Diese Seite wurde von der Cloud Translation API übersetzt.

Check Point SandBlast

Integrationsversion: 5.0

Check Point SandBlast-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Instanzname	String	–	Nein	Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung	String	–	Nein	Beschreibung der Instanz.
API-Stamm	String	https://<service_address>/tecloud/ api/<version>/file	Ja	Geben Sie die Stamm-URL der Check Point SandBlast API an.
API-Schlüssel	Passwort	–	Ja	Geben Sie den Check Point SandBlast API-Schlüssel an.
SSL überprüfen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Check Point SandBlast-Server gültig ist.
Remote ausführen	Kästchen	Deaktiviert	Nein	Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Check Point SandBlast mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Anwendungsbereiche

Testen Sie die Verbindung zum Zielsystem mit Parametern, die für die Integration vom Google SecOps-Server konfiguriert sind.

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Check Point SandBlast server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum Check Point SandBlast-Server hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the SandBlast server! Fehler: {}".format(e)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Check Point SandBlast server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum Check Point SandBlast-Server hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the SandBlast server! Fehler: {}".format(e)

Allgemein

Abfrage

Beschreibung

Rufen Sie Informationen zum Bedrohungsrisiko für FILEHASH-Entitäten ab.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Grenzwert	String	0	Ja	Markieren Sie die Entität als verdächtig, wenn der Schweregrad dem angegebenen Grenzwert entspricht oder darüber liegt.

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Entitäten werden als verdächtig markiert, wenn:

Das kombinierte Ergebnis der Threat Emulation ist „Schadsoftware“.
Der Schweregrad des Antivirenprogramms ist größer oder gleich dem Schwellenwert (im JSON: av.malware_info.severity).

Name des Anreicherungsfelds	Logik
SandBlast_av_block	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_av_signature_name	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_av_severity	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_av_confidence	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_te_combined_verdict	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_te_severity	Gibt zurück, ob es in JSON vorhanden ist.
SandBlast_te_confidence	Gibt zurück, ob es in JSON vorhanden ist.

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Informationen zu den folgenden Rechtspersönlichkeiten wurden gefunden:…“ Bei teilweisem Erfolg: „Es wurden teilweise Informationen für die folgenden Rechtssubjekte gefunden:...“ Wenn keine Entitäten gefunden wurden: „Für die folgenden Entitäten wurden keine Informationen gefunden:…“ Wenn keine Entitäten gefunden wurden: „Informationen für die folgenden Entitäten konnten nicht abgerufen werden:…“ Wenn nicht erfolgreich: „Es wurden keine Entitäten angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Beim Ausführen der Aktion ist ein Fehler aufgetreten. Fehler: {}".format(e)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Informationen zu den folgenden Rechtspersönlichkeiten wurden gefunden:…“

Bei teilweisem Erfolg: „Es wurden teilweise Informationen für die folgenden Rechtssubjekte gefunden:...“

Wenn keine Entitäten gefunden wurden: „Für die folgenden Entitäten wurden keine Informationen gefunden:…“

Wenn keine Entitäten gefunden wurden: „Informationen für die folgenden Entitäten konnten nicht abgerufen werden:…“

Wenn nicht erfolgreich: „Es wurden keine Entitäten angereichert.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

„Beim Ausführen der Aktion ist ein Fehler aufgetreten. Fehler: {}".format(e)

Allgemein

Datei hochladen

Beschreibung

Dateien zur Analyse hochladen

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Dateipfad	String	–	Ja	Pfad zur hochzuladenden Datei
Dateiname	String	–	Ja	Anzeigename der hochgeladenen Datei
Funktion „Bedrohungsemulation“ aktivieren	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird die Funktion zur Emulation von Bedrohungen für den Upload aktiviert. Wenn keine Funktionen ausgewählt sind, wird standardmäßig die Emulation von Bedrohungen verwendet.
Antivirus-Funktion aktivieren	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird die Antivirenfunktion für den Upload aktiviert. Wenn keine Funktionen ausgewählt sind, wird standardmäßig die Emulation von Bedrohungen verwendet.
Funktion „Bedrohungsextraktion“ aktivieren	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, wird die Funktion zum Extrahieren von Bedrohungen für den Upload aktiviert. Wenn keine Funktionen ausgewählt sind, wird standardmäßig die Emulation von Bedrohungen verwendet.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully uploaded the following files: {}“.format(“.join([file_path for file_path in successful_paths]) Andernfalls: „Es wurden keine Dateien hochgeladen.“ Bei Fehler: „Bei den folgenden Dateien ist ein Fehler aufgetreten: {} Weitere Informationen finden Sie in den Protokollen.“format(„.join([file_path for file_path in failed_paths])“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Beim Ausführen der Aktion ist ein Fehler aufgetreten. Fehler: {}".format(e)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully uploaded the following files: {}“.format(“.join([file_path for file_path in successful_paths])

Andernfalls: „Es wurden keine Dateien hochgeladen.“

Bei Fehler: „Bei den folgenden Dateien ist ein Fehler aufgetreten: {} Weitere Informationen finden Sie in den Protokollen.“format(„.join([file_path for file_path in failed_paths])“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

„Beim Ausführen der Aktion ist ein Fehler aufgetreten. Fehler: {}".format(e)

Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten