Check Point SandBlast
Versi integrasi: 5.0
Mengonfigurasi integrasi Check Point SandBlast di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://<service_address>/tecloud/ api/<version>/file | Ya | Tentukan URL root Check Point SandBlast Api. |
| Kunci API | Sandi | T/A | Ya | Tentukan kunci API Check Point SandBlast. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Check Point SandBlast valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Check Point SandBlast dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Kasus Penggunaan
Uji konektivitas ke sistem target dengan parameter yang dikonfigurasi untuk Integrasi dari server Google SecOps.
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Berhasil terhubung ke server Check Point SandBlast dengan parameter koneksi yang diberikan!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas terputus dilaporkan: "Gagal terhubung ke server SandBlast. Errornya adalah {}".format(e) |
Umum |
Kueri
Deskripsi
Mendapatkan informasi reputasi ancaman tentang entitas FILEHASH.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Ambang batas | String | 0 | Ya | Tandai entitas sebagai mencurigakan jika tingkat keparahannya sama dengan atau di atas nilai minimum yang diberikan. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai mencurigakan jika:
- Putusan gabungan Emulasi Ancaman sama dengan berbahaya.
- Tingkat keparahan AV lebih besar dari atau sama dengan nilai minimum (dalam JSON: av.malware_info.severity).
| Nama Kolom Pengayaan | Logika |
|---|---|
| SandBlast_av_block | Menampilkan apakah ada di JSON |
| SandBlast_av_signature_name | Menampilkan apakah ada di JSON |
| SandBlast_av_severity | Menampilkan apakah ada di JSON |
| SandBlast_av_confidence | Menampilkan apakah ada di JSON |
| SandBlast_te_combined_verdict | Menampilkan apakah ada di JSON |
| SandBlast_te_severity | Menampilkan apakah ada di JSON |
| SandBlast_te_confidence | Menampilkan apakah ada di JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Berhasil menemukan info tentang entitas berikut:..." Jika sebagian berhasil: "Informasi sebagian ditemukan untuk entitas berikut:..." Jika entitas tidak ditemukan: "Tidak ada informasi yang ditemukan untuk entitas berikut:..." Jika gagal menemukan entitas: "Gagal mengambil informasi untuk entitas berikut:..." Jika tidak berhasil: "Tidak ada entitas yang dipertkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial yang salah atau konektivitas terputus dilaporkan: "Terjadi error saat menjalankan tindakan. Error: {}".format(e) |
Umum |
Upload File
Deskripsi
Upload file untuk dianalisis.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| jalur file | String | T/A | Ya | jalur ke file yang akan diupload |
| nama file | String | T/A | Ya | Nama Tampilan file yang diupload |
| Mengaktifkan fitur Emulasi Ancaman | Kotak centang | Dicentang | Tidak | Jika diaktifkan, fitur emulasi ancaman akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
| Mengaktifkan fitur AntiVirus | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, fitur antivirus akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
| Mengaktifkan fitur Ekstraksi Ancaman | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, fitur ekstraksi ancaman akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths]) Lainnya: "Tidak ada file yang diupload." Jika gagal: "Terjadi error pada file berikut: {}Harap periksa log untuk mengetahui informasi selengkapnya.".format(".join([file_path for file_path in failed_paths])"
Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Terjadi error saat menjalankan tindakan. Error: {}".format(e) |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.