Réputation des menaces Check Point

Version de l'intégration : 5.0

Cas d'utilisation

Service Threat Intelligence.

Configurer l'intégration de Check Point Threat Reputation dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom de l'instance Chaîne N/A Non Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description Chaîne N/A Non Description de l'instance.
Racine de l'API Chaîne rep.checkpoint.com Oui Spécifiez l'URL racine de l'API Check Point Reputation Service.
Clé API Mot de passe N/A Oui Spécifiez la clé API du service de réputation Check Point.
Vérifier le protocole SSL Case à cocher Décochée Non Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Check Point Reputation Service est valide.
Exécuter à distance Case à cocher Décochée Non Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Actions

Ping

Description

Testez la connectivité au service de réputation Check Point avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exemples de cas d'utilisation de playbooks

Cette action permet de tester la connectivité sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.

Exécuter sur

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

En cas de réussite : "Connexion au service de réputation Check Point établie avec les paramètres de connexion fournis"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée (par exemple, des identifiants incorrects ou une perte de connectivité) :

"Échec de la connexion au service de réputation Check Point ! Error is {0}".format(exception.stacktrace)

 Général

Obtenir la réputation du hachage de fichier

Description

Enrichissez l'entité "Hachage de fichier Google SecOps" en fonction des informations du service de réputation Check Point. L'action accepte les hachages de fichiers aux formats md5, sha1 et sha256.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Seuil Integer 0 Oui Marquez l'entité comme suspecte si la valeur de risque renvoyée pour l'entité est supérieure à un seuil donné.
Créer un insight ? Case à cocher Décochée Non Indique si l'insight Google SecOps doit être créé en fonction du résultat de l'action.

Exemples de cas d'utilisation de playbooks

Enrichir l'entité Google SecOps filehash avec des informations provenant du service de réputation Check Point : lors du traitement d'une éventuelle alerte d'infection par un logiciel malveillant, l'utilisateur peut bénéficier de données d'enrichissement provenant du service de réputation Check Point concernant des filehashes spécifiques associés à l'alerte en question à des fins d'investigation.

Exécuter sur

Cette action s'exécute sur l'entité FILEHASH (md5/sha1/sha256).

Résultats de l'action

Enrichissement d'entités

L'action doit utiliser toutes les valeurs de la réponse de l'API pour l'enrichissement des entités, à l'exception du nœud "status" de la réponse.

Insights
Logique des insights Type Titre (chaîne) Message
Créez-le si la case à cocher correspondante a été cochée. Entité Réputation des menaces Check Point

Valeur Classification de la réponse de l'API

Valeur Confidence (Confiance) de la réponse de l'API

Valeur Severity (Gravité) de la réponse de l'API

Valeur Risk de la réponse de l'API
Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON

L'action doit renvoyer des résultats JSON compatibles avec le générateur d'expressions.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "2c527d980eb30daa789492283f9bf69e",
            "reputation": {
                "classification": "Riskware",
                "severity": "Medium",
                "confidence": "High"
            },
            "risk": 50,
            "context": {
                "malware_family": "Mimikatz",
                "protection_name": "HackTool.Win32.Mimikatz.TC.lc",
                "malware_types": [
                    "Riskware"
                ],
                "metadata": {
                    "company_name": "gentilkiwi (Benjamin DELPY)",
                    "product_name": "mimikatz",
                    "copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
                    "original_name": "mimikatz.exe"
                }
            }
        }
    ]
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une des entités fournies est enrichie : "Successfully enriched entities: {0}".format([entity.Identifier]).

Si l'enrichissement de toutes les entités fournies a échoué : "Aucune entité n'a été enrichie."

Si les données n'ont pas pu être trouvées dans le service Check Point Reputation pour enrichir des entités spécifiques : "L'action n'a pas pu trouver d'informations Check Point Reputation pour enrichir les entités suivantes : {0}".format([entity.identifier])

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée (par exemple, des identifiants incorrects ou une perte de connectivité) :

"Échec de la connexion au service de réputation Check Point ! Error is {0}".format(exception.stacktrace)

 Général
Table

Nom de la table : résultats du service de réputation Check Point pour {0}.format(entity.Identifier)

Colonnes du tableau :

  • Classification
  • Confiance
  • Gravité
  • Risque
  • Famille de logiciels malveillants : context.malware_family
  • Nom du fichier : context.protection_name
  • Type de logiciel malveillant : context.malware_types (peut contenir plusieurs valeurs séparées par une virgule)
  • Nom de l'entreprise : metadata.company_name
  • Nom du produit : metadata.product_name
  • Droits d'auteur : metadata.copyright
  • Nom du fichier d'origine : metadata.original_name
 Entité

Obtenir la réputation des adresses IP

Description

Enrichissez l'entité IP Google SecOps en fonction des informations du service de réputation Check Point.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Seuil Integer 0 Oui Marquez l'entité comme suspecte si la valeur de risque renvoyée pour l'entité est supérieure à un seuil donné.
Créer un insight ? Case à cocher Décochée Non Indique si l'insight Google SecOps doit être créé en fonction du résultat de l'action.

Exemples de cas d'utilisation de playbooks

Enrichissez l'entité IP Google SecOps avec des informations provenant du service Check Point Threat Reputation : lors du traitement d'une alerte de possible infection par un logiciel malveillant, l'utilisateur peut bénéficier de données d'enrichissement provenant du service Check Point Threat Reputation concernant des adresses IP spécifiques associées à l'alerte en question à des fins d'investigation.

Exécuter sur

Cette action s'exécute sur l'entité IP.

Résultats de l'action

Enrichissement d'entités

L'action doit utiliser toutes les valeurs de la réponse de l'API pour l'enrichissement des entités, à l'exception du nœud "status" de la réponse.

Insights
Logique des insights Type Titre (chaîne) Message
Créez-le si la case à cocher correspondante a été cochée. Entité Réputation des menaces Check Point

Valeur Classification de la réponse de l'API

Valeur Confidence (Confiance) de la réponse de l'API

Valeur Severity (Gravité) de la réponse de l'API

Valeur Risk de la réponse de l'API
Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON

L'action doit renvoyer des résultats JSON compatibles avec le générateur d'expressions.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "8.8.8.8",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "location": {
                    "countryCode": "US",
                    "countryName": "United States",
                    "region": null,
                    "city": null,
                    "postalCode": null,
                    "latitude": 37.751007,
                    "longitude": -97.822,
                    "dma_code": 0,
                    "area_code": 0,
                    "metro_code": 0
                },
                "asn": 15169,
                "as_owner": "Google LLC"
            }
        }
    ]
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une des entités fournies est enrichie : "Successfully enriched entities: {0}".format([entity.Identifier]).

Si l'enrichissement de toutes les entités fournies a échoué : "Aucune entité n'a été enrichie."

Si les données n'ont pas pu être trouvées dans le service Check Point Reputation pour enrichir des entités spécifiques : "L'action n'a pas pu trouver d'informations Check Point Reputation pour enrichir les entités suivantes : {0}".format([entity.identifier])

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée (par exemple, des identifiants incorrects ou une perte de connectivité) :

print "Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace)

 Général
Table

Nom de la table : résultats de la réputation des menaces Check Point pour {0}.format(entity.Identifier)

Colonnes du tableau :

  • Classification
  • Confiance
  • Gravité
  • Risque
  • Code pays : context.countryCode
  • Pays : context.countryName
  • Région : context.region
  • Ville : context.city
  • Code postal : context.postalCode
  • Latitude : context.latitude
  • Longitude : context.longitude
  • Code de zone de marché désignée : context.dma_code
  • Indicatif régional : context.area_code
  • Code d'agglomération : context.metro_code
  • Numéro de système autonome (ASN)
  • Propriétaire
 Entité

Obtenir la réputation de l'hôte

Description

Enrichissez l'entité hôte Google SecOps en fonction des informations du service de réputation Check Point.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Seuil Integer 0 Oui Marquez l'entité comme suspecte si la valeur de risque renvoyée pour l'entité est supérieure à un seuil donné.
Créer un insight ? Case à cocher Décochée Non Indique si l'insight Google SecOps doit être créé en fonction du résultat de l'action.

Exemples de cas d'utilisation de playbooks

Enrichissez l'entité hôte Google SecOps avec des informations provenant du service Check Point Threat Reputation : lors du traitement d'une alerte de possible infection par un logiciel malveillant, l'utilisateur peut bénéficier de données d'enrichissement provenant du service Check Point Threat Reputation concernant des hôtes spécifiques associés à l'alerte en question à des fins d'investigation.

Exécuter sur

Cette action s'exécute sur l'entité "Nom d'hôte".

Résultats de l'action

Enrichissement d'entités

L'action doit utiliser toutes les valeurs de la réponse de l'API pour l'enrichissement des entités, à l'exception du nœud "status" de la réponse.

Insights
Logique des insights Type Titre (chaîne) Message
Créez-le si la case à cocher correspondante a été cochée. Entité Réputation des menaces Check Point

Valeur Classification de la réponse de l'API

Valeur Confidence (Confiance) de la réponse de l'API

Valeur Severity (Gravité) de la réponse de l'API

Valeur Risk de la réponse de l'API
Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON

L'action doit renvoyer des résultats JSON compatibles avec le générateur d'expressions.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "ynet.co.il",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "categories": [
                    {
                        "id": 24,
                        "name": "News / Media"
                    }
                ],
                "indications": [
                    "The domain has good reputation",
                    "The domain is popular among websites with good reputation",
                    "The domain is popular in the world",
                    "The domain's Alexa rank is 1262",
                    "Check Point's URL Filtering category is News / Media",
                    "VirusTotal vendors detected benign URLs of the domain"
                ],
                "vt_positives": 0,
                "alexa_rank": 1262,
                "safe": true,
                "creation_date": "2001:01:07 00:00:00"
            }
        }
    ]
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit et qu'au moins une des entités fournies est enrichie : "Successfully enriched entities: {0}".format([entity.Identifier]).

Si l'enrichissement de toutes les entités fournies a échoué : "Aucune entité n'a été enrichie."

Si les données n'ont pas pu être trouvées dans le service Check Point Reputation pour enrichir des entités spécifiques : "L'action n'a pas pu trouver d'informations Check Point Reputation pour enrichir les entités suivantes : {0}".format([entity.identifier])

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité :

"Échec de la connexion au service de réputation Check Point ! Error is {0}".format(exception.stacktrace)

 Général
Table

Nom de la table : résultats de la réputation des menaces Check Point pour {0}.format(entity.Identifier)

Colonnes du tableau :

  • Classification
  • Confiance
  • Gravité
  • Risque
  • Catégories : context.categories
  • Indications : context.indications
  • Nombre de résultats positifs Virus Total
  • Classement Alexa
  • Sûr ?
  • Date de création
 Entité

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.