Check Point SandBlast

本文說明如何將 Check Point SandBlast 與 Google Security Operations 整合。

在 Google Security Operations 中設定 Check Point SandBlast 整合功能

請參閱這篇說明文章,瞭解在 Google SecOps 中設定整合功能的詳細操作說明。

整合參數

請使用下列參數設定整合:

參數顯示名稱 類型 預設值 為必填項目 說明
執行個體名稱 字串 不適用 您要設定整合的執行個體名稱。
說明 字串 不適用 執行個體的說明。
API 根層級 字串 https://<service_address>/tecloud/ api/<version>/file 指定 Check Point SandBlast API 根網址。
API 金鑰 密碼 不適用 指定 Check Point SandBlast API 金鑰。
驗證 SSL 核取方塊 已勾選 如果啟用,系統會驗證連線至 Check Point SandBlast 伺服器的 SSL 憑證是否有效。
遠端執行 核取方塊 已取消勾選 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 Check Point SandBlast 的連線。

參數

不適用

應用實例

使用從 Google SecOps 伺服器整合設定的參數,測試與目標系統的連線。

執行日期

動作不會在實體上執行,也沒有強制輸入參數。

動作執行結果

指令碼執行結果
指令碼結果名稱 值選項 範例
is_success True/False is_success:False
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不得失敗,也不得停止應對手冊執行:

如果成功: 「已使用提供的連線參數,成功連線至 Check Point SandBlast 伺服器!」

動作應會失敗並停止執行應對手冊:

如果系統回報重大錯誤,例如憑證錯誤或連線中斷:「無法連線至 SandBlast 伺服器!Error is {}".format(e)

 一般

查詢

說明

取得 FILEHASH 實體的威脅信譽資訊。

參數

參數顯示名稱 類型 預設值 為必填項目 說明
門檻 字串 0 如果嚴重程度等於或高於指定門檻,則將實體標示為可疑。

執行日期

這項動作會對 Filehash 實體執行。

動作執行結果

實體擴充

如果實體出現下列情況,就會被標示為可疑:

  1. 威脅模擬綜合判定結果為惡意。
  2. AV 嚴重程度大於或等於門檻 (JSON 中的 av.malware_info.severity)。
補充資料欄位名稱 邏輯
SandBlast_av_block 如果 JSON 中有這個值,就會傳回
SandBlast_av_signature_name 如果 JSON 中有這個值,就會傳回
SandBlast_av_severity 如果 JSON 中有這個值,就會傳回
SandBlast_av_confidence 如果 JSON 中有這個值,就會傳回
SandBlast_te_combined_verdict 如果 JSON 中有這個值,就會傳回
SandBlast_te_severity 如果 JSON 中有這個值,就會傳回
SandBlast_te_confidence 如果 JSON 中有這個值,就會傳回
指令碼執行結果
指令碼結果名稱 值選項 範例
is_success True/False is_success:False
JSON 結果
[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不得失敗,也不得停止應對手冊執行:

如果成功: 「已成功找到下列實體的資訊:...」

如果部分成功:「已找到下列實體的部分資訊:...」

如果找不到實體:「找不到下列實體的資訊:...」

如果找不到實體:「無法擷取下列實體的資訊:...」

如果未成功:「沒有任何實體經過擴充。」

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷:

「執行動作時發生錯誤。錯誤:{}".format(e)

 一般

上傳檔案

說明

上傳檔案以供分析。

參數

參數顯示名稱 類型 預設值 為必填項目 說明
檔案路徑 字串 不適用 要上傳的檔案路徑
檔案名稱 字串 不適用 上傳檔案的顯示名稱
啟用威脅模擬功能 核取方塊 已勾選 啟用後,系統會對上傳內容啟用威脅模擬功能。如未選取任何功能,系統預設會使用威脅模擬。
啟用防毒功能 核取方塊 已取消勾選 如果啟用,系統就會為上傳內容啟用防毒功能。如未選取任何功能,系統預設會使用威脅模擬。
啟用威脅擷取功能 核取方塊 已取消勾選 啟用後,系統就會對上傳內容啟用威脅擷取功能。如未選取任何功能,系統預設會使用威脅模擬。

執行日期

這項操作不會對實體執行。

動作執行結果

指令碼執行結果
指令碼結果名稱 值選項 範例
is_success True/False is_success:False
JSON 結果
[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

動作不得失敗,也不得停止應對手冊執行:

如果成功「已成功上傳下列檔案:{}」。format(".join([file_path for file_path in successful_paths])

否則為「未上傳任何檔案。」

如果失敗:「下列檔案發生錯誤:{}請查看記錄以瞭解詳情。」.format(".join([file_path for file_path in failed_paths])"

動作應會失敗並停止執行應對手冊:

如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷:

「執行動作時發生錯誤。錯誤:{}".format(e)

 一般

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。