Se usó la API de Cloud Translation para traducir esta página.

Check Point SandBlast

Versión de integración: 5.0

Configura la integración de Check Point SandBlast en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	String	N/A	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	N/A	No	Es la descripción de la instancia.
Raíz de la API	String	https://<service_address>/tecloud/ api/<version>/file	Sí	Especifica la URL raíz de la API de Check Point SandBlast.
Clave de API	Contraseña	N/A	Sí	Especifica la clave de API de Check Point SandBlast.
Verificar SSL	Casilla de verificación	Marcado	No	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Check Point SandBlast sea válido.
Ejecutar de forma remota	Casilla de verificación	Desmarcado	No	Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con Check Point SandBlast con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Casos de uso

Prueba la conectividad con el sistema de destino con los parámetros configurados para la integración desde el servidor de Google SecOps.

Ejecutar en

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente, aparecerá el mensaje "Se conectó correctamente al servidor de Check Point SandBlast con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servidor de SandBlast". El error es {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se realiza correctamente, aparecerá el mensaje "Se conectó correctamente al servidor de Check Point SandBlast con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servidor de SandBlast". El error es {}".format(e)

General

Consulta

Descripción

Obtiene información sobre la reputación de amenazas de las entidades FILEHASH.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	String	0	Sí	Marca la entidad como sospechosa si la gravedad es igual o superior al umbral determinado.

Ejecutar en

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Enriquecimiento de entidades

Las entidades se marcan como sospechosas en los siguientes casos:

El veredicto combinado de la emulación de amenazas es malicioso.
La gravedad del AV es mayor o igual que el umbral (en el JSON: av.malware_info.severity).

Nombre del campo de enriquecimiento	Lógica
SandBlast_av_block	Devuelve si existe en JSON
SandBlast_av_signature_name	Devuelve si existe en JSON
SandBlast_av_severity	Devuelve si existe en JSON
SandBlast_av_confidence	Devuelve si existe en JSON
SandBlast_te_combined_verdict	Devuelve si existe en JSON
SandBlast_te_severity	Devuelve si existe en JSON
SandBlast_te_confidence	Devuelve si existe en JSON

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, "Se encontró correctamente la información de las siguientes entidades…". Si se realizó parcialmente: "Se encontró información parcial para las siguientes entidades…" Si no se encontraron entidades: "No se encontró información para las siguientes entidades:…" Si no se encuentran entidades, se muestra el mensaje "No se pudo recuperar la información de las siguientes entidades:…". Si no se realiza correctamente: "No se enriqueció ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: "Se produjo un error durante la ejecución de la acción. Error: {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente, "Se encontró correctamente la información de las siguientes entidades…".

Si se realizó parcialmente: "Se encontró información parcial para las siguientes entidades…"

Si no se encontraron entidades: "No se encontró información para las siguientes entidades:…"

Si no se encuentran entidades, se muestra el mensaje "No se pudo recuperar la información de las siguientes entidades:…".

Si no se realiza correctamente: "No se enriqueció ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente:

"Se produjo un error durante la ejecución de la acción. Error: {}".format(e)

General

Subir archivo

Descripción

Sube archivos para analizarlos.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ruta de acceso al archivo	String	N/A	Sí	Ruta de acceso al archivo que se subirá
nombre del archivo	String	N/A	Sí	Nombre visible del archivo subido
Habilita la función de emulación de amenazas	Casilla de verificación	Marcado	No	Si se habilita, se habilitará la función de emulación de amenazas para la carga. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.
Habilita la función de antivirus	Casilla de verificación	Desmarcado	No	Si se habilita, la función antivirus se habilitará para la carga. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.
Habilita la función de extracción de amenazas	Casilla de verificación	Desmarcado	No	Si se habilita, se activará la función de extracción de amenazas para la carga. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]

Muro de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se subieron correctamente: "Se subieron correctamente los siguientes archivos: {}".format(".join([file_path for file_path in successful_paths]) De lo contrario, se mostrará el mensaje "No se subió ningún archivo". Si falla: "Se produjo un error en los siguientes archivos: {}. Consulta los registros para obtener más información".format(".join([file_path for file_path in failed_paths])" La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: "Se produjo un error durante la ejecución de la acción. Error: {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se subieron correctamente: "Se subieron correctamente los siguientes archivos: {}".format(".join([file_path for file_path in successful_paths])

De lo contrario, se mostrará el mensaje "No se subió ningún archivo".

Si falla: "Se produjo un error en los siguientes archivos: {}. Consulta los registros para obtener más información".format(".join([file_path for file_path in failed_paths])"

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente:

"Se produjo un error durante la ejecución de la acción. Error: {}".format(e)

General

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.