检查点 SandBlast
集成版本:5.0
在 Google Security Operations 中配置 Check Point SandBlast 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
---|---|---|---|---|
实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
API 根 | 字符串 | https://<service_address>/tecloud/ api/<version>/file | 是 | 指定 Check Point SandBlast API 根网址。 |
API 密钥 | 密码 | 不适用 | 是 | 指定 Check Point SandBlast API 密钥。 |
验证 SSL | 复选框 | 勾选 | 否 | 如果启用,则验证与 Check Point SandBlast 服务器的连接的 SSL 证书是否有效。 |
远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Check Point SandBlast 的连接。
参数
不适用
使用场景
使用为从 Google SecOps 服务器进行集成而配置的参数,测试与目标系统的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
脚本结果名称 | 值选项 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
案例墙
结果类型 | 值 / 说明 | 类型 |
---|---|---|
输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已使用提供的连接参数成功连接到 Check Point SandBlast 服务器!” 操作应失败并停止 playbook 执行: 如果系统报告了严重错误,例如凭据错误或连接丢失:“Failed to connect to the SandBlast server!Error is {}".format(e) |
常规 |
查询
说明
获取有关 FILEHASH 实体的威胁信誉信息。
参数
参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
---|---|---|---|---|
阈值 | 字符串 | 0 | 是 | 如果严重程度等于或高于指定阈值,则将实体标记为可疑。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
如果实体符合以下条件,则会被标记为可疑:
- 威胁模拟的综合判定结果为“恶意”。
- AV 严重程度大于或等于阈值(在 JSON 中:av.malware_info.severity)。
扩充项字段名称 | 逻辑 |
---|---|
SandBlast_av_block | 返回是否存在于 JSON 中 |
SandBlast_av_signature_name | 返回是否存在于 JSON 中 |
SandBlast_av_severity | 返回是否存在于 JSON 中 |
SandBlast_av_confidence | 返回是否存在于 JSON 中 |
SandBlast_te_combined_verdict | 返回是否存在于 JSON 中 |
SandBlast_te_severity | 返回是否存在于 JSON 中 |
SandBlast_te_confidence | 返回是否存在于 JSON 中 |
脚本结果
脚本结果名称 | 值选项 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 结果
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
案例墙
结果类型 | 值 / 说明 | 类型 |
---|---|---|
输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已成功找到以下实体的信息:...” 如果部分成功:“以下实体的部分信息已找到:...” 如果未找到实体:“未找到以下实体的信息:...” 如果未能找到实体:“未能提取以下实体的信息:...” 如果不成功:“没有实体得到丰富。” 操作应失败并停止 playbook 执行: 如果系统报告严重错误(例如凭据错误或连接丢失),请执行以下操作: “运行操作时出错。错误:{}".format(e) |
常规 |
上传文件
说明
上传文件以供分析。
参数
参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
---|---|---|---|---|
文件路径 | 字符串 | 不适用 | 是 | 要上传的文件的路径 |
文件名 | 字符串 | 不适用 | 是 | 已上传文件的显示名称 |
启用威胁模拟功能 | 复选框 | 勾选 | 否 | 如果启用,系统将为上传启用威胁模拟功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。 |
启用防病毒功能 | 复选框 | 尚未核查 | 否 | 如果启用,系统将为上传启用防病毒功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。 |
启用威胁提取功能 | 复选框 | 尚未核查 | 否 | 如果启用,系统将为上传启用威胁提取功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
脚本结果名称 | 值选项 | 示例 |
---|---|---|
is_success | True/False | is_success:False |
JSON 结果
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
案例墙
结果类型 | 值 / 说明 | 类型 |
---|---|---|
输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已成功上传以下文件:{}”。format(".join([file_path for file_path in successful_paths]) 否则:“未能上传任何文件。” 如果失败:“以下文件发生错误:{}请查看日志以了解详情。”。format(".join([file_path for file_path in failed_paths])"
操作应失败并停止 playbook 执行: 如果报告了 严重错误(例如凭据错误或连接丢失),请执行以下操作: “运行操作时出错。错误:{}".format(e) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。