Pare-feu Check Point
Version de l'intégration : 10.0
Configurer l'intégration du pare-feu Check Point dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse du serveur | Chaîne | xx.xx.xx.xx:443 | Oui | Adresse IP du serveur Check Point Firewall. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Adresse e-mail de l'utilisateur à utiliser pour se connecter au pare-feu Check Point. |
| Domaine | Chaîne | N/A | Non | Domaine de l'utilisateur. Par exemple, si l'adresse e-mail de l'utilisateur est user@example.com, le domaine sera example.com. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe de l'utilisateur correspondant. |
| Nom de la règle | Chaîne | standard | Oui | Nom de la stratégie |
| Vérifier le protocole SSL | Case à cocher | Décochée | Non | Cochez cette case si votre connexion Check Point Firewall nécessite une vérification SSL. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ajouter une règle SAM
Description
Ajoutez une règle SAM (surveillance des activités suspectes) pour le pare-feu Check Point. Veuillez consulter la section Critères de la commande fw_sam de Check Point pour connaître les combinaisons d'adresses IP, de masques de sous-réseau, de ports et de protocoles disponibles.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Passerelle de sécurité sur laquelle créer la règle SAM | Chaîne | N/A | Oui | Spécifiez le nom de la passerelle de sécurité pour laquelle vous souhaitez créer une règle. |
| Adresse IP source | Chaîne | N/A | Non | Spécifiez l'adresse IP source à ajouter à la règle. |
| Masque de réseau source | Chaîne | N/A | Non | Spécifiez le masque de sous-réseau source à ajouter à la règle. |
| Adresse IP de destination | Chaîne | N/A | Non | Spécifiez l'adresse IP de destination à ajouter à la règle. |
| Masque de réseau de destination | Chaîne | N/A | Non | Spécifiez le masque de sous-réseau de destination à ajouter à la règle. |
| Port | Integer | N/A | Non | Spécifiez le numéro de port à ajouter à la règle (par exemple, 5005). |
| Protocole | Chaîne | N/A | Non | Spécifiez le nom du protocole à ajouter à la règle, par exemple TCP. |
| Expiration | Secondes | N/A | Non | Spécifiez la durée d'activation en secondes de la règle SAM nouvellement ajoutée (par exemple, 4). Si rien n'est spécifié, la règle n'expire jamais. |
| Action pour les connexions correspondantes | LDD | Drop | Oui | Spécifiez l'action à exécuter pour les connexions correspondantes. |
| Suivre les connexions correspondantes | LDD | Journal | Oui | Indiquez comment suivre les connexions correspondantes. |
| Fermer les connexions | Case à cocher | Cochée | Non | Indiquez si les connexions correspondantes existantes doivent être fermées. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tasks": [
{
"uid": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"name": "gaia80.10 - CW Test fw sam",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "4ca124e5-c9ce-45cf-8275-4b119e535d3e",
"task-name": "gaia80.10 - CW Test fw sam",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1594959450832,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-update-time": {
"posix": 1594959453264,
"iso-8601": "2020-07-17T07:17+0300"
},
"suppressed": false,
"task-details": [
{
"uid": "94108666-b9d6-4165-80ab-13078c03395b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "sam: request for 'Inhibit Drop Close src ip 8.9.10.11 on All' acknowledged, sam: gaia80.10 (0/1) successfully completed 'Inhibit Drop Close src ip 8.9.10.11 on All' processing, ...",
"taskNotification": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 552194328,
"responseMessage": "",
"responseError": "c2FtOiByZXF1ZXN0IGZvciAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBhY2tub3dsZWRnZWQKc2FtOiBnYWlhODAuMTAgKDAvMSkgc3VjY2Vzc2Z1bGx5IGNvbXBsZXRlZCAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBwcm9jZXNzaW5nCnNhbTogcmVxdWVzdCBmb3IgJ0luaGliaXQgRHJvcCBDbG9zZSBzcmMgaXAgOC45LjEwLjExIG9uIEFsbCcgZG9uZQo=",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453332,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959451003,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453299,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959450933,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"read-only": false
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Supprimer une règle SAM
Description
Supprimez une règle SAM (surveillance des activités suspectes) du pare-feu Check Point.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Passerelle de sécurité | Chaîne | N/A | Oui | Spécifiez le nom de la passerelle de sécurité à partir de laquelle supprimer la règle SAM. |
| Adresse IP source | Chaîne | N/A | Non | Spécifiez l'adresse IP source à ajouter à la règle. |
| Masque de réseau source | Chaîne | N/A | Non | Spécifiez le masque de sous-réseau source à ajouter à la règle. |
| Adresse IP de destination | Chaîne | N/A | Non | Spécifiez l'adresse IP de destination à ajouter à la règle. |
| Masque de réseau de destination | Chaîne | N/A | Non | Spécifiez le masque de sous-réseau de destination à ajouter à la règle. |
| Port | Integer | N/A | Non | Spécifiez le numéro de port à ajouter à la règle (par exemple, 5005). |
| Protocole | Chaîne | N/A | Non | Spécifiez le nom du protocole à ajouter à la règle, par exemple TCP. |
| Action pour les connexions correspondantes | LDD | Drop Valeurs possibles : Drop Refuser Notifier |
Oui | Spécifiez l'action à exécuter pour les connexions correspondantes. |
| Suivre les connexions correspondantes | LDD | Journal Valeurs possibles : Aucun journal Journal Alerte |
Oui | Indiquez comment suivre les connexions correspondantes. |
| Fermer les connexions | Case à cocher | Cochée | Non | Indiquez si les connexions correspondantes existantes doivent être fermées. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tasks": [
{
"uid": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"name": "gaia80.10 - Siemplify-generated-script",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "77318892-48aa-4a38-ad94-b9322695c2c8",
"task-name": "gaia80.10 - Siemplify-generated-script",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1608120786139,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-update-time": {
"posix": 1608120788465,
"iso-8601": "2020-12-16T14:13+0200"
},
"suppressed": false,
"task-details": [
{
"uid": "c40132ac-547f-4fbf-b4bb-5c7efb7ed76b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "",
"taskNotification": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 194990168,
"responseMessage": "",
"responseError": "",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788509,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786199,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788491,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786184,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"read-only": false
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si status="succeeded" (is_success = true) : "La règle SAM a bien été supprimée du pare-feu Check Point à l'aide de la commande : {0}".format(command) Si le code d'état est différent de 200 ou 401 dans la première réponse(is_success=false) : "L'action n'a pas pu supprimer la règle SAM à l'aide de la commande "{0}" dans Check Point FireWall. Motif : {1}".format(command,message) Si, dans la deuxième réponse, statusCode == failed et que responseError base64 n'est pas disponible (is_success=false) : "L'action n'a pas pu supprimer la règle SAM à l'aide de la commande "{0}" dans Check Point FireWall." Si, dans la deuxième réponse, statusCode == failed et que responseError base64 est disponible (is_success=false) : "L'action n'a pas pu supprimer la règle SAM à l'aide de la commande "{0}" dans Check Point FireWall. Motif : {1}".format(command, base64 decoded responseError) If timeout(is_success=false): "Action reached timeout, while waiting to remove SAM Rule. Commande utilisée : {0}".format(command) Message asynchrone : attente de la fin d'une tâche de suppression de la règle SAM. L'action doit échouer et arrêter l'exécution d'un playbook : Si l'erreur est fatale ou liée au SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'alerte". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter une adresse IP à un groupe
Description
Met à jour le groupe de liste noire Google SecOps avec de nouvelles adresses IP.
Paramètres
| Paramètres | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du groupe de la liste noire | Chaîne | N/A | Oui | Nom du groupe. |
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_blocked | Vrai/Faux | is_blocked:False |
Ajouter une URL à un groupe
Description
Met à jour le groupe avec l'URL.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du groupe d'URL | Chaîne | N/A | Oui | Nom du groupe. |
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_blocked | Vrai/Faux | is_blocked:False |
Lister les calques sur le site
Description
Récupérez tous les calques existants.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Lister les règles sur le site
Description
Récupérez toutes les règles existantes.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Ping
Description
Testez la connectivité.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Supprimer une adresse IP d'un groupe
Description
Mise à jour du groupe "Liste noire Google SecOps" pour exclure les adresses IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du groupe de la liste noire | Chaîne | N/A | Oui | Nom du groupe dont l'objet de plage d'adresses doit être supprimé. |
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_unblocked | Vrai/Faux | is_unblocked:False |
Supprimer une URL d'un groupe
Description
Met à jour le groupe pour qu'il N'INCLUE PAS l'URL.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du groupe d'URL | Chaîne | N/A | Oui | Nom du groupe dont l'objet URL doit être supprimé. |
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_unblocked | Vrai/Faux | is_unblocked:False |
Exécuter le script
Description
Exécutez le script arbitraire avec l'appel d'API run-script de Check Point.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Texte du script | Chaîne | N/A | Oui | Script à exécuter. Par exemple, la commande fw sam : fw sam -t 600 -I src 8.9.10.12 |
| Cible | Chaîne | N/A | Oui | Spécifiez l'appareil Check Point sur lequel exécuter le script, par exemple gaia80.10. Le paramètre accepte plusieurs valeurs sous forme de liste d'éléments séparés par une virgule. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tasks": [{
"task-id": "867fef24-647e-40ea-91ef-9b5f8ae83d07",
"status": "succeeded",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
},
"start-time": {
"posix": 1597737649683,
"iso-8601": "2020-08-18T11:00+0300"
},
"uid": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"tags": [],
"last-update-time": {
"posix": 1597737651783,
"iso-8601": "2020-08-18T11:00+0300"
},
"suppressed": false,
"progress-percentage": 100,
"comments": "Completed",
"task-name": "gaia80.10 - Siemplify-generated-script",
"color": "black",
"meta-info": {
"creation-time": {
"posix": 1597737649720,
"iso-8601": "2020-08-18T11:00+0300"
},
"validation-state": "ok",
"creator": "admin",
"lock": "unlocked",
"last-modifier": "admin",
"last-modify-time": {
"posix": 1597737651810,
"iso-8601": "2020-08-18T11:00+0300"
}},
"task-details": [{
"display-name": "",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
}, "gatewayName": "",
"uid": "b4a71da3-60fc-4785-a379-3bb9f7a0ff2f",
"icon": "General/globalsNa",
"tags": [],
"color": "black",
"comments": "",
"name": null,
"responseError": "",
"taskNotification": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"responseMessage": "",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"transactionId": 931053033,
"meta-info": {
"creation-time": {
"posix": 1597737649735,
"iso-8601": "2020-08-18T11:00+0300"
},
"last-modify-time": {
"posix": 1597737651840,
"iso-8601": "2020-08-18T11:00+0300"
},
"creator": "admin",
"validation-state": "ok",
"last-modifier": "admin"
},
"customFields": null,
"statusDescription": "",
"statusCode": "succeeded"
}],
"icon": "General/globalsNa",
"type": "CdmTaskNotification",
"read-only": false,
"name": "gaia80.10 - Siemplify-generated-script"
}]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Afficher les journaux
Description
Récupérez les journaux du pare-feu Check Point en fonction du filtre.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Filtre de requête | Chaîne | N/A | Non | Spécifiez le filtre de requête qui sera utilisé pour renvoyer les journaux. |
| Période | LDD | La dernière heure Valeurs possibles : Aujourd'hui Hier La dernière heure Dernières 24 heures Les 30 derniers jours Cette semaine Ce mois-ci Depuis le début |
Oui | Spécifiez la période à utiliser pour récupérer les journaux. |
| Type de journal | LDD | Journal Possible Valeurs : Journal Audit |
Oui | Spécifiez le type de journaux à renvoyer. |
| Nombre maximal de journaux à renvoyer | Integer | 50 | Non | Indiquez le nombre de journaux à renvoyer. La valeur maximale est de 100. Il s'agit d'une limitation de Check Point Firewall. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"logs": [
{
"subject": "Object Manipulation",
"confidence_level": "N/A",
"description": "Engine mode: changed from 'by_policy' to 'detect_only' ",
"type": "System Alert",
"orig_log_server_attr": [
{
"isCHKPObject": "true",
"uuid": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"resolved": "gaia80.10"
}
],
"cb_log_type": "Security Alert",
"user_field": "admin",
"administrator": "admin",
"index_time": "2020-10-14T21:35:45Z",
"d_name": "Check that each Gateway's Anti-Bot configuration is activated according to the policy",
"violation_date": "3/6/2020 15:03",
"id": "ac1eca60-81b3-d219-5f87-6f2f000105e8",
"rounded_received_bytes": "0",
"cb_title": "Best Practice AB104 status decreased. New Status: Medium",
"cb_old_status": "Secure",
"lastUpdateSeqNum": "1513",
"severity": "Critical",
"product_family": "Network",
"product": "Compliance Blade",
"sequencenum": "1513",
"rounded_sent_bytes": "0",
"cb_scan_id": "Thu Oct 15 00:35:39 2020",
"orig_log_server": "172.30.202.96",
"cb_changed_objects": "ABSettings_8F36A0DE-E0D5-6347-AE51-6FB22D573F04",
"additional_info": "Security Alert: Best Practice status was reduced",
"cb_status": "Medium",
"orig": "gaia80.10",
"marker": "@A@@B@1602709200@C@1513",
"rounded_bytes": "0",
"orig_log_server_ip": "172.30.202.96",
"stored": "true",
"calc_desc": "Best Practice AB104 status decreased. New Status: Medium",
"logid": "134283267",
"time": "2020-10-14T21:35:43Z",
"cb_recommendation": "Each Gateway should be configured to work according to the profiles defined in the Anti-Bot policy. The Activation Mode should be set to 'According to Policy' and not 'Detect Only'.",
"best_practice_id": "AB104",
"lastUpdateTime": "1602711343000"
}
],
"logs-count": 1,
"query-id": "admin_6e9fce3a-4cd7-48b9-a3e7-14b701fb204c"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est 200 (is_success = true) : Imprimez "Successfully retrieved logs from Check Point FireWall!" (Journaux récupérés avec succès depuis le pare-feu Check Point).
Imprimez "L'action n'a pas pu récupérer les journaux du pare-feu Check Point ! Motif : {0}. Code : {1}".format(message, code) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, identifiants incorrects, pas de connexion au serveur, etc.) : Imprimez "Erreur lors de l'exécution de l'action "Afficher les journaux". Raison : {0}''.format(error.Stacktrace) |
Général |
Tableau du mur des cas Type de journal = Journal |
Nom du mur des cas : Résultats Colonnes de la vitrine : ID (mappé en tant qu'ID) Titre (mappé en tant que cb_title) Gravité (mappée en tant que gravité) Objet (mappé en tant qu'objet) Heure d'indexation (mappée en tant que index_time) |
Général |
Tableau du mur des cas Type de journal = Audit |
Nom du mur des cas : Résultats Colonnes de la vitrine : ID (mappé en tant qu'ID) Titre (mappé en tant que calc_desc) Gravité (mappée en tant que gravité) Objet (mappé en tant qu'objet) Heure (mise en correspondance en tant qu'heure) |
Général |
Télécharger la pièce jointe du journal
Description
Téléchargez les pièces jointes des journaux à partir de Check Point FireWall.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de journaux | Chaîne | N/A | Oui | Spécifiez la liste des ID de journaux (séparés par une virgule) à partir desquels vous souhaitez télécharger les pièces jointes. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin absolu du dossier dans lequel l'action doit stocker les pièces jointes. |
| Créer une pièce jointe pour le mur des cas | Case à cocher | N/A | Non | Si cette option est activée, l'action crée une pièce jointe pour chaque fichier téléchargé. Remarque : La pièce jointe ne sera créée que si sa taille est inférieure à 3 Mo. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"tasks": [
{
"task-id": "01234567-89ab-cdef-8273-cee81a82701c",
"task-name": "Packet Capture operation",
"status": "succeeded",
"progress-percentage": 100,
"suppressed": false,
"task-details": [
{
"attachments": [
{
"base64-data": "...",
"file-name": "Anti-Virus-blob-time1602759307.id5a5b7500.blade05.cap"
}
]
}
]
"absolute_path": "{folder_path}"
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si "status" == "succeeded" pour au moins un journal (is_success = true) : Imprimez "Successfully retrieved attachments in Check Point FireWall from the following logs:{0}".format(log ids)
Imprimer "L'action n'a pas pu récupérer les pièces jointes dans le pare-feu Check Point à partir des journaux suivants : {0}".format(ID de journaux) Si "status" != "succeeded" pour tous les journaux (is_success = true) : Impression du message "Aucune pièce jointe n'a été téléchargée" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : Message "Erreur lors de l'exécution de l'action "Télécharger la pièce jointe du journal". Raison : {0}''.format(error.Stacktrace) |
Général |
| Pièce jointe au mur des cas | Si elle n'atteint pas la taille maximale. Pour chaque téléchargement de pièce jointe réussi. "{0}".format(task-details/attachment/file-name) |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.