Check Point 防火墙
集成版本:10.0
在 Google Security Operations 中配置 Check Point 防火墙集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 服务器地址 | 字符串 | xx.xx.xx.xx:443 | 是 | Check Point 防火墙服务器的 IP 地址。 |
| 用户名 | 字符串 | 不适用 | 是 | 应使用哪个用户的电子邮件地址来连接到 Check Point 防火墙。 |
| 网域 | 字符串 | 不适用 | 否 | 用户的网域。例如,如果用户的电子邮件地址为 user@example.com,则网域为 example.com |
| 密码 | 密码 | 不适用 | 是 | 相应用户的密码。 |
| 政策名称 | 字符串 | standard | 是 | 政策的名称。 |
| 验证 SSL | 复选框 | 尚未核查 | 否 | 如果您的 Check Point 防火墙连接需要 SSL 验证,请选中此复选框。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
添加 SAM 规则
说明
为 Check Point 防火墙添加了 SAM(可疑活动监控)规则。如需了解可用的 IP、网络掩码、端口和协议组合,请参阅 Check Point fw_sam 命令条件部分文档。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要在其上创建 SAM 规则的安全网关 | 字符串 | 不适用 | 是 | 指定要为其创建规则的安全网关的名称。 |
| 来源 IP | 字符串 | 不适用 | 否 | 指定要添加到规则中的来源 IP。 |
| 源网络掩码 | 字符串 | 不适用 | 否 | 指定要添加到规则中的来源网络掩码。 |
| 目标 IP 地址 | 字符串 | 不适用 | 否 | 指定要添加到规则中的目标 IP。 |
| 目标网络掩码 | 字符串 | 不适用 | 否 | 指定要添加到规则中的目标网络掩码。 |
| 端口 | 整数 | 不适用 | 否 | 指定要添加到规则中的端口号,例如 5005。 |
| 协议 | 字符串 | 不适用 | 否 | 指定要添加到规则中的协议名称,例如 TCP。 |
| 到期日期 | 秒 | 不适用 | 否 | 指定新添加的 SAM 规则应处于有效状态的时间(以秒为单位),例如 4。如果未指定任何内容,则规则永不过期。 |
| 匹配连接的操作 | DDL | 删除 | 是 | 指定应针对匹配的连接执行的操作。 |
| 如何跟踪匹配的连接 | DDL | 日志 | 是 | 指定如何跟踪匹配的连接。 |
| 关闭连接 | 复选框 | 勾选 | 否 | 指定是否应关闭现有的匹配连接。 |
运行于
该操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tasks": [
{
"uid": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"name": "gaia80.10 - CW Test fw sam",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "4ca124e5-c9ce-45cf-8275-4b119e535d3e",
"task-name": "gaia80.10 - CW Test fw sam",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1594959450832,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-update-time": {
"posix": 1594959453264,
"iso-8601": "2020-07-17T07:17+0300"
},
"suppressed": false,
"task-details": [
{
"uid": "94108666-b9d6-4165-80ab-13078c03395b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "sam: request for 'Inhibit Drop Close src ip 8.9.10.11 on All' acknowledged, sam: gaia80.10 (0/1) successfully completed 'Inhibit Drop Close src ip 8.9.10.11 on All' processing, ...",
"taskNotification": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 552194328,
"responseMessage": "",
"responseError": "c2FtOiByZXF1ZXN0IGZvciAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBhY2tub3dsZWRnZWQKc2FtOiBnYWlhODAuMTAgKDAvMSkgc3VjY2Vzc2Z1bGx5IGNvbXBsZXRlZCAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBwcm9jZXNzaW5nCnNhbTogcmVxdWVzdCBmb3IgJ0luaGliaXQgRHJvcCBDbG9zZSBzcmMgaXAgOC45LjEwLjExIG9uIEFsbCcgZG9uZQo=",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453332,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959451003,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453299,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959450933,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"read-only": false
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
移除 SAM 规则
说明
从 Check Point 防火墙中移除 SAM(可疑活动监控)规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 安全网关 | 字符串 | 不适用 | 是 | 指定要从中移除 SAM 规则的安全网关的名称。 |
| 来源 IP | 字符串 | 不适用 | 否 | 指定要添加到规则中的来源 IP。 |
| 源网络掩码 | 字符串 | 不适用 | 否 | 指定要添加到规则中的来源网络掩码。 |
| 目标 IP 地址 | 字符串 | 不适用 | 否 | 指定要添加到规则中的目标 IP。 |
| 目标网络掩码 | 字符串 | 不适用 | 否 | 指定要添加到规则中的目标网络掩码。 |
| 端口 | 整数 | 不适用 | 否 | 指定要添加到规则中的端口号,例如 5005。 |
| 协议 | 字符串 | 不适用 | 否 | 指定要添加到规则中的协议名称,例如 TCP。 |
| 匹配连接的操作 | DDL | 删除 可能的值: 删除 拒绝 通知 |
是 | 指定应针对匹配的连接执行的操作。 |
| 如何跟踪匹配的连接 | DDL | 日志 可能的值: 无日志 日志 提醒 |
是 | 指定如何跟踪匹配的连接。 |
| 关闭连接 | 复选框 | 勾选 | 否 | 指定是否应关闭现有的匹配连接。 |
运行于
该操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tasks": [
{
"uid": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"name": "gaia80.10 - Siemplify-generated-script",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "77318892-48aa-4a38-ad94-b9322695c2c8",
"task-name": "gaia80.10 - Siemplify-generated-script",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1608120786139,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-update-time": {
"posix": 1608120788465,
"iso-8601": "2020-12-16T14:13+0200"
},
"suppressed": false,
"task-details": [
{
"uid": "c40132ac-547f-4fbf-b4bb-5c7efb7ed76b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "",
"taskNotification": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 194990168,
"responseMessage": "",
"responseError": "",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788509,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786199,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788491,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786184,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"read-only": false
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果 status="succeeded" (is_success = true):“已使用以下命令成功从 Check Point 防火墙中移除 SAM 规则:{0}”。format(command) 如果第一个响应中的状态代码不是 200 或 401(is_success=false):“无法在 Check Point 防火墙中使用命令 "{0}" 移除 SAM 规则。原因:{1}".format(command,message) 如果第二个响应的 statusCode == failed 且 base64 responseError 不可用(is_success=false):“操作无法在 Check Point 防火墙中使用命令 "{0}" 移除 SAM 规则。” 如果第二个响应的 statusCode == failed 且 base64 responseError 可用 (is_success=false):“操作无法在 Check Point 防火墙中使用命令 "{0}" 移除 SAM 规则。原因:{1}".format(command, base64 decoded responseError) 如果超时(is_success=false):“等待移除 SAM 规则时,操作已超时。使用的命令:{0}".format(command) 异步消息:等待移除 SAM 规则的任务完成。 操作应失败并停止 playbook 执行: 如果出现严重错误、SDK 错误(例如凭据错误、无法连接到服务器)或其他错误:“执行操作‘更新提醒状态’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
将 IP 添加到群组
说明
使用新的 IP 地址更新 Google SecOps 黑名单组。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 黑名单群组名称 | 字符串 | 不适用 | 是 | 群组的名称。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_blocked | True/False | is_blocked:False |
将网址添加到群组
说明
使用网址更新群组。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 网址组名称 | 字符串 | 不适用 | 是 | 群组的名称。 |
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_blocked | True/False | is_blocked:False |
列出网站上的图层
说明
检索所有现有层。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
列出网站上的政策
说明
检索所有现有政策。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
Ping
说明
测试连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
从群组中移除 IP
说明
更新了 Google SecOps 黑名单组,使其不包含 IP 地址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 黑名单群组名称 | 字符串 | 不适用 | 是 | 要从中移除地址范围对象的群组的名称。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_unblocked | True/False | is_unblocked:False |
从群组中移除网址
说明
更新群组,使其不包含相应网址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 网址组名称 | 字符串 | 不适用 | 是 | 要从中移除网址对象的群组的名称。 |
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_unblocked | True/False | is_unblocked:False |
运行脚本
说明
使用 Check Point run-script API 调用运行任意脚本。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 脚本文本 | 字符串 | 不适用 | 是 | 要执行的脚本。例如,fw sam 命令:fw sam -t 600 -I src 8.9.10.12 |
| 目标 | 字符串 | 不适用 | 是 | 指定要执行脚本的 Check Point 设备,例如 gaia80.10 该参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tasks": [{
"task-id": "867fef24-647e-40ea-91ef-9b5f8ae83d07",
"status": "succeeded",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
},
"start-time": {
"posix": 1597737649683,
"iso-8601": "2020-08-18T11:00+0300"
},
"uid": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"tags": [],
"last-update-time": {
"posix": 1597737651783,
"iso-8601": "2020-08-18T11:00+0300"
},
"suppressed": false,
"progress-percentage": 100,
"comments": "Completed",
"task-name": "gaia80.10 - Siemplify-generated-script",
"color": "black",
"meta-info": {
"creation-time": {
"posix": 1597737649720,
"iso-8601": "2020-08-18T11:00+0300"
},
"validation-state": "ok",
"creator": "admin",
"lock": "unlocked",
"last-modifier": "admin",
"last-modify-time": {
"posix": 1597737651810,
"iso-8601": "2020-08-18T11:00+0300"
}},
"task-details": [{
"display-name": "",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
}, "gatewayName": "",
"uid": "b4a71da3-60fc-4785-a379-3bb9f7a0ff2f",
"icon": "General/globalsNa",
"tags": [],
"color": "black",
"comments": "",
"name": null,
"responseError": "",
"taskNotification": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"responseMessage": "",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"transactionId": 931053033,
"meta-info": {
"creation-time": {
"posix": 1597737649735,
"iso-8601": "2020-08-18T11:00+0300"
},
"last-modify-time": {
"posix": 1597737651840,
"iso-8601": "2020-08-18T11:00+0300"
},
"creator": "admin",
"validation-state": "ok",
"last-modifier": "admin"
},
"customFields": null,
"statusDescription": "",
"statusCode": "succeeded"
}],
"icon": "General/globalsNa",
"type": "CdmTaskNotification",
"read-only": false,
"name": "gaia80.10 - Siemplify-generated-script"
}]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
显示日志
说明
根据过滤条件从 Check Point 防火墙检索日志。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询过滤条件 | 字符串 | 不适用 | 否 | 指定将用于返回日志的查询过滤条件。 |
| 时间范围 | DDL | 过去 1 小时 可能的值: 今天 昨天 过去 1 小时 过去 24 小时 过去 30 天 本周 本月 时间不限 |
是 | 指定应使用哪个时间范围来检索日志。 |
| 日志类型 | DDL | 日志 可能 值: 日志 审核 |
是 | 指定应返回的日志类型。 |
| 要返回的日志数上限 | 整数 | 50 | 否 | 指定要返回的日志数量。最大值为 100。这是 Check Point 防火墙的限制。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"logs": [
{
"subject": "Object Manipulation",
"confidence_level": "N/A",
"description": "Engine mode: changed from 'by_policy' to 'detect_only' ",
"type": "System Alert",
"orig_log_server_attr": [
{
"isCHKPObject": "true",
"uuid": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"resolved": "gaia80.10"
}
],
"cb_log_type": "Security Alert",
"user_field": "admin",
"administrator": "admin",
"index_time": "2020-10-14T21:35:45Z",
"d_name": "Check that each Gateway's Anti-Bot configuration is activated according to the policy",
"violation_date": "3/6/2020 15:03",
"id": "ac1eca60-81b3-d219-5f87-6f2f000105e8",
"rounded_received_bytes": "0",
"cb_title": "Best Practice AB104 status decreased. New Status: Medium",
"cb_old_status": "Secure",
"lastUpdateSeqNum": "1513",
"severity": "Critical",
"product_family": "Network",
"product": "Compliance Blade",
"sequencenum": "1513",
"rounded_sent_bytes": "0",
"cb_scan_id": "Thu Oct 15 00:35:39 2020",
"orig_log_server": "172.30.202.96",
"cb_changed_objects": "ABSettings_8F36A0DE-E0D5-6347-AE51-6FB22D573F04",
"additional_info": "Security Alert: Best Practice status was reduced",
"cb_status": "Medium",
"orig": "gaia80.10",
"marker": "@A@@B@1602709200@C@1513",
"rounded_bytes": "0",
"orig_log_server_ip": "172.30.202.96",
"stored": "true",
"calc_desc": "Best Practice AB104 status decreased. New Status: Medium",
"logid": "134283267",
"time": "2020-10-14T21:35:43Z",
"cb_recommendation": "Each Gateway should be configured to work according to the profiles defined in the Anti-Bot policy. The Activation Mode should be set to 'According to Policy' and not 'Detect Only'.",
"best_practice_id": "AB104",
"lastUpdateTime": "1602711343000"
}
],
"logs-count": 1,
"query-id": "admin_6e9fce3a-4cd7-48b9-a3e7-14b701fb204c"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码为 200 (is_success = true): 打印“Successfully retrieved logs from Check Point FireWall!”
打印“操作无法从 Check Point 防火墙检索日志!原因:{0}。代码:{1}".format(message, code) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器等: 打印“Error executing action "Show Logs". 原因:{0}''.format(error.Stacktrace) |
常规 |
“案例墙”表格 日志类型 = 日志 |
案例墙名称:结果 案例墙列: ID(映射为 id) 商品名(映射为 cb_title) 严重程度(映射为严重程度) 主题(映射为主题) 指数时间(映射为 index_time) |
常规 |
“案例墙”表格 日志类型 = 审核 |
案例墙名称:结果 案例墙列: ID(映射为 id) 商品名(映射为 calc_desc) 严重程度(映射为严重程度) 主题(映射为主题) 时间(映射为时间) |
常规 |
下载日志附件
说明
从 Check Point 防火墙下载日志附件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 日志 ID | 字符串 | 不适用 | 是 | 指定要从中下载附件的日志 ID 的英文逗号分隔列表。 |
| 下载文件夹路径 | 字符串 | 不适用 | 是 | 指定操作应将附件存储到的文件夹的绝对路径。 |
| 创建支持请求消息墙附件 | 复选框 | 不适用 | 否 | 如果启用,则操作会为每个成功下载的文件创建一个支持服务附件。注意:只有当附件的大小小于 3 MB 时,系统才会创建该附件。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"tasks": [
{
"task-id": "01234567-89ab-cdef-8273-cee81a82701c",
"task-name": "Packet Capture operation",
"status": "succeeded",
"progress-percentage": 100,
"suppressed": false,
"task-details": [
{
"attachments": [
{
"base64-data": "...",
"file-name": "Anti-Virus-blob-time1602759307.id5a5b7500.blade05.cap"
}
]
}
]
"absolute_path": "{folder_path}"
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个日志的“status”为“succeeded”(is_success = true): 打印“Successfully retrieved attachments in Check Point FireWall from the following logs:{0}".format(log ids)
打印“Action wasn't able to retrieve attachments in Check Point FireWall from the following logs:{0}”.format(log ids) 如果所有日志的“status”均不等于“succeeded”(is_success = true): 打印“未下载任何附件” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: 打印“Error executing action "Download Log Attachment". 原因:{0}''.format(error.Stacktrace) |
常规 |
| 案例墙附件 | 如果未达到大小上限。 每次成功下载附件。 “{0}”.format(任务详情/附件/文件名) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。