Check Point SandBlast
Dokumen ini menjelaskan cara mengintegrasikan Check Point SandBlast dengan Google Security Operations.
Mengonfigurasi integrasi Check Point SandBlast di Google Security Operations
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://<service_address>/tecloud/ api/<version>/file | Ya | Tentukan URL root Check Point SandBlast Api. |
| Kunci API | Sandi | T/A | Ya | Tentukan kunci API Check Point SandBlast. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Check Point SandBlast valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Check Point SandBlast dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Kasus Penggunaan
Uji konektivitas ke sistem target dengan parameter yang dikonfigurasi untuk Integrasi dari server Google SecOps.
Terus Berjalan
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Check Point SandBlast server with the provided connection parameters!" (Berhasil terhubung ke server Check Point SandBlast dengan parameter koneksi yang diberikan!) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah atau koneksi terputus dilaporkan: "Failed to connect to the SandBlast server! Error is {}".format(e) |
Umum |
Kueri
Deskripsi
Mendapatkan informasi reputasi ancaman tentang entitas FILEHASH.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Ambang batas | String | 0 | Ya | Menandai entitas sebagai mencurigakan jika tingkat keparahan sama dengan atau di atas nilai minimum yang diberikan. |
Terus Berjalan
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai mencurigakan jika:
- Putusan gabungan Emulasi Ancaman sama dengan berbahaya.
- Tingkat keparahan AV lebih besar dari atau sama dengan nilai minimum (dalam JSON: av.malware_info.severity).
| Nama Kolom Pengayaan | Logika |
|---|---|
| SandBlast_av_block | Menampilkan apakah ada di JSON |
| SandBlast_av_signature_name | Menampilkan apakah ada di JSON |
| SandBlast_av_severity | Menampilkan apakah ada di JSON |
| SandBlast_av_confidence | Menampilkan apakah ada di JSON |
| SandBlast_te_combined_verdict | Menampilkan apakah ada di JSON |
| SandBlast_te_severity | Menampilkan apakah ada di JSON |
| SandBlast_te_confidence | Menampilkan apakah ada di JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully found info the following entities:..." Jika sebagian berhasil: "Partial information was found for the following entities:..." Jika entitas tidak ditemukan: "No information was found for the following entities:..." (Tidak ada informasi yang ditemukan untuk entitas berikut:...) Jika gagal menemukan entitas: "Failed to fetch information for the following entities:..." (Gagal mengambil informasi untuk entitas berikut:...) Jika tidak berhasil: "No entities were enriched". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah atau koneksi terputus dilaporkan: "Terjadi error saat menjalankan tindakan. Error: {}".format(e) |
Umum |
Upload File
Deskripsi
Upload file untuk dianalisis.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| jalur file | String | T/A | Ya | jalur ke file yang akan diupload |
| nama file | String | T/A | Ya | Nama Tampilan file yang diupload |
| Mengaktifkan fitur Emulasi Ancaman | Kotak centang | Dicentang | Tidak | Jika diaktifkan, fitur emulasi ancaman akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
| Mengaktifkan fitur AntiVirus | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, fitur antivirus akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
| Mengaktifkan fitur Ekstraksi Ancaman | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, fitur ekstraksi ancaman akan diaktifkan untuk upload. Secara default, jika tidak ada fitur yang dipilih, emulasi ancaman akan digunakan. |
Terus Berjalan
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths]) Lainnya: "Tidak ada file yang diupload." Jika gagal: "Terjadi error pada file berikut: {}Harap periksa log untuk mengetahui informasi selengkapnya.".format(".join([file_path for file_path in failed_paths])"
Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis, seperti kredensial salah atau konektivitas terputus dilaporkan: "Terjadi error saat menjalankan tindakan. Error: {}".format(e) |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.