Reputación de amenazas de Check Point
Versión de integración: 5.0
Casos de uso
Servicio de inteligencia sobre amenazas.
Configura la integración de Check Point Threat Reputation en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | rep.checkpoint.com | Sí | Especifica la URL raíz de la API del servicio de reputación de Check Point. |
| Clave de API | Contraseña | N/A | Sí | Especifica la clave de API del servicio de reputación de Check Point. |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Check Point Reputation Service sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con el servicio de reputación de Check Point con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejemplos de casos de uso de manuales
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, no se usa en los playbooks.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Se conectó correctamente al servicio de reputación de Check Point con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: "No se pudo conectar al servicio de reputación de Check Point. Error is {0}".format(exception.stacktrace) |
General |
Obtén la reputación del hash del archivo
Descripción
Enriquece la entidad de hash de archivo de Google SecOps en función de la información del servicio de reputación de Check Point. La acción acepta hashes de archivos en formatos md5, sha1 y sha256.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral | Número entero | 0 | Sí | Marcar la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado |
| ¿Crear estadística? | Casilla de verificación | Desmarcado | No | Especifica si se debe crear la sugerencia de Google SecOps en función del resultado de la acción. |
Ejemplos de casos de uso de manuales
Enriquece la entidad filehash de Google SecOps con información del servicio de reputación de Check Point: Durante el procesamiento de una posible alerta de infección de malware, el usuario puede beneficiarse de tener datos de enriquecimiento del servicio de reputación de Check Point sobre filehashes particulares que se asocian con la alerta en cuestión por motivos de investigación.
Ejecutar en
Esta acción se ejecuta en la entidad FILEHASH (md5/sha1/sha256).
Resultados de la acción
Enriquecimiento de entidades
La acción debe usar todos los valores de la respuesta de la API para el enriquecimiento de entidades, excepto el nodo "status" de la respuesta.
Estadísticas
| Insight Logic | Tipo | Título (cadena) | Mensaje |
|---|---|---|---|
| Se crea si se marcó la casilla de verificación correspondiente. | Entidad | Reputación de amenazas de Check Point | Valor de Classification: de la respuesta de la API Confianza: Valor de la respuesta de la API Valor de gravedad de la respuesta de la API Valor de Risk: de la respuesta de la API |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
La acción debe devolver resultados JSON compatibles con el compilador de expresiones.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas: "Se enriquecieron correctamente las entidades: {0}".format([entity.Identifier]). Si no se pudieron enriquecer todas las entidades proporcionadas: "No se enriqueció ninguna entidad". Si no se pudieron encontrar datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: "No se pudo conectar al servicio de reputación de Check Point. Error is {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados del servicio de reputación de Check Point para {0}.format(entity.Identifier) Columnas de la tabla:
|
Entidad |
Obtén la reputación de IP
Descripción
Enriquece la entidad IP de Google SecOps en función de la información del servicio de reputación de Check Point.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral | Número entero | 0 | Sí | Marcar la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado |
| ¿Crear estadística? | Casilla de verificación | Desmarcado | No | Especifica si se debe crear la sugerencia de Google SecOps en función del resultado de la acción. |
Ejemplos de casos de uso de manuales
Enriquece la entidad de IP de Google SecOps con información del servicio de reputación de amenazas de Check Point: Durante el procesamiento de una posible alerta de infección de malware, el usuario puede beneficiarse de tener datos de enriquecimiento del servicio de reputación de amenazas de Check Point sobre IPs particulares que están asociadas con la alerta en cuestión por motivos de investigación.
Ejecutar en
Esta acción se ejecuta en la entidad de IP.
Resultados de la acción
Enriquecimiento de entidades
La acción debe usar todos los valores de la respuesta de la API para el enriquecimiento de entidades, excepto el nodo "status" de la respuesta.
Estadísticas
| Insight Logic | Tipo | Título (cadena) | Mensaje |
|---|---|---|---|
| Se crea si se marcó la casilla de verificación correspondiente. | Entidad | Reputación de amenazas de Check Point | Valor de Classification: de la respuesta de la API Confianza: Valor de la respuesta de la API Valor de gravedad de la respuesta de la API Valor de Risk: de la respuesta de la API |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
La acción debe devolver resultados JSON compatibles con el compilador de expresiones.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas: "Se enriquecieron correctamente las entidades: {0}".format([entity.Identifier]). Si no se pudieron enriquecer todas las entidades proporcionadas: "No se enriqueció ninguna entidad". Si no se pudieron encontrar datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: print "No se pudo conectar con el servicio de reputación de Check Point. Error is {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier) Columnas de la tabla:
|
Entidad |
Obtén la reputación del host
Descripción
Enriquece la entidad de host de Google SecOps en función de la información del servicio de reputación de Check Point.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral | Número entero | 0 | Sí | Marcar la entidad como sospechosa si el valor de riesgo devuelto para la entidad supera un umbral determinado |
| ¿Crear estadística? | Casilla de verificación | Desmarcado | No | Especifica si se debe crear la sugerencia de Google SecOps en función del resultado de la acción. |
Ejemplos de casos de uso de manuales
Enriquece la entidad de host de Google SecOps con información del servicio de reputación de amenazas de Check Point: Durante el procesamiento de una posible alerta de infección de software malicioso, el usuario puede beneficiarse de tener datos de enriquecimiento del servicio de reputación de amenazas de Check Point sobre hosts particulares que están asociados con la alerta en cuestión por motivos de investigación.
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
La acción debe usar todos los valores de la respuesta de la API para el enriquecimiento de entidades, excepto el nodo "status" de la respuesta.
Estadísticas
| Insight Logic | Tipo | Título (cadena) | Mensaje |
|---|---|---|---|
| Se crea si se marcó la casilla de verificación correspondiente. | Entidad | Reputación de amenazas de Check Point | Valor de Classification: de la respuesta de la API Confianza: Valor de la respuesta de la API Valor de gravedad de la respuesta de la API Valor de Risk: de la respuesta de la API |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
La acción debe devolver resultados JSON compatibles con el compilador de expresiones.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriquece al menos una de las entidades proporcionadas: "Se enriquecieron correctamente las entidades: {0}".format([entity.Identifier]). Si no se pudieron enriquecer todas las entidades proporcionadas: "No se enriqueció ninguna entidad". Si no se pudieron encontrar datos en el servicio de reputación de Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, haz lo siguiente: "No se pudo conectar al servicio de reputación de Check Point. Error is {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la reputación de amenazas de Check Point para {0}.format(entity.Identifier) Columnas de la tabla:
|
Entidad |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.