Check Point SandBlast
このドキュメントでは、Check Point SandBlast を Google Security Operations と統合する方法について説明します。
Google Security Operations で Check Point SandBlast 統合を構成する
Google SecOps で統合を構成する手順の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://<service_address>/tecloud/ api/<version>/file | ○ | Check Point SandBlast Api のルート URL を指定します。 |
| API キー | パスワード | なし | ○ | Check Point SandBlast API キーを指定します。 |
| SSL を確認する | チェックボックス | オン | × | 有効になっている場合は、Check Point SandBlast サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Check Point SandBlast への接続をテストします。
パラメータ
なし
ユースケース
Google SecOps サーバーからの統合用に構成されたパラメータを使用して、ターゲット システムへの接続性をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Check Point SandBlast サーバーに正常に接続しました。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「SandBlast サーバーへの接続に失敗しました。エラー: {}".format(e) |
全般 |
クエリ
説明
FILEHASH エンティティに関する脅威の評判情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| しきい値 | 文字列 | 0 | ○ | 重大度が指定されたしきい値以上の場合、エンティティを不審としてマークします。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、次の条件を満たす場合に不審としてマークされます。
- 脅威エミュレーションの統合判定が「悪意のある」である。
- AV の重大度がしきい値以上(JSON の av.malware_info.severity)。
| 拡充フィールド名 | ロジック |
|---|---|
| SandBlast_av_block | JSON に存在する場合に返す |
| SandBlast_av_signature_name | JSON に存在する場合に返す |
| SandBlast_av_severity | JSON に存在する場合に返す |
| SandBlast_av_confidence | JSON に存在する場合に返す |
| SandBlast_te_combined_verdict | JSON に存在する場合に返す |
| SandBlast_te_severity | JSON に存在する場合に返す |
| SandBlast_te_confidence | JSON に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「次のエンティティに関する情報が見つかりました:...」 部分的に成功した場合: 「次のエンティティに関する情報が一部見つかりました:...」 エンティティが見つからなかった場合: 「次のエンティティに関する情報が見つかりませんでした:...」 エンティティが見つからなかった場合: 「次のエンティティの情報を取得できませんでした:...」 成功しなかった場合: 「拡充されたエンティティはありません。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「アクションの実行中にエラーが発生しました。エラー: {}".format(e) |
全般 |
ファイルをアップロード
説明
分析用にファイルをアップロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイルパス | 文字列 | なし | ○ | アップロードするファイルのパス |
| ファイル名 | 文字列 | なし | ○ | アップロードしたファイルの表示名 |
| 脅威エミュレーション機能を有効にする | チェックボックス | オン | × | 有効にすると、アップロードで脅威エミュレーション機能が有効になります。デフォルトでは、特徴が選択されていない場合、脅威エミュレーションが使用されます。 |
| ウイルス対策機能を有効にする | チェックボックス | オフ | × | 有効にすると、アップロードでウイルス対策機能が有効になります。デフォルトでは、特徴が選択されていない場合、脅威エミュレーションが使用されます。 |
| 脅威抽出機能を有効にする | チェックボックス | オフ | × | 有効にすると、アップロードで脅威抽出機能が有効になります。デフォルトでは、特徴が選択されていない場合、脅威エミュレーションが使用されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「次のファイルをアップロードしました: {}」.format(".join([file_path for file_path in successful_paths]) それ以外の場合: 「どのファイルもアップロードできませんでした。」 失敗した場合: 「次のファイルでエラーが発生しました: {}。詳細についてはログを確認してください。」.format(".join([file_path for file_path in failed_paths])"
アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「アクションの実行中にエラーが発生しました。エラー: {}".format(e) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。