Check Point SandBlast
Versão da integração: 5.0
Configurar a integração do Check Point SandBlast no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://<service_address>/tecloud/ api/<version>/file | Sim | Especifique o URL raiz da API Check Point SandBlast. |
| Chave de API | Senha | N/A | Sim | Especifique a chave de API do Check Point SandBlast. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor Check Point SandBlast é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o Check Point SandBlast usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Casos de uso
Teste a conectividade com o sistema de destino usando parâmetros configurados para integração do servidor do Google SecOps.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "Conexão bem-sucedida com o servidor Check Point SandBlast usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Não foi possível se conectar ao servidor SandBlast! Error is {}".format(e) |
Geral |
Consulta
Descrição
Receba informações de reputação de ameaças sobre entidades FILEHASH.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | String | 0 | Sim | Marque a entidade como suspeita se a gravidade for igual ou maior que o limite especificado. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas se:
- O veredicto combinado da emulação de ameaças é "malicioso".
- A gravidade do AV é maior ou igual ao limite (no JSON: av.malware_info.severity).
| Nome do campo de enriquecimento | Lógica |
|---|---|
| SandBlast_av_block | Retorna se ele existe em JSON |
| SandBlast_av_signature_name | Retorna se ele existe em JSON |
| SandBlast_av_severity | Retorna se ele existe em JSON |
| SandBlast_av_confidence | Retorna se ele existe em JSON |
| SandBlast_te_combined_verdict | Retorna se ele existe em JSON |
| SandBlast_te_severity | Retorna se ele existe em JSON |
| SandBlast_te_confidence | Retorna se ele existe em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a ação for bem-sucedida: "Encontrei informações sobre as seguintes entidades:..." Se a solicitação for parcialmente bem-sucedida: "Informações parciais foram encontradas para as seguintes entidades:..." Se não houver entidades encontradas: "Nenhuma informação foi encontrada para as seguintes entidades:..." Se não for possível encontrar entidades: "Não foi possível buscar informações para as seguintes entidades:..." Se não for concluída: "Nenhuma entidade foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Ocorreu um erro ao executar a ação. Erro: {}".format(e) |
Geral |
Fazer upload do arquivo
Descrição
Faça upload de arquivos para análise.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| caminho do arquivo | String | N/A | Sim | caminho para o arquivo a ser enviado |
| nome do arquivo | String | N/A | Sim | Nome de exibição do arquivo enviado |
| Ativar o recurso de emulação de ameaças | Caixa de seleção | Selecionado | Não | Se ativado, o recurso de emulação de ameaças será ativado para o upload. Por padrão, se nenhum recurso for selecionado, a emulação de ameaças será usada. |
| Ativar o recurso antivírus | Caixa de seleção | Desmarcado | Não | Se ativado, o recurso antivírus será ativado para o upload. Por padrão, se nenhum recurso for selecionado, a emulação de ameaças será usada. |
| Ativar o recurso de extração de ameaças | Caixa de seleção | Desmarcado | Não | Se ativado, o recurso de extração de ameaças será ativado para o upload. Por padrão, se nenhum recurso for selecionado, a emulação de ameaças será usada. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "O upload dos seguintes arquivos foi concluído: {}".format(".join([file_path for file_path in successful_paths]) Caso contrário: "Nenhum arquivo foi enviado." Se houver falha: "Ocorreu um erro nos seguintes arquivos: {}. Verifique os registros para mais informações.".format(".join([file_path for file_path in failed_paths])"
A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Ocorreu um erro ao executar a ação. Erro: {}".format(e) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.