Check Point SandBlast
整合版本:5.0
在 Google Security Operations 中設定 Check Point SandBlast 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://<service_address>/tecloud/ api/<version>/file | 是 | 指定 Check Point SandBlast API 根網址。 |
| API 金鑰 | 密碼 | 不適用 | 是 | 指定 Check Point SandBlast API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 如果啟用,系統會驗證連線至 Check Point SandBlast 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Check Point SandBlast 的連線。
參數
不適用
應用實例
使用從 Google SecOps 伺服器整合設定的參數,測試與目標系統的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「已使用提供的連線參數,成功連線至 Check Point SandBlast 伺服器!」 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷:「Failed to connect to the SandBlast server! Error is {}".format(e) |
一般 |
查詢
說明
取得 FILEHASH 實體的威脅信譽資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 字串 | 0 | 是 | 如果嚴重程度等於或高於指定門檻,則將實體標示為可疑。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
如果實體出現下列情況,就會被標示為可疑:
- 威脅模擬綜合判定結果為惡意。
- AV 嚴重程度大於或等於門檻 (JSON 中的 av.malware_info.severity)。
| 補充資料欄位名稱 | 邏輯 |
|---|---|
| SandBlast_av_block | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_av_signature_name | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_av_severity | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_av_confidence | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_te_combined_verdict | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_te_severity | 如果 JSON 中有這個值,就會傳回該值 |
| SandBlast_te_confidence | 如果 JSON 中有這個值,就會傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"Entity": "8a2f57269b2f47b4e8f2e122e424754b",
"EntityResult": {
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"md5": "8a2f57269b2f47b4e8f2e122e424754b",
"file_type": "",
"file_name": "untitled.doc",
"features": ["te", "av"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1004, "label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}},
"av": {
"malware_info": {
"signature_name": "",
"malware_family": 0,
"malware_type": 0,
"severity": 0,
"confidence": 0
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「已成功找到下列實體的資訊:...」 如果部分成功:「已找到下列實體的部分資訊:...」 如果找不到實體:「找不到下列實體的資訊:...」 如果找不到實體:「無法擷取下列實體的資訊:...」 如果未成功:「沒有任何實體經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷: 「執行動作時發生錯誤。錯誤:{}".format(e) |
一般 |
上傳檔案
說明
上傳檔案以供分析。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 是 | 要上傳的檔案路徑 |
| 檔案名稱 | 字串 | 不適用 | 是 | 上傳檔案的顯示名稱 |
| 啟用威脅模擬功能 | 核取方塊 | 已勾選 | 否 | 如果啟用,系統就會為上傳內容啟用威脅模擬功能。如未選取任何功能,系統預設會使用威脅模擬。 |
| 啟用防毒功能 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,系統就會為上傳內容啟用防毒功能。如未選取任何功能,系統預設會使用威脅模擬。 |
| 啟用威脅擷取功能 | 核取方塊 | 已取消勾選 | 否 | 啟用後,系統就會對上傳內容啟用威脅擷取功能。如未選取任何功能,系統預設會使用威脅模擬。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"Entity": "/tmp/test.txt",
"EntityResult": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
"md5": "c12c504bbe0f7be6ca87d4933c43fac1",
"sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
"file_type": "",
"file_name": "2020092414.log",
"features": ["te"],
"te": {
"trust": 0,
"images": [{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
"revision": 1
}, {
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "5e5de275-a103-4f67-b55b-47532918fa59",
"revision": 1
}],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「已成功上傳下列檔案:{}」。format(".join([file_path for file_path in successful_paths]) 否則為「未上傳任何檔案。」 如果失敗:「下列檔案發生錯誤:{}請查看記錄以瞭解詳情。".format(".join([file_path for file_path in failed_paths])"
動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「執行動作時發生錯誤。錯誤:{}".format(e) |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。