Check Point-Firewall
Integrationsversion: 10.0
Check Point Firewall-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | xx.xx.xx.xx:443 | Ja | Die IP-Adresse des Check Point Firewall-Servers. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zur Check Point-Firewall verwendet werden soll. |
| Domain | String | – | Nein | Die Domain des Nutzers. Wenn die E-Mail-Adresse des Nutzers beispielsweise user@example.com lautet, ist die Domain example.com. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| Richtlinienname | String | Standard | Ja | Name der Richtlinie. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Check Point Firewall-Verbindung eine SSL-Verifizierung erforderlich ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
SAM-Regel hinzufügen
Beschreibung
Fügen Sie eine SAM-Regel (Suspicious Activity Monitoring) für die Check Point-Firewall hinzu. Informationen zu verfügbaren Kombinationen aus IP-Adresse, Netzmaske, Port und Protokoll finden Sie in der Dokumentation zum Abschnitt Check Point-Befehlskriterien für fw_sam.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Sicherheitsgateway zum Erstellen einer SAM-Regel | String | – | Ja | Geben Sie den Namen des Security Gateways an, für das Sie eine Regel erstellen möchten. |
| Quell-IP-Adresse | String | – | Nein | Geben Sie die Quell-IP an, die der Regel hinzugefügt werden soll. |
| Quellnetzmaske | String | – | Nein | Geben Sie die Quellnetzmaske an, die der Regel hinzugefügt werden soll. |
| Ziel-IP-Adresse | String | – | Nein | Geben Sie die Ziel-IP an, die der Regel hinzugefügt werden soll. |
| Zielnetzmaske | String | – | Nein | Geben Sie die Zielnetzmaske an, die der Regel hinzugefügt werden soll. |
| Port | Ganzzahl | – | Nein | Geben Sie die Portnummer an, die der Regel hinzugefügt werden soll, z. B. 5005. |
| Protokoll | String | – | Nein | Geben Sie den Protokollnamen an, der der Regel hinzugefügt werden soll, z. B. TCP. |
| Ablauffrist | Sekunden | – | Nein | Geben Sie an, wie lange die neu hinzugefügte SAM-Regel in Sekunden aktiv sein soll, z. B. 4. Wenn nichts angegeben ist, läuft die Regel nie ab. |
| Aktion für die übereinstimmenden Verbindungen | DDL | Ablegen | Ja | Geben Sie die Aktion an, die für die übereinstimmenden Verbindungen ausgeführt werden soll. |
| Abgleichsverbindungen nachverfolgen | DDL | Log | Ja | Geben Sie an, wie übereinstimmende Verbindungen erfasst werden sollen. |
| Verbindungen schließen | Kästchen | Aktiviert | Nein | Geben Sie an, ob die vorhandenen übereinstimmenden Verbindungen geschlossen werden sollen. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tasks": [
{
"uid": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"name": "gaia80.10 - CW Test fw sam",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "4ca124e5-c9ce-45cf-8275-4b119e535d3e",
"task-name": "gaia80.10 - CW Test fw sam",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1594959450832,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-update-time": {
"posix": 1594959453264,
"iso-8601": "2020-07-17T07:17+0300"
},
"suppressed": false,
"task-details": [
{
"uid": "94108666-b9d6-4165-80ab-13078c03395b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "sam: request for 'Inhibit Drop Close src ip 8.9.10.11 on All' acknowledged, sam: gaia80.10 (0/1) successfully completed 'Inhibit Drop Close src ip 8.9.10.11 on All' processing, ...",
"taskNotification": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 552194328,
"responseMessage": "",
"responseError": "c2FtOiByZXF1ZXN0IGZvciAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBhY2tub3dsZWRnZWQKc2FtOiBnYWlhODAuMTAgKDAvMSkgc3VjY2Vzc2Z1bGx5IGNvbXBsZXRlZCAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBwcm9jZXNzaW5nCnNhbTogcmVxdWVzdCBmb3IgJ0luaGliaXQgRHJvcCBDbG9zZSBzcmMgaXAgOC45LjEwLjExIG9uIEFsbCcgZG9uZQo=",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453332,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959451003,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453299,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959450933,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"read-only": false
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
SAM-Regel entfernen
Beschreibung
Entfernen einer SAM-Regel (Suspicious Activity Monitoring) aus der Check Point-Firewall.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Security Gateway | String | – | Ja | Geben Sie den Namen des Security Gateway an, aus dem die SAM-Regel entfernt werden soll. |
| Quell-IP-Adresse | String | – | Nein | Geben Sie die Quell-IP an, die der Regel hinzugefügt werden soll. |
| Quellnetzmaske | String | – | Nein | Geben Sie die Quellnetzmaske an, die der Regel hinzugefügt werden soll. |
| Ziel-IP-Adresse | String | – | Nein | Geben Sie die Ziel-IP an, die der Regel hinzugefügt werden soll. |
| Zielnetzmaske | String | – | Nein | Geben Sie die Zielnetzmaske an, die der Regel hinzugefügt werden soll. |
| Port | Ganzzahl | – | Nein | Geben Sie die Portnummer an, die der Regel hinzugefügt werden soll, z. B. 5005. |
| Protokoll | String | – | Nein | Geben Sie den Protokollnamen an, der der Regel hinzugefügt werden soll, z. B. TCP. |
| Aktion für die übereinstimmenden Verbindungen | DDL | Ablegen Mögliche Werte: Ablegen Ablehnen Benachrichtigen |
Ja | Geben Sie die Aktion an, die für die übereinstimmenden Verbindungen ausgeführt werden soll. |
| Abgleichsverbindungen nachverfolgen | DDL | Log Mögliche Werte: Kein Log Log Benachrichtigung |
Ja | Geben Sie an, wie übereinstimmende Verbindungen erfasst werden sollen. |
| Verbindungen schließen | Kästchen | Aktiviert | Nein | Geben Sie an, ob die vorhandenen übereinstimmenden Verbindungen geschlossen werden sollen. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tasks": [
{
"uid": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"name": "gaia80.10 - Siemplify-generated-script",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "77318892-48aa-4a38-ad94-b9322695c2c8",
"task-name": "gaia80.10 - Siemplify-generated-script",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1608120786139,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-update-time": {
"posix": 1608120788465,
"iso-8601": "2020-12-16T14:13+0200"
},
"suppressed": false,
"task-details": [
{
"uid": "c40132ac-547f-4fbf-b4bb-5c7efb7ed76b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "",
"taskNotification": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 194990168,
"responseMessage": "",
"responseError": "",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788509,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786199,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788491,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786184,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"read-only": false
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn status="succeeded" (is_success = true): „SAM-Regel wurde mit dem Befehl {0} erfolgreich aus der Check Point-Firewall entfernt.“format(command) Wenn Statuscode != 200,401 in der ersten Antwort(is_success=false): „Die SAM-Regel konnte mit dem Befehl ‚{0}‘ in Check Point Firewall nicht entfernt werden. Grund: {1}".format(command,message) Wenn in der zweiten Antwort „statusCode == failed“ und „base64 responseError“ nicht verfügbar ist („is_success=false“): „Die SAM-Regel konnte mit dem Befehl ‚{0}‘ in Check Point Firewall nicht entfernt werden.“ Wenn in der zweiten Antwort „statusCode == failed“ und „base64 responseError“ verfügbar ist („is_success=false“): „Die SAM-Regel konnte mit dem Befehl {0} in Check Point Firewall nicht entfernt werden. Grund: {1}".format(command, base64 decoded responseError) If timeout(is_success=false): „Action reached timeout, while waiting to remove SAM Rule. Verwendeter Befehl: {0}".format(command) Asynchrone Nachricht:Es wird darauf gewartet, dass eine Aufgabe zum Entfernen der SAM-Regel abgeschlossen wird. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Benachrichtigungsstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
IP zur Gruppe hinzufügen
Beschreibung
Aktualisiert die Google SecOps Blacklist-Gruppe mit neuen IP-Adressen.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der Gruppe auf der Sperrliste | String | – | Ja | Name der Gruppe. |
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_blocked | Wahr/falsch | is_blocked:False |
URL zur Gruppe hinzufügen
Beschreibung
Aktualisiert die Gruppe mit der URL.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der URL-Gruppe | String | – | Ja | Name der Gruppe. |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_blocked | Wahr/falsch | is_blocked:False |
Ebenen auf der Website auflisten
Beschreibung
Alle vorhandenen Ebenen abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Richtlinien auf der Website auflisten
Beschreibung
Alle vorhandenen Richtlinien abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Ping
Beschreibung
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
IP aus Gruppe entfernen
Beschreibung
Aktualisiert die Google SecOps-Blacklist-Gruppe, sodass die IP-Adressen NICHT enthalten sind.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der Gruppe auf der Sperrliste | String | – | Ja | Name der Gruppe, aus der das Adressbereichsobjekt entfernt werden soll. |
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_unblocked | Wahr/falsch | is_unblocked:False |
URL aus Gruppe entfernen
Beschreibung
Die Gruppe wird so aktualisiert, dass die URL NICHT enthalten ist.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der URL-Gruppe | String | – | Ja | Name der Gruppe, aus der das URL-Objekt entfernt werden soll. |
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_unblocked | Wahr/falsch | is_unblocked:False |
Skript ausführen
Beschreibung
Führen Sie das beliebige Skript mit dem Check Point-API-Aufruf „run-script“ aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Skripttext | String | – | Ja | Das auszuführende Skript. Beispiel für den Befehl „fw sam“: fw sam -t 600 -I src 8.9.10.12 |
| Ziel | String | – | Ja | Geben Sie das Check Point-Gerät an, auf dem das Script ausgeführt werden soll, z. B. gaia80.10. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennte Liste. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tasks": [{
"task-id": "867fef24-647e-40ea-91ef-9b5f8ae83d07",
"status": "succeeded",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
},
"start-time": {
"posix": 1597737649683,
"iso-8601": "2020-08-18T11:00+0300"
},
"uid": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"tags": [],
"last-update-time": {
"posix": 1597737651783,
"iso-8601": "2020-08-18T11:00+0300"
},
"suppressed": false,
"progress-percentage": 100,
"comments": "Completed",
"task-name": "gaia80.10 - Siemplify-generated-script",
"color": "black",
"meta-info": {
"creation-time": {
"posix": 1597737649720,
"iso-8601": "2020-08-18T11:00+0300"
},
"validation-state": "ok",
"creator": "admin",
"lock": "unlocked",
"last-modifier": "admin",
"last-modify-time": {
"posix": 1597737651810,
"iso-8601": "2020-08-18T11:00+0300"
}},
"task-details": [{
"display-name": "",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
}, "gatewayName": "",
"uid": "b4a71da3-60fc-4785-a379-3bb9f7a0ff2f",
"icon": "General/globalsNa",
"tags": [],
"color": "black",
"comments": "",
"name": null,
"responseError": "",
"taskNotification": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"responseMessage": "",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"transactionId": 931053033,
"meta-info": {
"creation-time": {
"posix": 1597737649735,
"iso-8601": "2020-08-18T11:00+0300"
},
"last-modify-time": {
"posix": 1597737651840,
"iso-8601": "2020-08-18T11:00+0300"
},
"creator": "admin",
"validation-state": "ok",
"last-modifier": "admin"
},
"customFields": null,
"statusDescription": "",
"statusCode": "succeeded"
}],
"icon": "General/globalsNa",
"type": "CdmTaskNotification",
"read-only": false,
"name": "gaia80.10 - Siemplify-generated-script"
}]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
|
Allgemein |
Logs ansehen
Beschreibung
Rufen Sie Logs von Check Point Firewall basierend auf dem Filter ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfragefilter | String | – | Nein | Geben Sie den Abfragefilter an, der zum Zurückgeben von Logs verwendet wird. |
| Zeitraum | DDL | Letzte Stunde Mögliche Werte: Heute Gestern Letzte Stunde Letzte 24 Stunden Letzte 30 Tage Diese Woche Dieser Monat Gesamte Zeit |
Ja | Geben Sie an, welcher Zeitraum für den Protokollabruf verwendet werden soll. |
| Logtyp | DDL | Log Möglich Werte: Log Audit |
Ja | Geben Sie an, welche Art von Logs zurückgegeben werden soll. |
| Maximale Anzahl zurückzugebender Logs | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Protokolle zurückgegeben werden sollen. Der Höchstwert beträgt 100. Dies ist eine Einschränkung der Check Point-Firewall. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"logs": [
{
"subject": "Object Manipulation",
"confidence_level": "N/A",
"description": "Engine mode: changed from 'by_policy' to 'detect_only' ",
"type": "System Alert",
"orig_log_server_attr": [
{
"isCHKPObject": "true",
"uuid": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"resolved": "gaia80.10"
}
],
"cb_log_type": "Security Alert",
"user_field": "admin",
"administrator": "admin",
"index_time": "2020-10-14T21:35:45Z",
"d_name": "Check that each Gateway's Anti-Bot configuration is activated according to the policy",
"violation_date": "3/6/2020 15:03",
"id": "ac1eca60-81b3-d219-5f87-6f2f000105e8",
"rounded_received_bytes": "0",
"cb_title": "Best Practice AB104 status decreased. New Status: Medium",
"cb_old_status": "Secure",
"lastUpdateSeqNum": "1513",
"severity": "Critical",
"product_family": "Network",
"product": "Compliance Blade",
"sequencenum": "1513",
"rounded_sent_bytes": "0",
"cb_scan_id": "Thu Oct 15 00:35:39 2020",
"orig_log_server": "172.30.202.96",
"cb_changed_objects": "ABSettings_8F36A0DE-E0D5-6347-AE51-6FB22D573F04",
"additional_info": "Security Alert: Best Practice status was reduced",
"cb_status": "Medium",
"orig": "gaia80.10",
"marker": "@A@@B@1602709200@C@1513",
"rounded_bytes": "0",
"orig_log_server_ip": "172.30.202.96",
"stored": "true",
"calc_desc": "Best Practice AB104 status decreased. New Status: Medium",
"logid": "134283267",
"time": "2020-10-14T21:35:43Z",
"cb_recommendation": "Each Gateway should be configured to work according to the profiles defined in the Anti-Bot policy. The Activation Mode should be set to 'According to Policy' and not 'Detect Only'.",
"best_practice_id": "AB104",
"lastUpdateTime": "1602711343000"
}
],
"logs-count": 1,
"query-id": "admin_6e9fce3a-4cd7-48b9-a3e7-14b701fb204c"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Statuscode 200 (is_success = true): Geben Sie „Successfully retrieved logs from Check Point FireWall!“ aus.
Gibt „Action wasn't able to retrieve logs from Check Point FireWall!“ aus. Grund: {0}. Code: {1}".format(message, code) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: Gibt „Error executing action ‚Show Logs‘“ (Fehler beim Ausführen der Aktion „Protokolle anzeigen“) aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Tabelle „Fall-Repository“ Logtyp = Log |
Case Wall Name: Results Case Wall Columns (Spalten für Gehäusewand): ID (als „id“ zugeordnet) Titel (als „cb_title“ zugeordnet) Schweregrad (als „severity“ zugeordnet) Betreff (als Betreff zugeordnet) Index Time (mapped as index_time) |
Allgemein |
Tabelle „Fall-Repository“ Logtyp = Audit |
Case Wall Name: Results Case Wall Columns (Spalten für Gehäusewand): ID (als „id“ zugeordnet) Titel (als „calc_desc“ zugeordnet) Schweregrad (als „severity“ zugeordnet) Betreff (als Betreff zugeordnet) Zeit (als Zeit zugeordnet) |
Allgemein |
Log-Anhang herunterladen
Beschreibung
Laden Sie Log-Anhänge von der Check Point-Firewall herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Log-IDs | String | – | Ja | Geben Sie die durch Kommas getrennte Liste der Log-IDs an, aus denen Sie Anhänge herunterladen möchten. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den absoluten Pfad für den Ordner an, in dem die Anhänge gespeichert werden sollen. |
| Anhang für Fall-Repository erstellen | Kästchen | – | Nein | Falls aktiviert, wird für jede erfolgreich heruntergeladene Datei ein Fallwandanhang erstellt. Hinweis: Der Anhang wird nur erstellt, wenn er kleiner als 3 MB ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"tasks": [
{
"task-id": "01234567-89ab-cdef-8273-cee81a82701c",
"task-name": "Packet Capture operation",
"status": "succeeded",
"progress-percentage": 100,
"suppressed": false,
"task-details": [
{
"attachments": [
{
"base64-data": "...",
"file-name": "Anti-Virus-blob-time1602759307.id5a5b7500.blade05.cap"
}
]
}
]
"absolute_path": "{folder_path}"
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn „status“ == „succeeded“ für mindestens einen Log (is_success = true): Print "Successfully retrieved attachments in Check Point FireWall from the following logs:{0}".format(log ids)
Print "Action wasn't able to retrieve attachments in Check Point FireWall from the following logs:{0}".format(log ids) Wenn „status“ != „succeeded“ für alle Logs (is_success = true): „Es wurden keine Anhänge heruntergeladen“ ausdrucken Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Protokollanhang herunterladen‘.“ Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Anhang im Fall-Repository | Wenn die Datei die Größenbeschränkung nicht erreicht. Für jeden erfolgreichen Download eines Anhangs. {0}.format(task-details/attachment/file-name) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten