilizador
  • Hash
  • Processo
Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Começar a partir da linha Número inteiro 0 Não Especifique a linha a partir da qual quer obter dados.
Máximo de linhas a devolver Número inteiro 50 Não Especifique o número de linhas que a ação deve devolver.
Crie estatísticas Caixa de verificação Não selecionado Não Se selecionada, a ação cria uma estatística do SOAR do Google SecOps com base nas informações do processo do Carbon Black Cloud.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Enriquecimento de entidades
Campo de enriquecimento Lógica
IsSuspicous Definido como verdadeiro quando os dados devolvidos incluem uma categoria de alerta (alert_category) definida como THREAT e uma lista de IDs de alertas (alert_ids) associados ao processo.
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação de pesquisa do processo de entidade:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute Entity Processes Search:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}
Mensagens de saída

Numa Case Wall, a ação Execute Entity Processes Search fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Process information was found for the following entities ENTITY_ID_LIST

Process information was not found for all of the provided entities.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Error executing action "Execute Entity Processes Search". Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Apresente substituições de reputação

Use esta ação para listar as substituições de reputação configuradas no VMware Carbon Black Cloud.

Esta ação não é executada em entidades.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Lista de substituição de reputação LDD

Não especificado

Valores possíveis:

  • Não especificado
  • White_List
  • Black_List
 Não Especificar a ação da lista de substituição que deve ser devolvida.
Tipo de substituição da reputação LDD

Não especificado

Valores possíveis:

  • Não especificado
  • SHA256 CERT
  • IT_TOOL
 Não Especifique a ação do tipo de substituição que deve ser devolvida.
Começar a partir da linha Número inteiro 0 Não Especifique a partir de que linha a ação deve obter dados.
Máximo de linhas a devolver Número inteiro 50 Não Especifique o número de linhas que a ação deve devolver.
Ordem de ordenação das linhas LDD

ASC

Valores possíveis:

  • ASC
  • DESC
 Especifique a ordem de ordenação das linhas devolvidas. As linhas são ordenadas com base no valor de create_time.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Mesa de parede para caixas

Na página de registo do caso, a opção List Reputation Overrides apresenta as seguintes tabelas:

  • Tabela SHA-256

    Nome da tabela: substituições de reputação SHA-256 encontradas

    Colunas da tabela:

    • Hash SHA-256
    • Nome do ficheiro
    • ID
    • Lista de substituições
    • Descrição
    • Origem
    • Referência da fonte
    • Data de criação
    • Criado Por

  • Tabela CERT

    Nome da tabela: substituições de reputação de CERT encontradas

    Colunas da tabela:

    • Autoridade de certificação
    • Assinado por
    • ID
    • Lista de substituições
    • Descrição
    • Origem
    • Referência da fonte
    • Data de criação
    • Criado Por

  • Tabela de FERRAMENTAS DE TI

    Nome da tabela: Found IT_TOOL Reputation Overrides

    Colunas da tabela:

    • Caminho da ferramenta de TI
    • Incluir processos secundários
    • ID
    • Lista de substituições
    • Descrição
    • Origem
    • Referência da fonte
    • Data de criação
    • Criado Por
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação List Reputation Overrides:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Reputation Overrides para um certificado:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Reputation Overrides para um hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Reputation Overrides para uma ferramenta de TI:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}
Mensagens de saída

Num mural de registos, a ação List Reputation Overrides (Listar substituições de reputação) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Reputation overrides found.

No reputation overrides found.

 Ação efetuada com êxito.
Error executing action "List Reputation Overrides". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Crie uma substituição de reputação para o certificado

Crie uma substituição de reputação para o certificado. Para mais informações acerca da substituição da reputação, consulte o artigo Substituição da reputação.

Esta ação não é executada em entidades.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Autoridade de certificação String Não aplicável Não Especifique a autoridade de certificação que autoriza a validade do certificado a adicionar à substituição de reputação.
Assinado por String Sim Especifique o nome do signatário a adicionar à substituição da reputação.
Descrição String Não aplicável Não Especifique uma descrição para a substituição de reputação criada.
Lista de substituição de reputação LDD Não especificado Sim Especifique uma lista de substituição a criar.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Create a Reputation Override for Certificate (Criar uma substituição de reputação para o certificado):

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Criar uma substituição de reputação para certificado:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}
Mensagens de saída

Numa Case Wall, a ação Criar substituição de reputação para certificado fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created new reputation override: OVERRIDE_ID

Action failed to create a new certificate reputation override. Reason:ERROR_REASON

 Ação efetuada com êxito.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for Certificate". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Crie uma substituição de reputação para o hash SHA-256

Crie uma substituição de reputação para o hash fornecido no formato SHA-256. Para mais informações acerca da substituição da reputação, consulte o artigo Substituição da reputação.

Esta ação é executada na entidade FileHash, se for fornecida.

Pode fornecer o hash SHA-256 como uma entidade (artefacto) Google SecOps SOAR FileHash ou como um parâmetro de entrada de ação. Se o hash for transmitido à ação como uma entidade e um parâmetro de entrada, a ação é executada no parâmetro de entrada.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Hash SHA-256 String Não aplicável Não Especifique um valor hash SHA-256 para criar uma substituição.
Nome do ficheiro String Não aplicável Sim Especifique um nome de ficheiro correspondente para adicionar a uma substituição de reputação.
Descrição String Não aplicável Não Especifique uma descrição para a substituição de reputação criada.
Lista de substituição de reputação LDD Não especificado Sim Especifique uma lista de substituição a criar.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Criar uma substituição de reputação para o hash SHA-256:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Criar uma substituição de reputação para hash SHA-256:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}
Mensagens de saída

Numa Case Wall, a ação Create a Reputation Override for SHA-256 Hash (Criar uma substituição de reputação para o hash SHA-256) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created reputation override for the following entities: ENTITY_ID_LIST

Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

No reputation overrides were created.

 Ação efetuada com êxito.

Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Crie uma substituição de reputação para a ferramenta de TI

Use esta ação para criar uma substituição da reputação para a ferramenta de TI específica, como o Jira ou o ServiceNow. A substituição da reputação baseia-se num nome de ficheiro e num caminho. Para mais informações acerca da substituição da reputação, consulte o artigo Substituição da reputação.

Esta ação é executada na entidade File, se for fornecida.

Pode indicar o nome do ficheiro como uma entidade (artefacto) de ficheiro SOAR do Google SecOps ou como um parâmetro de entrada de ação. Se o nome do ficheiro for transmitido à ação como uma entidade e um parâmetro de entrada, a ação usa o parâmetro de entrada. A ação anexa o nome do ficheiro ao parâmetro Caminho do ficheiro para obter o caminho resultante e adicioná-lo à substituição.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do ficheiro String Não aplicável Não Especifique o nome do ficheiro correspondente a adicionar à substituição de reputação.
Caminho do ficheiro String Não aplicável Sim Especifique o caminho onde a ferramenta de TI correspondente está armazenada no disco para adicionar o caminho à substituição de reputação. Segue-se um exemplo: C\\TMP\\.
Incluir processos secundários Caixa de verificação Não selecionado Não Se selecionada, inclui os processos secundários da ferramenta de TI na lista aprovada.
Descrição String Não aplicável Não Especifique uma descrição para a substituição de reputação criada.
Lista de substituição de reputação LDD Não especificado Sim Especifique a lista de substituição a criar.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Create Reputation Override for IT Tool:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Create Reputation Override for IT Tool:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}
Mensagens de saída

Numa Case Wall, a ação Create a Reputation Override for IT Tool (Criar uma substituição de reputação para a ferramenta de TI) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully created reputation override for the following entities: ENTITY_ID_LIST

No reputation overrides were created.

Action failed to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

Ação efetuada com êxito.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for IT Tool". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Elimine uma substituição de reputação

Elimine uma substituição da reputação através do ID de substituição da reputação fornecido. Para mais informações acerca da substituição da reputação, consulte o artigo Substituição da reputação.

Esta ação não é executada em entidades.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID de substituição da reputação String Não aplicável Sim Especifique o ID da substituição da reputação a eliminar.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Delete Reputation Override:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Mensagens de saída

Num mural de registos, a ação Eliminar substituição de reputação fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully deleted reputation override OVERRIDE_ID_

No tasks were created.

Action failed to delete reputation override OVERRIDE_ID. Reason: ERROR_REASON

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

 Ação efetuada com êxito.
Error executing action "Delete a Reputation Override". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Listar vulnerabilidades do anfitrião

Use esta ação para listar as vulnerabilidades que o Carbon Black Cloud encontrou no anfitrião.

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Filtro de gravidade CSV Não aplicável Não

Especifique a lista separada por vírgulas de gravidades para vulnerabilidades.

Se não for fornecido nada, a ação carrega todas as vulnerabilidades relacionadas.

Valores possíveis: Critical, Important, Moderate, Low.
Máximo de vulnerabilidades a devolver Número inteiro 100 Não

Especifique o número de vulnerabilidades a devolver para cada anfitrião.

Se não for fornecido nada, a ação processa todas as vulnerabilidades relacionadas.

Resultados da ação

A ação fornece os seguintes resultados:

Tipo de saída da ação
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Enriquecimento de entidades Não disponível
Resultado do script Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação List Host Vulnerabilities:

Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success:False
Resultado JSON

O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Host Vulnerabilities:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}
Mensagens de saída

Numa Case Wall, a ação List Host Vulnerabilities (Listar vulnerabilidades do anfitrião) fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully retrieved vulnerabilities for the following hosts: ENTITIES

No vulnerabilities were found.

No vulnerabilities were found for the following hosts: ENTITIES

 Ação efetuada com êxito.

Error executing action "List Host Vulnerabilities". Reason: ERROR_REASON

Error executing action "List Host Vulnerabilities". Reason: Invalid value provided in the "Severity Filter parameter. Possible values: Critical, High, Medium, Low, Unknown.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Conetores

Os seguintes conetores estão disponíveis para utilização na integração do VMware Carbon Black Cloud:

  1. Alert Connector, obsoleto. Usa os mesmos dados de alerta do Carbon Black para alertas e eventos do Google SecOps SOAR, perdendo assim completamente os dados de eventos do Carbon Black. Em alternativa, use o conetor de base ou o conetor de acompanhamento.

  2. O conetor de base obtém alertas e eventos do Carbon Black. Este conetor não monitoriza se são adicionados novos eventos aos alertas do Carbon Black.

  3. O conetor de monitorização obtém alertas e eventos do Carbon Black e monitoriza se são adicionados novos eventos a alertas já carregados. Se aparecer um novo evento num alerta de CB, o conector cria um novo alerta do Google SecOps SOAR com eventos que foram adicionados a um alerta do Carbon Black.

Para ver instruções sobre como configurar um conetor no Google SecOps SOAR, consulte o artigo Configurar o conetor.

Conetor de alertas do VMware Carbon Black Cloud: descontinuado

Receba alertas do VMware Carbon Black Cloud como alertas do Google SecOps SOAR para análise na plataforma Google SecOps SOAR.

Vista geral do conetor

O conetor liga-se periodicamente ao ponto final da API VMware Carbon Black Cloud e extrai uma lista de alertas que foram gerados durante um período específico. Se existirem novos alertas, o conetor cria alertas do Google SecOps SOAR com base nos alertas do Carbon Black Cloud e guarda a data/hora do conetor como a data/hora do último alerta carregado com êxito. Durante a próxima execução do conector, o conector consulta a API Carbon Black apenas para alertas criados após a data/hora.

O conetor verifica se existem alertas duplicados (conhecidos como alertas marcados como excedidos) e não cria alertas do Google SecOps SOAR a partir dos alertas duplicados.

Modo de teste: o conetor tem um modo de teste para fins de depuração e resolução de problemas. No modo de teste, o conector faz o seguinte:

  • Não atualiza a data/hora da última execução.
  • Recupere alertas com base na quantidade de horas especificada para extrair alertas.
  • Devolve um único alerta para carregamento.

Comunicações encriptadas: o conector suporta comunicações encriptadas (SSL ou TLS).

Suporte de proxy: o conector suporta a ligação aos pontos finais da API através de um proxy para tráfego HTTPS.

Suporte Unicode: o conetor suporta a codificação Unicode para os alertas processados.

Autorizações da API

O conetor do Carbon Black Cloud usa as mesmas credenciais da API que a integração do Carbon Black Cloud. Para mais detalhes sobre a configuração da API para o Carbon Black Cloud, consulte a secção Pré-requisitos.

Parâmetros do conetor

Para configurar ou editar os parâmetros do conector, tem de estar incluído no grupo de autorizações de administradores no Google SecOps. Para ver mais detalhes sobre os grupos de autorizações para utilizadores, consulte o artigo Trabalhar com grupos de autorizações.

Use os seguintes parâmetros para configurar o conector:

Parâmetro Tipo Valor predefinido Obrigatório Descrição
Ambiente LDD Não aplicável Sim

Selecione o ambiente necessário. Por exemplo, "Cliente um".

Se o campo Ambiente do alerta estiver vazio, o alerta é injetado neste ambiente.
Executar a cada Número inteiro 0:0:0:10 Não Selecione a hora para executar a associação.
Nome do campo do produto String ProductName Sim O nome do campo onde o nome do produto está armazenado.
Nome do campo de evento String AlertName Sim O nome do campo onde o nome do evento está armazenado.
ID da classe de eventos String AlertName Não O nome do campo usado para determinar o nome do evento (subtipo).
O processo do Python excedeu o limite de tempo String 180 Sim O limite de tempo limite (em segundos) para o processo Python que está a executar o script atual.
Nome do campo do ambiente String "" Não

O nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é "".

Padrão de regex do ambiente String .* Não

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "".
Raiz da API String Não aplicável Sim URL raiz da API VMware Carbon Black Cloud.
Chave da organização String N/A Sim Chave da organização do VMware Carbon Black Cloud.
ID da API String N/A Sim ID da API VMware Carbon Black Cloud (ID da chave de API personalizada).
Chave secreta da API String N/A Sim Chave secreta da API VMware Carbon Black Cloud (chave secreta da API personalizada).
Tempo de desvio em horas Número inteiro 24 Sim Número de horas a partir das quais obter alertas.
Máximo de alertas por ciclo Número inteiro 10 Sim Número de alertas a processar numa única execução do conector.
Gravidade mínima para obter Número inteiro N/A Não A gravidade mínima do alerta do Carbon Black Cloud a ser carregado para o Google SecOps SOAR.
Que campo de alerta usar para o campo Nome String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo Nome do alerta do Google SecOps SOAR. Os valores possíveis são type e policy_name.
Que campo de alerta usar para o gerador de regras String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo do gerador de regras de alerta do SOAR do Google SecOps. Os valores possíveis são type, category e policy_name.
Endereço do servidor proxy IP_OR_HOST Não aplicável Não Servidor proxy a usar para a ligação.
Nome de utilizador do servidor proxy String Não aplicável Não Nome de utilizador do servidor proxy.
Palavra-passe do servidor proxy Palavra-passe Não aplicável Não Palavra-passe do servidor proxy.

Regras de conector

  • O conetor suporta a utilização de proxies.

Conetor de base de referência de alertas e eventos do VMware Carbon Black Cloud

Vista geral

Use o conetor de base do VMware Carbon Black Cloud para carregar os alertas do Carbon Black Cloud e os eventos relacionados com alertas. Depois de ingerir alertas, o Google SecOps etiqueta-os como processados e não obtém atualizações para os mesmos. Para obter atualizações de alertas, use o conetor de acompanhamento.

Personalize os campos Nome do alerta e Gerador de regras no Google SecOps

O conetor oferece uma opção para personalizar os valores dos campos Nome do alerta e Gerador de regras do Google SecOps SOAR através de modelos. Para os modelos, o conetor recebe dados dos dados de alerta do Carbon Black Cloud devolvidos pela API.

Segue-se um exemplo dos dados de alerta do Carbon Black Cloud devolvidos pela API. Os dados de alerta referem-se aos campos disponíveis no alerta e podem ser usados para modelos:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parâmetros do conetor

Para configurar ou editar os parâmetros do conector, tem de estar incluído no grupo de autorizações de administradores no Google SecOps. Para ver mais detalhes sobre os grupos de autorizações para utilizadores, consulte o artigo Trabalhar com grupos de autorizações.

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do campo do produto String ProductName Sim O nome do campo onde o nome do produto está armazenado.
Nome do campo de evento String AlertName Sim O nome do campo onde o nome do evento está armazenado.
Nome do campo do ambiente String "" Não

O nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é "".
Padrão de regex do ambiente String .* Não

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "".
Raiz da API String https://defense.conferdeploy.net Sim URL raiz da API VMware Carbon Black Cloud.
Chave da organização String Não aplicável Sim Chave da organização do VMware Carbon Black Cloud. Por exemplo, 7DDDD9DD.
ID da API String Não aplicável Sim ID da API VMware Carbon Black Cloud (ID da chave de API personalizada).
Chave secreta da API String Não aplicável Sim Chave secreta da API VMware Carbon Black Cloud (chave secreta da API personalizada).
Tempo de desvio em horas Número inteiro 24 Sim Número de horas a partir das quais obter alertas.
Máximo de alertas por ciclo Número inteiro 10 Sim Número de alertas a processar numa única execução do conector.
Gravidade mínima para obter Número inteiro N/A Não A gravidade mínima do alerta do Carbon Black Cloud a carregar para o Google SecOps SOAR. Por exemplo, 4 ou 7.
Que campo de alerta usar para o campo Nome String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo Nome do alerta do Google SecOps SOAR. Os valores possíveis são type e policy_name.
Que campo de alerta usar para o gerador de regras String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo do gerador de regras de alerta do SOAR do Google SecOps. Os valores possíveis são type, category e policy_name.
Alerta de reputação para carregamento String Não aplicável Não A reputação do Carbon Black Cloud do alerta a carregar. Este parâmetro aceita vários valores como uma string separada por vírgulas.
Limite de eventos a carregar por alerta Número inteiro 25 Sim O número de eventos a carregar em cada alerta do Carbon Black Cloud.
Endereço do servidor proxy IP_OR_HOST Não aplicável Não Servidor proxy a usar para a ligação.
Nome de utilizador do servidor proxy String Não aplicável Não Nome de utilizador do servidor proxy.
Palavra-passe do servidor proxy Palavra-passe Não aplicável Não Palavra-passe do servidor proxy.
Modelo de nome de alerta String Não aplicável Não

Se especificado, o conetor usa este valor dos dados de alerta da resposta da API do Carbon Black Cloud para preencher o campo Nome do alerta.

Pode fornecer marcadores de posição no seguinte formato: [nome do campo].

Exemplo: Alerta – [reason].

O comprimento máximo do campo é de 256 carateres. Se não forem fornecidas informações ou fornecer um modelo inválido, o conector usa o nome do alerta predefinido.
Modelo do gerador de regras String N/A Não

Se especificado, o conetor usa este valor dos dados de alerta da resposta da API do Carbon Black Cloud para preencher o campo do gerador de regras.

Pode fornecer marcadores de posição no seguinte formato: [nome do campo].

Exemplo: Alerta – [reason].

O comprimento máximo do campo é de 256 carateres. Se não for fornecido nada ou for fornecido um modelo inválido, o conector usa o valor do gerador de regras predefinido.

Regras de conector

  • O conetor suporta a utilização de proxies.

Conetor de acompanhamento de eventos e alertas do VMware Carbon Black Cloud

Vista geral

Use o conector de acompanhamento do VMware Carbon Black Cloud para obter alertas do Carbon Black Cloud e eventos relacionados. Se o conetor detetar novos eventos para alertas do Carbon Black Cloud já processados, cria um alerta do Google SecOps SOAR adicional para cada novo evento detetado.

Personalize os campos Nome do alerta e Gerador de regras no Google SecOps

O conetor oferece uma opção para personalizar os valores dos campos Nome do alerta e Gerador de regras do Google SecOps SOAR através de modelos. Para os modelos, o conetor obtém dados dos dados de alertas do Carbon Black Cloud devolvidos pela API.

Segue-se um exemplo dos dados de alerta do Carbon Black Cloud devolvidos pela API. Os dados de alerta referem-se aos campos disponíveis no alerta e podem ser usados para modelos:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parâmetros do conetor

Para configurar ou editar os parâmetros do conector, tem de estar incluído no grupo de autorizações de administradores no Google SecOps. Para ver mais detalhes sobre os grupos de autorizações para utilizadores, consulte o artigo Trabalhar com grupos de autorizações.

Use os seguintes parâmetros para configurar o conector:

Parâmetro Tipo Valor predefinido Obrigatório Descrição
Nome do campo do produto String ProductName Sim O nome do campo onde o nome do produto está armazenado.
Nome do campo de evento String AlertName Sim O nome do campo onde o nome do evento está armazenado.
Nome do campo do ambiente String "" Não

O nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é "".
Padrão de regex do ambiente String .* Não

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "".
Raiz da API String https://defense.conferdeploy.net Sim URL raiz da API VMware Carbon Black Cloud.
Chave da organização String Não aplicável Sim Chave da organização do VMware Carbon Black Cloud. Por exemplo, 7DDDD9DD.
ID da API String Não aplicável Sim ID da API VMware Carbon Black Cloud (ID da chave de API personalizada).
Chave secreta da API String N/A Sim Chave secreta da API VMware Carbon Black Cloud (chave secreta da API personalizada).
Tempo de desvio em horas Número inteiro 24 Sim O número de horas a partir das quais recolher alertas.
Máximo de alertas por ciclo Número inteiro 10 Sim O número de alertas a processar numa única execução do conector.
Gravidade mínima para obter Número inteiro Não aplicável Não A gravidade mínima do alerta do Carbon Black Cloud a carregar para o Google SecOps SOAR. Por exemplo, 4 ou 7.
Que campo de alerta usar para o campo Nome String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo Nome do alerta do Google SecOps SOAR. Os valores possíveis são: type e policy_name.
Que campo de alerta usar para o gerador de regras String escrever Sim O campo de alerta do Carbon Black Cloud a usar para o campo do gerador de regras de alerta do SOAR do Google SecOps. Os valores possíveis são type, category e policy_name.
Alerta de reputação para carregamento String Não aplicável Não O alerta de reputação do alerta do Carbon Black Cloud a ser carregado. Este parâmetro aceita vários valores como uma string separada por vírgulas.
Período de preenchimento de eventos (horas) Número inteiro 24 Sim O número de horas a partir das quais obter eventos de alerta.
Limite de eventos a carregar por alerta Número inteiro 25 Sim O número de eventos a carregar numa única alerta do Carbon Black Cloud para cada iteração do conetor.
Endereço do servidor proxy IP_OR_HOST Não aplicável Não Servidor proxy a usar para a ligação.
Nome de utilizador do servidor proxy String Não aplicável Não Nome de utilizador do servidor proxy.
Palavra-passe do servidor proxy Palavra-passe Não aplicável Não Palavra-passe do servidor proxy.
Modelo de nome de alerta String Não aplicável Não

Se especificado, o conetor usa este valor dos dados de alerta da resposta da API do Carbon Black Cloud para preencher o campo Nome do alerta.

Pode fornecer marcadores de posição no seguinte formato: [nome do campo].

Exemplo: Alerta – [reason].

O comprimento máximo do campo é de 256 carateres. Se não for fornecido nada ou fornecer um modelo inválido, o conector usa o valor do nome do alerta predefinido.
Modelo do gerador de regras String Não aplicável Não

Se especificado, o conetor usa este valor dos dados de alerta da resposta da API do Carbon Black Cloud para preencher o campo do gerador de regras.

Pode fornecer marcadores de posição no seguinte formato: [nome do campo].

Exemplo: Regra – [motivo].

O comprimento máximo do campo é de 256 carateres. Se não for fornecido nada ou fornecer um modelo inválido, o conector usa o valor do gerador de regras predefinido.
Limite total de eventos por alerta Número inteiro 100 Não

O número total de eventos que o conector obtém para cada alerta do Carbon Black Cloud.

Se este limite for atingido, o conector não obtém novos eventos para um alerta.

Para não limitar o número total de eventos para cada alerta, deixe o valor deste parâmetro vazio.

Regras de conector

  • O conetor suporta a utilização de proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.