Esta página se ha traducido con Cloud Translation API.

Check Point Threat Reputation

Versión de integración: 5.0

Casos prácticos

Servicio de inteligencia de amenazas.

Configurar la integración de Check Point Threat Reputation en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	N/A	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	N/A	No	Descripción de la instancia.
Raíz de la API	Cadena	rep.checkpoint.com	Sí	Especifica la URL raíz de la API del servicio de reputación de Check Point.
Clave de API	Contraseña	N/A	Sí	Especifica la clave de API del servicio de reputación de Check Point.
Verificar SSL	Casilla	Desmarcada	No	Si está habilitada, verifica que el certificado SSL de la conexión al servidor del servicio de reputación de Check Point sea válido.
Ejecutar de forma remota	Casilla	Desmarcada	No	Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con el servicio de reputación de Check Point con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejemplos de casos prácticos de guías

Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar manualmente. No se usa en guías.

Fecha de ejecución

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Check Point Reputation Service with the provided connection parameters!" ("Se ha conectado correctamente al servicio de reputación de Check Point con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se realiza correctamente: "Successfully connected to the Check Point Reputation Service with the provided connection parameters!" ("Se ha conectado correctamente al servicio de reputación de Check Point con los parámetros de conexión proporcionados").

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

"No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)

General

Get File Hash Reputation

Descripción

Enriquece la entidad de hash de archivo de Google SecOps en función de la información del servicio de reputación de Check Point. Action acepta hashes de archivos en formatos md5, sha1 y sha256.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	Entero	0	Sí	Marca la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado.
¿Crear estadística?	Casilla	Desmarcada	No	Especifica si se debe crear el insight de Google SecOps en función del resultado de la acción.

Ejemplos de casos prácticos de guías

Enriquece la entidad de hash de archivo de Google SecOps con información del servicio de reputación de Check Point: durante el procesamiento de una posible alerta de infección de malware, el usuario puede beneficiarse de los datos de enriquecimiento del servicio de reputación de Check Point sobre hashes de archivo concretos asociados a la alerta en cuestión por motivos de investigación.

Fecha de ejecución

Esta acción se ejecuta en la entidad FILEHASH (md5/sha1/sha256).

Resultados de la acción

Enriquecimiento de entidades

La acción debe usar todos los valores de la respuesta de la API para enriquecer la entidad, excepto el nodo "status" de la respuesta.

Estadísticas

Insight Logic	Tipo	Título (cadena)	Mensaje
Se crea si se ha marcado la casilla correspondiente.	Entidad	Check Point Threat Reputation	Valor de Classification: de la respuesta de la API Confianza: valor de la respuesta de la API Valor de Gravedad de la respuesta de la API Valor Risk: de la respuesta de la API

Insight Logic

Tipo

Título (cadena)

Mensaje

Se crea si se ha marcado la casilla correspondiente.

Entidad

Check Point Threat Reputation

Valor de Classification: de la respuesta de la API

Confianza: valor de la respuesta de la API

Valor de Gravedad de la respuesta de la API

Valor Risk: de la respuesta de la API

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

La acción debe devolver resultados JSON compatibles con el creador de expresiones.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "2c527d980eb30daa789492283f9bf69e",
            "reputation": {
                "classification": "Riskware",
                "severity": "Medium",
                "confidence": "High"
            },
            "risk": 50,
            "context": {
                "malware_family": "Mimikatz",
                "protection_name": "HackTool.Win32.Mimikatz.TC.lc",
                "malware_types": [
                    "Riskware"
                ],
                "metadata": {
                    "company_name": "gentilkiwi (Benjamin DELPY)",
                    "product_name": "mimikatz",
                    "copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
                    "original_name": "mimikatz.exe"
                }
            }
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]). Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad". Si no se han encontrado datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) ("No se han encontrado datos en el servicio de reputación de Check Point para enriquecer las siguientes entidades: {0}".format([entity.identifier])). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: resultados del servicio de reputación de Check Point para {0}.format(entity.Identifier) Columnas de la tabla: Clasificación Confianza Gravedad Riesgo Familia de malware: context.malware_family Nombre de archivo: context.protection_name Tipo de malware: context.malware_types (puede haber varios valores separados por comas) Nombre de la empresa: metadata.company_name Nombre del producto: metadata.product_name Derechos de autor: metadata.copyright Nombre de archivo original: metadata.original_name	Entidad

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]).

Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad".

Si no se han encontrado datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) ("No se han encontrado datos en el servicio de reputación de Check Point para enriquecer las siguientes entidades: {0}".format([entity.identifier])).

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

"No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: resultados del servicio de reputación de Check Point para {0}.format(entity.Identifier)

Columnas de la tabla:

Clasificación
Confianza
Gravedad
Riesgo
Familia de malware: context.malware_family
Nombre de archivo: context.protection_name
Tipo de malware: context.malware_types (puede haber varios valores separados por comas)
Nombre de la empresa: metadata.company_name
Nombre del producto: metadata.product_name
Derechos de autor: metadata.copyright
Nombre de archivo original: metadata.original_name

Entidad

Obtener reputación de IP

Descripción

Enriquece la entidad de IP de Google SecOps en función de la información del servicio de reputación de Check Point.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	Entero	0	Sí	Marca la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado.
¿Crear estadística?	Casilla	Desmarcada	No	Especifica si se debe crear el insight de Google SecOps en función del resultado de la acción.

Ejemplos de casos prácticos de guías

Enriquece la entidad de IP de Google SecOps con información del servicio de reputación de amenazas de Check Point: durante el procesamiento de una posible alerta de infección de malware, el usuario puede beneficiarse de los datos de enriquecimiento del servicio de reputación de amenazas de Check Point sobre IPs concretas asociadas a la alerta en cuestión por motivos de investigación.

Fecha de ejecución

Esta acción se ejecuta en la entidad de IP.

Resultados de la acción

Enriquecimiento de entidades

La acción debe usar todos los valores de la respuesta de la API para enriquecer la entidad, excepto el nodo "status" de la respuesta.

Estadísticas

Insight Logic	Tipo	Título (cadena)	Mensaje
Se crea si se ha marcado la casilla correspondiente.	Entidad	Check Point Threat Reputation	Valor de Classification: de la respuesta de la API Confianza: valor de la respuesta de la API Valor de Gravedad de la respuesta de la API Valor Risk: de la respuesta de la API

Insight Logic

Tipo

Título (cadena)

Mensaje

Se crea si se ha marcado la casilla correspondiente.

Entidad

Check Point Threat Reputation

Valor de Classification: de la respuesta de la API

Confianza: valor de la respuesta de la API

Valor de Gravedad de la respuesta de la API

Valor Risk: de la respuesta de la API

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

La acción debe devolver resultados JSON compatibles con el creador de expresiones.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "8.8.8.8",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "location": {
                    "countryCode": "US",
                    "countryName": "United States",
                    "region": null,
                    "city": null,
                    "postalCode": null,
                    "latitude": 37.751007,
                    "longitude": -97.822,
                    "dma_code": 0,
                    "area_code": 0,
                    "metro_code": 0
                },
                "asn": 15169,
                "as_owner": "Google LLC"
            }
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]). Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad". Si no se han encontrado datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) ("No se han encontrado datos en el servicio de reputación de Check Point para enriquecer las siguientes entidades: {0}".format([entity.identifier])). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: print "Failed to connect to the Check Point Reputation Service! Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier) Columnas de la tabla: Clasificación Confianza Gravedad Riesgo Código de país: context.countryCode País: context.countryName Región: context.region Ciudad: context.city Código postal: context.postalCode Latitud: context.latitude Longitud: context.longitude Código de región DMA: context.dma_code Prefijo - context.area_code Código de área metropolitana - context.metro_code Aviso previo de envío Propietario	Entidad

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]).

Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

print "Failed to connect to the Check Point Reputation Service! Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier)

Columnas de la tabla:

Clasificación
Confianza
Gravedad
Riesgo
Código de país: context.countryCode
País: context.countryName
Región: context.region
Ciudad: context.city
Código postal: context.postalCode
Latitud: context.latitude
Longitud: context.longitude
Código de región DMA: context.dma_code
Prefijo - context.area_code
Código de área metropolitana - context.metro_code
Aviso previo de envío
Propietario

Entidad

Obtener la reputación del host

Descripción

Enriquece la entidad de host de Google SecOps en función de la información del servicio de reputación de Check Point.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	Entero	0	Sí	Marca la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado.
¿Crear estadística?	Casilla	Desmarcada	No	Especifica si se debe crear el insight de Google SecOps en función del resultado de la acción.

Ejemplos de casos prácticos de guías

Enriquece la entidad de host de Google SecOps con información del servicio de reputación de amenazas de Check Point: durante el procesamiento de una alerta de posible infección de malware, el usuario puede beneficiarse de los datos de enriquecimiento del servicio de reputación de amenazas de Check Point sobre hosts concretos asociados a la alerta en cuestión por motivos de investigación.

Fecha de ejecución

Esta acción se ejecuta en la entidad Hostname.

Resultados de la acción

Enriquecimiento de entidades

La acción debe usar todos los valores de la respuesta de la API para enriquecer la entidad, excepto el nodo "status" de la respuesta.

Estadísticas

Insight Logic	Tipo	Título (cadena)	Mensaje
Se crea si se ha marcado la casilla correspondiente.	Entidad	Check Point Threat Reputation	Valor de Classification: de la respuesta de la API Confianza: valor de la respuesta de la API Valor de Gravedad de la respuesta de la API Valor Risk: de la respuesta de la API

Insight Logic

Tipo

Título (cadena)

Mensaje

Se crea si se ha marcado la casilla correspondiente.

Entidad

Check Point Threat Reputation

Valor de Classification: de la respuesta de la API

Confianza: valor de la respuesta de la API

Valor de Gravedad de la respuesta de la API

Valor Risk: de la respuesta de la API

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

La acción debe devolver resultados JSON compatibles con el creador de expresiones.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "ynet.co.il",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "categories": [
                    {
                        "id": 24,
                        "name": "News / Media"
                    }
                ],
                "indications": [
                    "The domain has good reputation",
                    "The domain is popular among websites with good reputation",
                    "The domain is popular in the world",
                    "The domain's Alexa rank is 1262",
                    "Check Point's URL Filtering category is News / Media",
                    "VirusTotal vendors detected benign URLs of the domain"
                ],
                "vt_positives": 0,
                "alexa_rank": 1262,
                "safe": true,
                "creation_date": "2001:01:07 00:00:00"
            }
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]). Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad". Si no se han encontrado datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) ("No se han encontrado datos en el servicio de reputación de Check Point para enriquecer las siguientes entidades: {0}".format([entity.identifier])). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)	General
Tabla	Nombre de la tabla: resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier) Columnas de la tabla: Clasificación Confianza Gravedad Riesgo Categorías: context.categories Indicaciones: context.indications Recuento de positivos de VirusTotal Clasificación de Alexa ¿Es seguro? Fecha de creación	Entidad

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la solicitud se completa correctamente y se enriquece al menos una de las entidades proporcionadas: "Successfully enriched entities: {0}".format([entity.Identifier]).

Si no se ha podido enriquecer ninguna de las entidades proporcionadas, se mostrará el mensaje "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

"No se ha podido conectar con el servicio de reputación de Check Point. Error: {0}".format(exception.stacktrace)

General

Tabla

Nombre de la tabla: resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier)

Columnas de la tabla:

Clasificación
Confianza
Gravedad
Riesgo
Categorías: context.categories
Indicaciones: context.indications
Recuento de positivos de VirusTotal
Clasificación de Alexa
¿Es seguro?
Fecha de creación

Entidad

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.