Check Point SandBlast

Version de l'intégration : 5.0

Configurer l'intégration de Check Point SandBlast dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom de l'instance Chaîne N/A Non Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description Chaîne N/A Non Description de l'instance.
Racine de l'API Chaîne https://<service_address>/tecloud/ api/<version>/file Oui Spécifiez l'URL racine de l'API Check Point SandBlast.
Clé API Mot de passe N/A Oui Spécifiez la clé API Check Point SandBlast.
Vérifier le protocole SSL Case à cocher Cochée Non Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Check Point SandBlast est valide.
Exécuter à distance Case à cocher Décochée Non Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Actions

Ping

Description

Testez la connectivité à Check Point SandBlast avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Cas d'utilisation

Testez la connectivité au système cible avec les paramètres configurés pour l'intégration à partir du serveur Google SecOps.

Exécuter sur

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Check Point SandBlast établie avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au serveur SandBlast ! Error is {}".format(e)

 Général

Requête

Description

Obtenez des informations sur la réputation des menaces concernant les entités FILEHASH.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Seuil Chaîne 0 Oui Marquez l'entité comme suspecte si la gravité est égale ou supérieure au seuil indiqué.

Exécuter sur

Cette action s'exécute sur l'entité Filehash.

Résultats de l'action

Enrichissement d'entités

Les entités sont marquées comme suspectes si :

  1. Le verdict combiné de l'émulation de menace est "Malveillant".
  2. La gravité de l'AV est supérieure ou égale au seuil (dans le fichier JSON : av.malware_info.severity).
Nom du champ d'enrichissement Logique
SandBlast_av_block Renvoie la valeur si elle existe au format JSON
SandBlast_av_signature_name Renvoie la valeur si elle existe au format JSON
SandBlast_av_severity Renvoie la valeur si elle existe au format JSON
SandBlast_av_confidence Renvoie la valeur si elle existe au format JSON
SandBlast_te_combined_verdict Renvoie la valeur si elle existe au format JSON
SandBlast_te_severity Renvoie la valeur si elle existe au format JSON
SandBlast_te_confidence Renvoie la valeur si elle existe au format JSON
Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Informations trouvées pour les entités suivantes : …"

Si l'opération a partiellement réussi : "Des informations partielles ont été trouvées pour les entités suivantes : …"

Si aucune entité n'a été trouvée : "Aucune information n'a été trouvée pour les entités suivantes : …"

Si aucune entité n'a été trouvée : "Échec de la récupération des informations pour les entités suivantes : …"

Si l'opération échoue : "Aucune entité n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée (par exemple, des identifiants incorrects ou une perte de connectivité) :

"Une erreur s'est produite lors de l'exécution de l'action. Error: {}".format(e)

 Général

Importer un fichier

Description

Importez des fichiers pour les analyser.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
chemin d'accès du fichier Chaîne N/A Oui Chemin d'accès au fichier à importer
nom de fichier Chaîne N/A Oui Nom à afficher du fichier importé
Activer la fonctionnalité d'émulation des menaces Case à cocher Cochée Non Si cette option est activée, la fonctionnalité d'émulation des menaces sera activée pour l'importation. Par défaut, si aucune fonctionnalité n'est sélectionnée, l'émulation des menaces sera utilisée.
Activer la fonctionnalité Antivirus Case à cocher Décochée Non Si cette option est activée, la fonctionnalité antivirus sera activée pour l'importation. Par défaut, si aucune fonctionnalité n'est sélectionnée, l'émulation des menaces sera utilisée.
Activer la fonctionnalité d'extraction des menaces Case à cocher Décochée Non Si cette option est activée, la fonctionnalité d'extraction des menaces sera activée pour l'importation. Par défaut, si aucune fonctionnalité n'est sélectionnée, l'émulation des menaces sera utilisée.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

En cas de réussite : "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths])

Sinon : "Aucun fichier n'a été importé."

En cas d'échec : "Une erreur s'est produite sur les fichiers suivants : {}. Veuillez consulter les journaux pour en savoir plus.".format(".join([file_path for file_path in failed_paths])"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique, comme des identifiants incorrects ou une perte de connectivité, est signalée :

"Une erreur s'est produite lors de l'exécution de l'action. Error: {}".format(e)

 Général

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.