Check Point Threat Reputation

Integrationsversion: 5.0

Anwendungsbereiche

Threat-Intelligence-Dienst

Check Point Threat Reputation-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String rep.checkpoint.com Ja Geben Sie die Stamm-URL der Check Point Reputation Service API an.
API-Schlüssel Passwort Ja Geben Sie den API-Schlüssel für den Check Point Reputation Service an.
SSL überprüfen Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Check Point Reputation Service-Server gültig ist.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zum Check Point Reputation Service mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Beispiele für Anwendungsfälle von Playbooks

Die Aktion wird verwendet, um die Konnektivität auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden und wird nicht in Playbooks verwendet.

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the Check Point Reputation Service with the provided connection parameters!“ (Die Verbindung zum Check Point Reputation Service wurde mit den angegebenen Verbindungsparametern erfolgreich hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

„Verbindung zum Check Point Reputation Service konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

 Allgemein

Dateihash-Reputation abrufen

Beschreibung

Die Google SecOps-Entität „File hash“ (Datei-Hash) wird anhand der Informationen aus dem Check Point Reputation Service angereichert. Die Aktion akzeptiert Dateihashs in den Formaten MD5, SHA1 und SHA256.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Grenzwert Ganzzahl 0 Ja Markieren Sie die Identität als verdächtig, wenn der zurückgegebene Risikowert für die Identität über einem bestimmten Grenzwert liegt.
Insight erstellen? Kästchen Deaktiviert Nein Geben Sie an, ob der Google SecOps-Insight auf Grundlage des Aktionsergebnisses erstellt werden soll.

Beispiele für Anwendungsfälle von Playbooks

Die Google SecOps-Datei-Hash-Entität mit Informationen aus dem Check Point Reputation Service anreichern: Bei der Verarbeitung einer möglichen Warnung vor einer Malware-Infektion kann der Nutzer von Anreicherungsdaten aus dem Check Point Reputation Service zu bestimmten Datei-Hashes profitieren, die aus Untersuchungsgründen mit der betreffenden Warnung verknüpft sind.

Ausführen am

Diese Aktion wird für die FILEHASH-Entität (md5/sha1/sha256) ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Für die Anreicherung von Entitäten sollten alle Werte aus der API-Antwort verwendet werden, mit Ausnahme des Knotens „status“ der Antwort.

Statistiken
Insight-Logik Typ Titel (String) Nachricht
Erstellen, wenn das entsprechende Kästchen angeklickt wurde. Entität Check Point Threat Reputation

Klassifizierung:Wert aus der API-Antwort

Konfidenz:Wert aus der API-Antwort

Schweregrad:Wert aus der API-Antwort

Risiko:Wert aus der API-Antwort
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion sollte JSON-Ergebnisse zurückgeben, die mit dem Ausdrucksgenerator kompatibel sind.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "2c527d980eb30daa789492283f9bf69e",
            "reputation": {
                "classification": "Riskware",
                "severity": "Medium",
                "confidence": "High"
            },
            "risk": 50,
            "context": {
                "malware_family": "Mimikatz",
                "protection_name": "HackTool.Win32.Mimikatz.TC.lc",
                "malware_types": [
                    "Riskware"
                ],
                "metadata": {
                    "company_name": "gentilkiwi (Benjamin DELPY)",
                    "product_name": "mimikatz",
                    "copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
                    "original_name": "mimikatz.exe"
                }
            }
        }
    ]
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der angegebenen Entitäten angereichert wurde: „Successfully enriched entities: {0}“.format([entity.Identifier]).

Wenn nicht alle bereitgestellten Entitäten angereichert werden konnten: „Es wurden keine Entitäten angereichert.“

Wenn keine Daten im Check Point Reputation Service gefunden wurden, um bestimmte Einheiten anzureichern: „Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

„Verbindung zum Check Point Reputation Service konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

 Allgemein
Tabelle

Tabellenname:Check Point Reputation Service-Ergebnisse für {0}.format(entity.Identifier)

Tabellenspalten:

  • Klassifizierung
  • Zuverlässigkeit
  • Schweregrad
  • Risiko
  • Malware-Familie – context.malware_family
  • Dateiname – context.protection_name
  • Malware-Typ – context.malware_types (kann mehrere kommagetrennte Werte enthalten)
  • Unternehmensname – metadata.company_name
  • Produktname – metadata.product_name
  • Urheberrecht – metadata.copyright
  • Name der Originaldatei – metadata.original_name
 Entität

IP-Reputation abrufen

Beschreibung

Google SecOps-IP-Entität basierend auf den Informationen des Check Point Reputation Service anreichern.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Grenzwert Ganzzahl 0 Ja Markieren Sie die Identität als verdächtig, wenn der zurückgegebene Risikowert für die Identität über einem bestimmten Grenzwert liegt.
Insight erstellen? Kästchen Deaktiviert Nein Geben Sie an, ob der Google SecOps-Insight auf Grundlage des Aktionsergebnisses erstellt werden soll.

Beispiele für Anwendungsfälle von Playbooks

Die Google SecOps-IP-Entität mit Informationen aus dem Check Point Threat Reputation-Dienst anreichern: Bei der Verarbeitung einer möglichen Malware-Infektionswarnung kann der Nutzer von Anreicherungsdaten aus dem Check Point Threat Reputation-Dienst zu bestimmten IP-Adressen profitieren, die aus Untersuchungsgründen mit der betreffenden Warnung verknüpft sind.

Ausführen am

Diese Aktion wird für die IP-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Für die Anreicherung von Entitäten sollten alle Werte aus der API-Antwort verwendet werden, mit Ausnahme des Knotens „status“ der Antwort.

Statistiken
Insight-Logik Typ Titel (String) Nachricht
Erstellen, wenn das entsprechende Kästchen angeklickt wurde. Entität Check Point Threat Reputation

Klassifizierung:Wert aus der API-Antwort

Konfidenz:Wert aus der API-Antwort

Schweregrad:Wert aus der API-Antwort

Risiko:Wert aus der API-Antwort
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion sollte JSON-Ergebnisse zurückgeben, die mit dem Ausdrucksgenerator kompatibel sind.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "8.8.8.8",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "location": {
                    "countryCode": "US",
                    "countryName": "United States",
                    "region": null,
                    "city": null,
                    "postalCode": null,
                    "latitude": 37.751007,
                    "longitude": -97.822,
                    "dma_code": 0,
                    "area_code": 0,
                    "metro_code": 0
                },
                "asn": 15169,
                "as_owner": "Google LLC"
            }
        }
    ]
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der angegebenen Entitäten angereichert wurde: „Successfully enriched entities: {0}“.format([entity.Identifier]).

Wenn nicht alle bereitgestellten Entitäten angereichert werden konnten: „Es wurden keine Entitäten angereichert.“

Wenn keine Daten im Check Point Reputation Service gefunden wurden, um bestimmte Einheiten anzureichern: „Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

print "Failed to connect to the Check Point Reputation Service! Fehler: {0}".format(exception.stacktrace)

 Allgemein
Tabelle

Tabellenname:Check Point Threat Reputation-Ergebnisse für {0}.format(entity.Identifier)

Tabellenspalten:

  • Klassifizierung
  • Zuverlässigkeit
  • Schweregrad
  • Risiko
  • Ländercode – context.countryCode
  • Land – context.countryName
  • Region – context.region
  • Ort – context.city
  • Postleitzahl – context.postalCode
  • Breitengrad – context.latitude
  • Längengrad – context.longitude
  • DMA-Code – context.dma_code
  • Vorwahl – context.area_code
  • Großraumcode – context.metro_code
  • ASN
  • Inhaber
 Entität

Host-Reputation abrufen

Beschreibung

Reichern Sie die Google SecOps-Hostentität anhand der Informationen aus dem Check Point Reputation Service an.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Grenzwert Ganzzahl 0 Ja Markieren Sie die Identität als verdächtig, wenn der zurückgegebene Risikowert für die Identität über einem bestimmten Grenzwert liegt.
Insight erstellen? Kästchen Deaktiviert Nein Geben Sie an, ob der Google SecOps-Insight auf Grundlage des Aktionsergebnisses erstellt werden soll.

Beispiele für Anwendungsfälle von Playbooks

Google SecOps-Hostentität mit Informationen aus dem Check Point Threat Reputation-Dienst anreichern: Bei der Verarbeitung einer Warnung zu einer möglichen Malware-Infektion kann der Nutzer von Anreicherungsdaten aus dem Check Point Threat Reputation-Dienst zu bestimmten Hosts profitieren, die aus Untersuchungsgründen mit der betreffenden Warnung verknüpft sind.

Ausführen am

Diese Aktion wird für die Hostname-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Für die Anreicherung von Entitäten sollten alle Werte aus der API-Antwort verwendet werden, mit Ausnahme des Knotens „status“ der Antwort.

Statistiken
Insight-Logik Typ Titel (String) Nachricht
Erstellen, wenn das entsprechende Kästchen angeklickt wurde. Entität Check Point Threat Reputation

Klassifizierung:Wert aus der API-Antwort

Konfidenz:Wert aus der API-Antwort

Schweregrad:Wert aus der API-Antwort

Risiko:Wert aus der API-Antwort
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion sollte JSON-Ergebnisse zurückgeben, die mit dem Ausdrucksgenerator kompatibel sind.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "ynet.co.il",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "categories": [
                    {
                        "id": 24,
                        "name": "News / Media"
                    }
                ],
                "indications": [
                    "The domain has good reputation",
                    "The domain is popular among websites with good reputation",
                    "The domain is popular in the world",
                    "The domain's Alexa rank is 1262",
                    "Check Point's URL Filtering category is News / Media",
                    "VirusTotal vendors detected benign URLs of the domain"
                ],
                "vt_positives": 0,
                "alexa_rank": 1262,
                "safe": true,
                "creation_date": "2001:01:07 00:00:00"
            }
        }
    ]
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der angegebenen Entitäten angereichert wurde: „Successfully enriched entities: {0}“.format([entity.Identifier]).

Wenn nicht alle bereitgestellten Entitäten angereichert werden konnten: „Es wurden keine Entitäten angereichert.“

Wenn keine Daten im Check Point Reputation Service gefunden wurden, um bestimmte Einheiten anzureichern: „Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein kritischer Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust:

„Verbindung zum Check Point Reputation Service konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace)

 Allgemein
Tabelle

Tabellenname:Check Point Threat Reputation-Ergebnisse für {0}.format(entity.Identifier)

Tabellenspalten:

  • Klassifizierung
  • Zuverlässigkeit
  • Schweregrad
  • Risiko
  • Kategorien – context.categories
  • Indikationen – context.indications
  • Anzahl der positiven Ergebnisse von VirusTotal
  • Alexa-Rang
  • Sicher?
  • Erstellungsdatum
 Entität

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten