检查点 SandBlast

集成版本:5.0

在 Google Security Operations 中配置 Check Point SandBlast 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
实例名称 字符串 不适用 您打算为其配置集成的实例的名称。
说明 字符串 不适用 实例的说明。
API 根 字符串 https://<service_address>/tecloud/ api/<version>/file 指定 Check Point SandBlast API 根网址。
API 密钥 密码 不适用 指定 Check Point SandBlast API 密钥。
验证 SSL 复选框 勾选 如果启用,则验证与 Check Point SandBlast 服务器的连接的 SSL 证书是否有效。
远程运行 复选框 尚未核查 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Check Point SandBlast 的连接。

参数

不适用

使用场景

使用为从 Google SecOps 服务器进行集成而配置的参数,测试与目标系统的连接。

运行于

该操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功“已使用提供的连接参数成功连接到 Check Point SandBlast 服务器!”

操作应失败并停止 playbook 执行

如果系统报告了严重错误,例如凭据错误或连接丢失:“Failed to connect to the SandBlast server!Error is {}".format(e)

常规

查询

说明

获取有关 FILEHASH 实体的威胁信誉信息。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
阈值 字符串 0 如果严重程度等于或高于指定阈值,则将实体标记为可疑。

运行于

此操作在 Filehash 实体上运行。

操作执行结果

实体扩充

如果实体符合以下条件,则会被标记为可疑:

  1. 威胁模拟的综合判定结果为“恶意”。
  2. AV 严重程度大于或等于阈值(在 JSON 中:av.malware_info.severity)。
扩充项字段名称 逻辑
SandBlast_av_block 返回是否存在于 JSON 中
SandBlast_av_signature_name 返回是否存在于 JSON 中
SandBlast_av_severity 返回是否存在于 JSON 中
SandBlast_av_confidence 返回是否存在于 JSON 中
SandBlast_te_combined_verdict 返回是否存在于 JSON 中
SandBlast_te_severity 返回是否存在于 JSON 中
SandBlast_te_confidence 返回是否存在于 JSON 中
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功“已成功找到以下实体的信息:...”

如果部分成功:“以下实体的部分信息已找到:...”

如果未找到实体:“未找到以下实体的信息:...”

如果未能找到实体:“未能提取以下实体的信息:...”

如果不成功:“没有实体得到丰富。”

操作应失败并停止 playbook 执行

如果系统报告严重错误(例如凭据错误或连接丢失),请执行以下操作

“运行操作时出错。错误:{}".format(e)

常规

上传文件

说明

上传文件以供分析。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
文件路径 字符串 不适用 要上传的文件的路径
文件名 字符串 不适用 已上传文件的显示名称
启用威胁模拟功能 复选框 勾选 如果启用,系统将为上传启用威胁模拟功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。
启用防病毒功能 复选框 尚未核查 如果启用,系统将为上传启用防病毒功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。
启用威胁提取功能 复选框 尚未核查 如果启用,系统将为上传启用威胁提取功能。默认情况下,如果未选择任何功能,系统将使用威胁模拟。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功:“已成功上传以下文件:{}”。format(".join([file_path for file_path in successful_paths])

否则:“未能上传任何文件。”

如果失败:“以下文件发生错误:{}请查看日志以了解详情。”。format(".join([file_path for file_path in failed_paths])"

操作应失败并停止 playbook 执行

如果报告了 严重错误(例如凭据错误或连接丢失),请执行以下操作

“运行操作时出错。错误:{}".format(e)

常规

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。