Check Point SandBlast

Questo documento descrive come integrare Check Point SandBlast con Google Security Operations.

Configura l'integrazione di Check Point SandBlast in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome istanza Stringa N/D No Nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione Stringa N/D No Descrizione dell'istanza.
Root API Stringa https://<service_address>/tecloud/ api/<version>/file Specifica l'URL radice dell'API Check Point SandBlast.
Chiave API Password N/D Specifica la chiave API di Check Point SandBlast.
Verifica SSL Casella di controllo Selezionata No Se abilitata, verifica che il certificato SSL per la connessione al server Check Point SandBlast sia valido.
Esegui da remoto Casella di controllo Deselezionata No Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente).

Azioni

Dindin

Descrizione

Testa la connettività a Check Point SandBlast con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.

Parametri

N/D

Casi d'uso

Testa la connettività al sistema di destinazione con i parametri configurati per l'integrazione dal server Google SecOps.

Run On

L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Connessione al server Check Point SandBlast riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore critico, ad esempio credenziali errate o connettività persa: "Impossibile connettersi al server SandBlast. Errore: {}".format(e)

 Generale

Query

Descrizione

Ottieni informazioni sulla reputazione delle minacce relative alle entità FILEHASH.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Soglia Stringa 0 Contrassegna l'entità come sospetta se la gravità è uguale o superiore alla soglia specificata.

Run On

Questa azione viene eseguita sull'entità Filehash.

Risultati dell'azione

Arricchimento delle entità

Le entità vengono contrassegnate come sospette se:

  1. Il verdetto combinato dell'emulazione delle minacce è uguale a dannoso.
  2. La gravità dell'antivirus è maggiore o uguale alla soglia (in JSON: av.malware_info.severity).
Nome campo di arricchimento Logic
SandBlast_av_block Restituisce il valore se esiste in JSON
SandBlast_av_signature_name Restituisce il valore se esiste in JSON
SandBlast_av_severity Restituisce il valore se esiste in JSON
SandBlast_av_confidence Restituisce il valore se esiste in JSON
SandBlast_te_combined_verdict Restituisce il valore se esiste in JSON
SandBlast_te_severity Restituisce il valore se esiste in JSON
SandBlast_te_confidence Restituisce il valore se esiste in JSON
Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Informazioni trovate correttamente per le seguenti entità:…"

Se l'operazione è parzialmente riuscita: "Sono state trovate informazioni parziali per le seguenti entità:…"

Se non sono state trovate entità: "Non sono state trovate informazioni per le seguenti entità:…"

Se non è stato possibile trovare entità: "Impossibile recuperare le informazioni per le seguenti entità:…"

Se l'operazione non va a buon fine: "Nessuna entità è stata arricchita".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività:

"Si è verificato un errore durante l'esecuzione dell'azione. Errore: {}".format(e)

 Generale

Carica file

Descrizione

Carica i file da analizzare.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
percorso file Stringa N/D percorso del file da caricare
nome file Stringa N/D Nome visualizzato del file caricato
Abilitare la funzionalità di emulazione delle minacce Casella di controllo Selezionata No Se abilitata, la funzionalità di emulazione delle minacce verrà attivata per il caricamento. Per impostazione predefinita, se non vengono selezionate funzionalità, verrà utilizzata l'emulazione delle minacce.
Attivare la funzionalità Antivirus Casella di controllo Deselezionata No Se abilitata, la funzionalità antivirus verrà attivata per il caricamento. Per impostazione predefinita, se non vengono selezionate funzionalità, verrà utilizzata l'emulazione delle minacce.
Abilitare la funzionalità Estrazione minacce Casella di controllo Deselezionata No Se abilitata, la funzionalità di estrazione delle minacce verrà attivata per il caricamento. Per impostazione predefinita, se non vengono selezionate funzionalità, verrà utilizzata l'emulazione delle minacce.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths])

Altrimenti: "Non sono stati caricati file."

Se non è riuscito: "Si è verificato un errore nei seguenti file: {} Controlla i log per ulteriori informazioni.".format(".join([file_path for file_path in failed_paths])"

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore critico, ad esempio credenziali errate o connettività persa:

"Si è verificato un errore durante l'esecuzione dell'azione. Errore: {}".format(e)

 Generale

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.