Check Point 威胁信誉

集成版本:5.0

使用场景

威胁情报服务。

在 Google Security Operations 中配置 Check Point 威胁信誉集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
实例名称 字符串 不适用 您打算为其配置集成的实例的名称。
说明 字符串 不适用 实例的说明。
API 根 字符串 rep.checkpoint.com 指定 Check Point Reputation Service API 根网址。
API 密钥 密码 不适用 指定 Check Point Reputation Service API 密钥。
验证 SSL 复选框 尚未核查 如果启用,则验证与 Check Point Reputation Service 服务器的连接所用的 SSL 证书是否有效。
远程运行 复选框 尚未核查 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Check Point Reputation Service 的连接。

参数

不适用

剧本使用场景示例

此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,而不能在 playbook 中使用。

运行于

该操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功“已使用提供的连接参数成功连接到 Check Point 信誉服务!”

操作应失败并停止 playbook 执行

如果系统报告严重错误(例如凭据错误或连接丢失),请执行以下操作

“Failed to connect to the Check Point Reputation Service! 错误为 {0}".format(exception.stacktrace)

 常规

获取文件哈希信誉

说明

根据 Check Point Reputation Service 提供的信息,丰富 Google SecOps 文件哈希实体。操作接受 md5、sha1 和 sha256 格式的文件哈希值。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
阈值 整数 0 如果返回的实体的风险值高于给定阈值,则将该实体标记为可疑。
创建分析洞见? 复选框 尚未核查 指定是否应根据操作结果创建 Google SecOps 洞见。

剧本使用场景示例

利用 Check Point Reputation Service 中的信息丰富 Google SecOps 文件哈希实体:在处理可能存在的恶意软件感染提醒时,用户可以受益于 Check Point Reputation Service 提供的有关与相关提醒关联的特定文件哈希的丰富数据,以便进行调查。

运行于

此操作针对 FILEHASH(md5/sha1/sha256)实体运行。

操作执行结果

实体扩充

该操作应使用 API 响应中的所有值进行实体丰富,但响应的“状态”节点除外。

数据分析
Insight Logic 类型 标题(字符串) 消息
如果选中了相应的复选框,则创建。 实体 Check Point 威胁信誉

分类:API 响应中的值

置信度:API 响应中的值

严重程度:API 响应中的值

风险:来自 API 响应的值
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果

操作应返回与表达式生成器兼容的 JSON 结果。

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "2c527d980eb30daa789492283f9bf69e",
            "reputation": {
                "classification": "Riskware",
                "severity": "Medium",
                "confidence": "High"
            },
            "risk": 50,
            "context": {
                "malware_family": "Mimikatz",
                "protection_name": "HackTool.Win32.Mimikatz.TC.lc",
                "malware_types": [
                    "Riskware"
                ],
                "metadata": {
                    "company_name": "gentilkiwi (Benjamin DELPY)",
                    "product_name": "mimikatz",
                    "copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
                    "original_name": "mimikatz.exe"
                }
            }
        }
    ]
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的实体已得到丰富:“成功丰富了以下实体:{0}”。format([entity.Identifier])。

如果未能丰富所有提供的实体:“No entities were enriched.”(未丰富任何实体)。

如果未能找到 Check Point Reputation Service 中的数据来丰富特定实体:“Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}”.format([entity.identifier])

操作应失败并停止 playbook 执行

如果系统报告严重错误(例如凭据错误或连接丢失),请执行以下操作

“Failed to connect to the Check Point Reputation Service! 错误为 {0}".format(exception.stacktrace)

 常规

表格名称:{0}.format(entity.Identifier) 的 Check Point 信誉服务结果

表列

  • 分类
  • 置信度
  • 严重程度
  • 风险
  • 恶意软件系列 - context.malware_family
  • 文件名 - context.protection_name
  • 恶意软件类型 - context.malware_types(可以是多个以逗号分隔的值)
  • 公司名称 - metadata.company_name
  • 商品名称 - metadata.product_name
  • 版权 - metadata.copyright
  • 原始文件名 - metadata.original_name
 实体

获取 IP 声誉

说明

根据 Check Point Reputation Service 提供的信息,丰富 Google SecOps IP 实体的相关信息。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
阈值 整数 0 如果返回的实体的风险值高于给定阈值,则将该实体标记为可疑。
创建分析洞见? 复选框 尚未核查 指定是否应根据操作结果创建 Google SecOps 洞见。

剧本使用场景示例

利用 Check Point Threat Reputation 服务中的信息丰富 Google SecOps IP 实体:在处理可能存在的恶意软件感染警报期间,用户可以受益于 Check Point Threat Reputation 服务提供的有关与相关警报关联的特定 IP 的丰富数据,以便进行调查。

运行于

此操作在 IP 实体上运行。

操作执行结果

实体扩充

该操作应使用 API 响应中的所有值进行实体丰富,但响应的“状态”节点除外。

数据分析
Insight Logic 类型 标题(字符串) 消息
如果选中了相应的复选框,则创建。 实体 Check Point 威胁信誉

分类:API 响应中的值

置信度:API 响应中的值

严重程度:API 响应中的值

风险:来自 API 响应的值
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果

操作应返回与表达式生成器兼容的 JSON 结果。

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "8.8.8.8",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "location": {
                    "countryCode": "US",
                    "countryName": "United States",
                    "region": null,
                    "city": null,
                    "postalCode": null,
                    "latitude": 37.751007,
                    "longitude": -97.822,
                    "dma_code": 0,
                    "area_code": 0,
                    "metro_code": 0
                },
                "asn": 15169,
                "as_owner": "Google LLC"
            }
        }
    ]
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的实体已得到丰富:“成功丰富了以下实体:{0}”。format([entity.Identifier])。

如果未能丰富所有提供的实体:“No entities were enriched.”(未丰富任何实体)。

如果未能找到 Check Point Reputation Service 中的数据来丰富特定实体:“Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}”.format([entity.identifier])

操作应失败并停止 playbook 执行

如果系统报告严重错误(例如凭据错误或连接丢失),请执行以下操作

print "Failed to connect to the Check Point Reputation Service! 错误为 {0}".format(exception.stacktrace)

 常规

表名称:{0}.format(entity.Identifier) 的 Check Point 威胁信誉结果

表列

  • 分类
  • 置信度
  • 严重程度
  • 风险
  • 国家/地区代码 - context.countryCode
  • 国家/地区 - context.countryName
  • 区域 - context.region
  • 城市 - context.city
  • 邮政编码 - context.postalCode
  • 纬度 - context.latitude
  • 经度 - context.longitude
  • DMA 代码 - context.dma_code
  • 区号 - context.area_code
  • 都市圈代码 - context.metro_code
  • ASN
  • 所有者
 实体

获取主机声誉

说明

根据 Check Point Reputation Service 中的信息丰富 Google SecOps Host 实体。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
阈值 整数 0 如果返回的实体的风险值高于给定阈值,则将该实体标记为可疑。
创建分析洞见? 复选框 尚未核查 指定是否应根据操作结果创建 Google SecOps 洞见。

剧本使用场景示例

利用 Check Point Threat Reputation 服务中的信息丰富 Google SecOps 主机实体:在处理可能的恶意软件感染提醒期间,用户可以受益于 Check Point Threat Reputation 服务提供的有关与相关提醒关联的特定主机的丰富数据,以便进行调查。

运行于

此操作在 Hostname 实体上运行。

操作执行结果

实体扩充

该操作应使用 API 响应中的所有值进行实体丰富,但响应的“状态”节点除外。

数据分析
Insight Logic 类型 标题(字符串) 消息
如果选中了相应的复选框,则创建。 实体 Check Point 威胁信誉

分类:API 响应中的值

置信度:API 响应中的值

严重程度:API 响应中的值

风险:来自 API 响应的值
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果

操作应返回与表达式生成器兼容的 JSON 结果。

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "ynet.co.il",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "categories": [
                    {
                        "id": 24,
                        "name": "News / Media"
                    }
                ],
                "indications": [
                    "The domain has good reputation",
                    "The domain is popular among websites with good reputation",
                    "The domain is popular in the world",
                    "The domain's Alexa rank is 1262",
                    "Check Point's URL Filtering category is News / Media",
                    "VirusTotal vendors detected benign URLs of the domain"
                ],
                "vt_positives": 0,
                "alexa_rank": 1262,
                "safe": true,
                "creation_date": "2001:01:07 00:00:00"
            }
        }
    ]
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的实体已得到丰富:“成功丰富了以下实体:{0}”。format([entity.Identifier])。

如果未能丰富所有提供的实体:“No entities were enriched.”(未丰富任何实体)。

如果未能找到 Check Point Reputation Service 中的数据来丰富特定实体:“Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}”.format([entity.identifier])

操作应失败并停止 playbook 执行

如果报告了 严重错误(例如凭据错误或连接中断),请执行以下操作

“Failed to connect to the Check Point Reputation Service! 错误为 {0}".format(exception.stacktrace)

 常规

表名称:{0}.format(entity.Identifier) 的 Check Point 威胁信誉结果

表列

  • 分类
  • 置信度
  • 严重程度
  • 风险
  • 类别 - context.categories
  • 适应症 - context.indications
  • Virus Total 检测到的恶意软件数量
  • Alexa 排名
  • 安全吗?
  • 创建日期
 实体

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。