Reputação de ameaças do Check Point
Versão da integração: 5.0
Casos de uso
Serviço de inteligência contra ameaças.
Configurar a integração da reputação de ameaças do Check Point no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você quer configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | rep.checkpoint.com | Sim | Especifique o URL raiz da API do serviço de reputação do Check Point. |
| Chave de API | Senha | N/A | Sim | Especifique a chave de API do serviço de reputação do Check Point. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor do Check Point Reputation Service é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o Check Point Reputation Service usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Exemplos de casos de uso de playbook
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "Conexão bem-sucedida com o serviço de reputação do Check Point usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Não foi possível se conectar ao serviço de reputação do Check Point. O erro é {0}".format(exception.stacktrace) |
Geral |
Receber reputação de hash de arquivo
Descrição
Enriquece a entidade de hash de arquivo do Google SecOps com base nas informações do serviço de reputação do Check Point. A ação aceita hashes de arquivo nos formatos md5, sha1 e sha256.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marque a entidade como suspeita se o valor de risco retornado para ela estiver acima de um determinado limite. |
| Criar insight? | Caixa de seleção | Desmarcado | Não | Especifica se o insight do Google SecOps deve ser criado com base no resultado da ação. |
Exemplos de casos de uso de playbook
Enriqueça a entidade de hash de arquivo do Google SecOps com informações do Check Point Reputation Service: durante o processamento de um possível alerta de infecção por malware, o usuário pode se beneficiar de dados de enriquecimento do Check Point Reputation Service sobre hashes de arquivo específicos associados ao alerta em questão por motivos de investigação.
Executar em
Essa ação é executada na entidade FILEHASH (md5/sha1/sha256).
Resultados da ação
Enriquecimento de entidades
A ação precisa usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Insights
| Insight Logic | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de seleção respectiva estiver marcada. | Entidade | Reputação de ameaças do Check Point | Valor de classificação da resposta da API Confiança:valor da resposta da API Valor de Gravidade da resposta da API Risco:valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
A ação precisa retornar resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida: "Entidades enriquecidas com sucesso: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida". Se não for possível encontrar dados no serviço de reputação do Check Point para enriquecer entidades específicas: "Não foi possível encontrar informações do serviço de reputação do Check Point para enriquecer as seguintes entidades: {0}".format([entity.identifier]) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Não foi possível se conectar ao serviço de reputação do Check Point. O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela:resultados do serviço de reputação do Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Receber reputação de IP
Descrição
Enriquece a entidade de IP do Google SecOps com base nas informações do serviço de reputação do Check Point.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marque a entidade como suspeita se o valor de risco retornado para ela estiver acima de um determinado limite. |
| Criar insight? | Caixa de seleção | Desmarcado | Não | Especifica se o insight do Google SecOps deve ser criado com base no resultado da ação. |
Exemplos de casos de uso de playbook
Enriqueça a entidade de IP do Google SecOps com informações do serviço Check Point Threat Reputation: durante o processamento de um possível alerta de infecção por malware, o usuário pode se beneficiar de dados de enriquecimento do serviço Check Point Threat Reputation sobre IPs específicos associados ao alerta em questão por motivos de investigação.
Executar em
Essa ação é executada na entidade de IP.
Resultados da ação
Enriquecimento de entidades
A ação precisa usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Insights
| Insight Logic | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de seleção respectiva estiver marcada. | Entidade | Reputação de ameaças do Check Point | Valor de classificação da resposta da API Confiança:valor da resposta da API Valor de Gravidade da resposta da API Risco:valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
A ação precisa retornar resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida: "Entidades enriquecidas com sucesso: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida". Se não for possível encontrar dados no serviço de reputação do Check Point para enriquecer entidades específicas: "Não foi possível encontrar informações do serviço de reputação do Check Point para enriquecer as seguintes entidades: {0}".format([entity.identifier]) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: print "Failed to connect to the Check Point Reputation Service! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela:resultados da reputação de ameaças do Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Receber reputação do host
Descrição
Enriqueça a entidade de host do Google SecOps com base nas informações do serviço de reputação do Check Point.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marque a entidade como suspeita se o valor de risco retornado para ela estiver acima de um determinado limite. |
| Criar insight? | Caixa de seleção | Desmarcado | Não | Especifica se o insight do Google SecOps deve ser criado com base no resultado da ação. |
Exemplos de casos de uso de playbook
Enriqueça a entidade host do Google SecOps com informações do serviço de reputação de ameaças do Check Point: durante o processamento de um possível alerta de infecção por malware, o usuário pode se beneficiar de dados de enriquecimento do serviço de reputação de ameaças do Check Point sobre hosts específicos associados ao alerta em questão para fins de investigação.
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Enriquecimento de entidades
A ação precisa usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Insights
| Insight Logic | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de seleção respectiva estiver marcada. | Entidade | Reputação de ameaças do Check Point | Valor de classificação da resposta da API Confiança:valor da resposta da API Valor de Gravidade da resposta da API Risco:valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
A ação precisa retornar resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas for enriquecida: "Entidades enriquecidas com sucesso: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida". Se não for possível encontrar dados no serviço de reputação do Check Point para enriquecer entidades específicas: "Não foi possível encontrar informações do serviço de reputação do Check Point para enriquecer as seguintes entidades: {0}".format([entity.identifier]) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Não foi possível se conectar ao serviço de reputação do Check Point. O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela:resultados da reputação de ameaças do Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.