Carbon Black Response
統合バージョン: 27.0
Chronicle SOAR と連携するように VMware Carbon Black EDR(EDR)を構成する
API キー
API キーを取得するには、次の手順に従います。
- コンソールにログインする
- 右上にある [ユーザー名] をクリックします
- [プロフィール情報] に移動します。
左側の [API トークン] ボタンをクリックして、API トークンを表示します。
API トークンが表示されていない場合は、[リセット] ボタンをクリックして新しいトークンを作成します。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数の値 | 送信 | apikey |
Chronicle SOAR で Carbon Black Response の統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://x.x.x.x | ○ | VMware Carbon Black EDR(EDR)インスタンスのアドレス。 |
| API キー | 文字列 | なし | ○ | VMware Carbon Black EDR(EDR)コンソールで生成された API キー。 |
| Version | 文字列 | 6.3 | ○ | プロダクトのバージョン。必ず短い形式のバージョンを使用してください。たとえば、7.4.0 ではなく 7.4 と指定します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
バイナリの無料クエリ
説明
無料クエリでバイナリを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | ○ | 例: md5:* AND original_filename:{file-name} |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"host_count": x,
"digsig_result":"Signed",
"Observed_filename": ["c:\\\\windows\\\\system32\\\\xxxxxx.exe"],
"product_version": "10.0.17134.1",
"digsig_issuer": "Microsoft Windows Production PCA 2011",
"legal_copyright": "\\\\u00a9 Microsoft Corporation. All rights reserved.",
"digsig_sign_time": "2018-04-11T19:19:00Z",
"orig_mod_len": 20888,
"is_executable_image": true,
"is_64bit": true,
"digsig_subject": "Microsoft Windows",
"digsig_publisher": "Microsoft Corporation",
"group": ["Default Group"],
"file_version": "10.0.17134.1 (WinBuild.160101.0800)",
"company_name": "Microsoft Corporation",
"internal_name": "xxxxxxx.exe",
"product_name": "Microsoft\\\\u00ae Windows\\\\u00ae Operating System",
"digsig_result_code": "0",
"timestamp": "2018-12-30T03:55:55.376Z",
"copied_mod_len": 20888,
"server_added_timestamp": "2018-12-30T03:55:55.376Z",
"digsig_prog_name": "Microsoft Windows",
"md5": "2528137C6745C4EADD87817A1909677E",
"endpoint": ["DESKTOP-CEIFS6E|15",
"DESKTOP-CEIFS6E|16",
"LP-AVITAL|17",
"LAPTOP-66I4I93K|18"],
"watchlists": [
{
"wid": "3",
"value": "2018-12-30T04:00:03.635Z"
}],
"signed": "Signed",
"original_filename": "xxxxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": "COM Surrogate",
"last_seen": "2019-02-21T15:27:33.231Z"
}
]
ブロック ハッシュ
説明
ハッシュをブロックします。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ウォッチリストの作成
説明
プロセス(タイプ = イベント)またはバイナリ(タイプ = モジュール)のウォッチリストを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ウォッチリストの名前 | 文字列 | なし | ○ | このウォッチリストの名前。 |
| クエリ | 文字列 | なし | ○ | このウォッチリストが一致する未加工の Carbon Black クエリ。 |
| ウォッチリストの種類 | 文字列 | なし | ○ | ウォッチリストの種類。例: モジュール。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
バイナリをダウンロード
説明
バイナリをダウンロードします。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIb",
"Entity": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
バイナリの拡充
説明
CB Response からのバイナリ情報を使用してハッシュを拡充します。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | success:False |
JSON の結果
[
{
"EntityResult": {
"host_count": x,
"digsig_result": "Unsigned",
"observed_filename":["c:\\\\\\\\TEST_source\\\\\\\\main\\\\\\\\client\\\\\\\\wpf\\\\\\\\TEST.client\\\\\\\\bin\\\\\\\\release\\\\\\\\TEST.client.exe"],
"product_version": "x.x.x.x",
"legal_copyright": "TEST",
"orig_mod_len": 4108800,
"is_executable_image": "True",
"is_64bit": "False",
"group": ["Default Group"],
"file_version": "x.x.x.x",
"comments": "Flavor=Release",
"company_name": "TEST",
"internal_name": "TEST.xxxxxx.exe",
"icon": "iVBORw0KGgoAAAANSUhEUg",
"product_name": "(unknown)",
"digsig_result_code": "xxxxxxx",
"timestamp": "2016-12-11T18:54:03.352Z",
"copied_mod_len": 4108800,
"server_added_timestamp": "2016-12-11T18:54:03.352Z",
"md5": "82A2C91219F140BB2A4FE34A7390B6C7",
"endpoint": ["WS-ALON|4"],
"Watchlists": [
{
"wid": "3", "value": "2016-12-11T19:00:03.232Z"
}],
"signed": "Unsigned",
"original_filename": "TEST.xxxxx.exe",
"cb_version": 520,
"os_type": "Windows",
"file_desc": " ",
"last_seen": "2016-12-11T19:00:04.178Z"
},
"Entity": "82A2C91219F140BB2A4FE34A7123B6C7"
}
]
プロセスの拡充
説明
CB Response からのデータを使用してプロセス エンティティを拡充します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- プロセス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [
{
"modload_count": 28,
"sensor_id": 14,
"filtering_known_dlls": "False",
"process_md5": "d752c96401e2540a123c599154fc6fa9",
"parent_unique_id": "0000000e-0000-13d4-01d4-a04566d108ba-00000001",
"emet_count": 0,
"cmdline": "\\\\\\\\??\\\\\\\\C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\conhost.exe 0xffffffff -ForceV1",
"last_update": "2018-12-30T13:41:43.904Z",
"id": "x-x-x-x-x",
"parent_name": "python.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "TEST",
"filemod_count": 0,
"start": "2018-12-30T13:41:43.885Z",
"emet_config": "",
"netconn_count": 0,
"interface_ip": 167772456,
"process_pid": xxxx,
"username": "TEST\\\\\\\\xxxxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"parent_pid": 5076,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": 1,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 0,
"unique_id": "0000000e-0000-1310-01d4-a04566d29849-00000001"
}],
"Entity": "process.exe"
}
]
プロセス用の FileMod データを取得する
説明
プロセス用の filemod データを ID で取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロセス ID | 文字列 | なし | ○ | 一意の ID を処理します。 |
| セグメント ID | 文字列 | なし | ○ | 例: 1 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxx.exe",
"start": "2013-09-19T22:07:07Z",
"regmod_complete": [
"2|2013-09-19 22:07:07.000000|\\\\\\\\registry\\\\\\\\user\\\\\\\\s-1-5-19\\\\\\\\software\\\\\\\\microsoft\\\\\\\\sqmclient\\\\\\\\reliability\\\\\\\\adaptivesqm\\\\\\\\manifestinfo\\\\\\\\version",
"2|2013-09-19 22:09:07.000000|\\\\\\\\registry\\\\\\\\machine\\\\\\\\software\\\\\\\\microsoft\\\\\\\\reliability analysis\\\\\\\\rac\\\\\\\\wmilasttime"],
"cmdline": "xxxxxxx.exe $(arg0)",
"Filemod_complete": [
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\statedata\\\\\\\\racmetadata.dat|",
"2|2013-09-19 22:07:07.000000|c:\\\\\\\\programdata\\\\\\\\microsoft\\\\\\\\rac\\\\\\\\temp\\\\\\\\sql4475.tmp|"],
"parent_id": "",
"modload_complete": [
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\xxxxxx.exe",
"2013-09-19 22:07:07.000000||c:\\\\\\\\windows\\\\\\\\system32\\\\\\\\ntdll.dll"],
"id": "xxxxxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "windows",
"last_update": "2013-09-19T22:09:07Z",
"hostname": "xxxx-xxxxxxxxxxx"
},
"elapsed": 0.0126001834869
}
ライセンスの取得
説明
CB Response から現在のライセンスを取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
プロセスツリー データの取得
説明
ID(JSON)によるプロセスのプロセスツリー データを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロセス ID | 文字列 | なし | ○ | 一意の ID を処理します。 |
| セグメント ID | 文字列 | なし | ○ | 例: 1 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Process":
{
"process_md5": "517110bd83835338c037269e603db55d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"cmdline": "taskhost.exe $(arg0)",
"start": "2013-09-19T22:07:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx.exe",
"os_type": "xxxxxxx",
"hostname": "xxxxxxx-xxxxxx"
},
"Siblings": [
{
"process_md5": "c78655bc80301d76ed4fef1c1ea40a7d",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxxxx.exe",
"last_update": "2013-09-19T22:34:49Z",
"start": "2013-09-10T04:10:07Z",
"parent_id": "xxxxxxxxx",
"id": "xxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type":"xxxxxx",
"hostname": "xxx-xxxxxxx"
}],
"children": [],
"parent": {
"process_md5": "24acb7e5be595468e3b9aa488b9b4fcb",
"sensor_id": x,
"group": "Default Group",
"segment_id": x,
"process_name": "xxxxxx.exe",
"last_update": "2013-09-19T22:09:07Z",
"start": "2013-09-10T04:09:51Z",
"parent_id": "xxxxxxxxxxxx",
"id": "xxxxxxxxxxxxx",
"path": "c:\\\\\\\\xxxxxxx\\\\\\\\xxxxxxx\\\\\\\\xxxxxx.exe",
"os_type": "xxxxxx",
"hostname": "xxx-xxxxxxxx"
}
}
システム情報の取得
説明
CB Response からセンサーのシステム情報を取得し、エンティティを拡充します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"systemvolume_total_size": "479127379968",
"computer_name": "LP-WORKER",
"os_environment_display_string": "Windows 10 Professional, 64-bit",
"systemvolume_free_size": "319940304896",
"physical_memory_size": "17058787328",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "10840",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "1640459",
"computer_dns_name":"xx-xxxxxx.xxxxxx.xxxxx",
"emet_report_setting": "(Locally configured)",
"last_update": "2018-06-25 13:27:47.442521+03:00",
"parity_host_id": "0",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2018-06-25 13:28:13.089904+03:00",
"status": "Offline",
"num_eventlog_bytes": "13771",
"sensor_health_message": "Elevated memory usage",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-x-x-x",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path":"",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxxx|",
"sensor_health_status": 90,
"registration_time": "2018-03-01 08:12:47.420579+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 5,
"cookie": 292474955,
"shard_id": x,
"boot_id": "xx",
"last_checkin_time": "2018-06-25 13:27:43.091387+03:00",
"os_type": 1,
"group_id": x,
"display": "True",
"sensor_uptime": "x",
"uninstall":"False"
},
"Entity": "xx-xxxxx"
}
]
プロセス別のホスト
説明
特定のプロセスに関連するホストを取得します。
パラメータ
なし
実行
このアクションは プロセス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [
{
"systemvolume_total_size": "160534884352",
"computer_name": "COMPUTER",
"os_environment_display_string": "Windows 10 Server Server Standard (Evaluation), 64-bit",
"systemvolume_free_size": "120903110656",
"physical_memory_size": "8589463552",
"emet_version": "",
"emet_dump_flags": "",
"clock_delta": "7348",
"supports_cblr": "True",
"id": xx,
"is_isolating": "False",
"emet_process_count": 0,
"build_id": 2,
"uptime": "5888902",
"computer_dns_name": "COMPUTER",
"emet_report_setting": " (Locally configured)",
"last_update": "2019-01-07 11:07:17.187979+02:00",
"parity_host_id": "x",
"power_state": 0,
"network_isolation_enabled": "False",
"uninstalled": "None",
"next_checkin_time": "2019-01-07 11:07:44.348203+02:00",
"status": "Offline",
"num_eventlog_bytes": "34800",
"sensor_health_message": "Healthy",
"build_version_string": "1.1.1.1",
"computer_sid": "S-1-5-21-405201704-2854221227-856099807",
"node_id": 0,
"event_log_flush_time": "None",
"emet_exploit_action": " (Locally configured)",
"emet_telemetry_path": "",
"license_expiration": "1990-01-01 00:00:00+02:00",
"supports_isolation": "True",
"emet_is_gpo": "False",
"supports_2nd_gen_modloads": "False",
"network_adapters": "x.x.x.x,xxxxxxxx|",
"sensor_health_status": 100,
"registration_time": "2018-12-22 02:46:33.629175+02:00",
"restart_queued": "False",
"notes": "None",
"num_storefiles_bytes": "0",
"os_environment_id": 8,
"cookie": 1164577502,
"shard_id": 0,
"boot_id": "1",
"last_checkin_time": "2019-01-07 11:07:14.349477+02:00",
"os_type": 1,
"group_id": 1,
"display": "True",
"sensor_uptime": "1412441",
"uninstall": "False"
}],
"Entity": "xxxxxx.xxx"
}
]
ホストの分離
説明
エンドポイントをネットワークから分離します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
プロセスを終了
説明
特定のホストでプロセスを強制終了します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- プロセス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
プロセスの一覧表示
説明
特定のエンティティに関連するプロセスを一覧表示します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [
{
"modload_count": 63,
"sensor_id": xx,
"filtering_known_dlls": "False",
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"cmdline": "python.exe C:\\\\\\\\HOST_Server\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "xxxxxx-xxxx-xxxxx-xxxxxx-xxxxxxx",
"parent_name": "xxxx.xxxxxx.xxxxxxx.xxxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"group": "Default Group",
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": 167772456,
"process_pid": 6024,
"username": "xxxx\\\\\\\\xxxx",
"terminated": "True",
"process_name": "xxxxx.exe",
"comms_ip": xxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\python.exe",
"regmod_count": 0,
"parent_pid": 4152,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}],
"Entity": "HOST"
}
]
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
無料クエリの処理
説明
無料のクエリでプロセスを一覧表示します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | ○ | 例: process_name:python.exe. |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"process_md5": "00eb8baca58a0dd0106d67db566d6ea4",
"sensor_id": xx,
"filtering_known_dlls": "False",
"modload_count": 63,
"parent_unique_id": "x-x-x-x-x-x",
"emet_count": 0,
"group": "Default Group",
"cmdline": "python.exe C:\\\\\\\\bin\\\\\\\\\\\\\\\\z31fmfzn.vzo.py",
"last_update": "2018-12-30T13:39:55.642Z",
"id": "x-x-x-x-x",
"parent_name": "xxxx.xxxxxx.xxxxxx.xxxxxx.exe",
"parent_md5": "000000000000000000000000000000",
"parent_pid": 4152,
"hostname": "xxxx",
"filemod_count": 7,
"start": "2018-12-30T13:39:34.728Z",
"emet_config": "",
"netconn_count": 2,
"interface_ip": xxxxxxxx,
"process_pid": 6024,
"username": "xxxxx\\\\\\\\xxxxx",
"terminated": "True",
"process_name": "xxxxxx.xxx",
"comms_ip": xxxxxxx,
"path": "c:\\\\\\\\python27\\\\\\\\xxxxxx.exe",
"regmod_count": 0,
"crossproc_count": 1,
"current_segment": 0,
"segment_id": x,
"host_type": "server",
"processblock_count": 0,
"os_type": "windows",
"childproc_count": 1,
"unique_id": "x-x-x-x-x-x"
}
]
アラートを解決する
説明
アラートを解決します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | ○ | 解決するアラートの ID。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ハッシュのブロックを解除する
説明
ハッシュのブロックを解除します。
パラメータ
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ホストの分離解除
説明
エンドポイントをネットワークに再結合します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
コネクタ
Carbon Black Response コネクタ
Chronicle SOAR で Carbon Black Response コネクタを構成する
Chronicle SOAR でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 環境 | DDL | なし | ○ | 必要な環境を選択します。例: 「Customer One」 アラートの [環境] フィールドが空の場合、このアラートはこの環境に挿入されます。 |
| 実行間隔 | 整数 | 0:0:0:10 | いいえ | 接続を実行する時間を選択します。 |
| プロダクト フィールド名 | 文字列 | device_product | ○ | デバイス プロダクトを特定するために使用されるフィールド名。 |
| イベント フィールド名 | 文字列 | name | ○ | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| スクリプトのタイムアウト(秒) | 文字列 | 60 | ○ | 現在のスクリプトを実行する Python プロセスのタイムアウト制限(秒単位)。 |
| API ルート | 文字列 | null | ○ | https://x.x.x.x |
| API キー | パスワード | なし | ○ | なし |
| Version | 文字列 | 6.3 | ○ | CB サーバー のバージョン。デフォルト 6.3 が使用されます。 |
| アラート数の上限 | 整数 | 20 | ○ | すべてのサイクルでのアラートの数を制限する。例: 20 |
| 遡る最大日数 | 整数 | 3 | ○ | このフィールドは、コネクタの最初の実行サイクルで使用され、コネクタの開始時刻を決定します。例: 3 |
| 環境フィールド名 | 文字列 | なし | いいえ | 環境のフィールドの名前。 |
| リストのタイプ | 文字列 | なし | いいえ | ホワイトリストまたはブラックリストに設定できます。 |
| 演算子の一覧表示 | 文字列 | なし | いいえ | 「exact」、「start with」、「ends with」、「contains」のいずれかを指定できます。 |
| リスト フィールド | 文字列 | なし | いいえ | フィールドのリスト(カンマ区切り)。 |
| プロキシ サーバー アドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| Proxy Password | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタはプロキシをサポートしています。