Check Point Threat Reputation

Versi integrasi: 5.0

Kasus Penggunaan

Layanan Threat Intel.

Mengonfigurasi integrasi Check Point Threat Reputation di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Instance String T/A Tidak Nama instance yang ingin Anda konfigurasi integrasinya.
Deskripsi String T/A Tidak Deskripsi Instance.
Root API String rep.checkpoint.com Ya Tentukan URL root Check Point Reputation Service API.
Kunci API Sandi T/A Ya Tentukan kunci API Check Point Reputation Service.
Verifikasi SSL Kotak centang Tidak dicentang Tidak Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Check Point Reputation Service valid.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Ping

Deskripsi

Uji konektivitas ke Check Point Reputation Service dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.

Parameter

T/A

Contoh Kasus Penggunaan Playbook

Tindakan ini digunakan untuk menguji konektivitas di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace, dan dapat dijalankan sebagai tindakan manual, bukan digunakan dalam playbook.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully connected to the Check Point Reputation Service with the provided connection parameters!" (Berhasil terhubung ke Check Point Reputation Service dengan parameter koneksi yang diberikan).

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error kritis, seperti kredensial yang salah atau konektivitas terputus dilaporkan:

"Failed to connect to the Check Point Reputation Service! Error adalah {0}".format(exception.stacktrace)

 Umum

Mendapatkan Reputasi Hash File

Deskripsi

Memperkaya entitas Hash file SecOps Google berdasarkan informasi dari Check Point Reputation Service. Tindakan menerima hash file dalam format md5, sha1, dan sha256.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Ambang batas Bilangan bulat 0 Ya Menandai entity sebagai mencurigakan jika nilai risiko yang ditampilkan untuk entity tersebut berada di atas nilai minimum tertentu.
Buat Insight? Kotak centang Tidak dicentang Tidak Tentukan apakah Insight Google SecOps harus dibuat berdasarkan hasil tindakan.

Contoh Kasus Penggunaan Playbook

Memperkaya entitas filehash Google SecOps dengan informasi dari Check Point Reputation Service: Selama pemrosesan kemungkinan pemberitahuan infeksi malware, pengguna dapat memperoleh manfaat dari data pengayaan dari Check Point Reputation Service tentang filehash tertentu yang terkait dengan pemberitahuan yang dimaksud untuk alasan penyelidikan.

Run On

Tindakan ini berjalan di entity FILEHASH (md5/sha1/sha256).

Hasil Tindakan

Pengayaan Entity

Tindakan harus menggunakan semua nilai dari respons API untuk pengayaan entity kecuali untuk node "status" respons.

Insight
Logika Insight Jenis Judul (String) Pesan
Buat jika kotak centang terkait dicentang. Entity Check Point Threat Reputation

Klasifikasi: nilai dari respons API

Keyakinan: nilai dari respons API

Tingkat Keparahan: nilai dari respons API

Risiko: nilai dari respons API
Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON

Tindakan harus menampilkan hasil JSON yang kompatibel dengan Pembuat Ekspresi.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "2c527d980eb30daa789492283f9bf69e",
            "reputation": {
                "classification": "Riskware",
                "severity": "Medium",
                "confidence": "High"
            },
            "risk": 50,
            "context": {
                "malware_family": "Mimikatz",
                "protection_name": "HackTool.Win32.Mimikatz.TC.lc",
                "malware_types": [
                    "Riskware"
                ],
                "metadata": {
                    "company_name": "gentilkiwi (Benjamin DELPY)",
                    "product_name": "mimikatz",
                    "copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
                    "original_name": "mimikatz.exe"
                }
            }
        }
    ]
}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich: "Entitas berhasil di-enrich: {0}".format([entity.Identifier]).

Jika gagal memperkaya semua entitas yang diberikan: "Tidak ada entitas yang diperkaya."

Jika gagal menemukan data di Check Point Reputation Service untuk memperkaya entitas tertentu: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier])

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error kritis, seperti kredensial yang salah atau konektivitas terputus dilaporkan:

"Failed to connect to the Check Point Reputation Service! Error adalah {0}".format(exception.stacktrace)

 Umum
Tabel

Nama tabel: Hasil Check Point Reputation Service untuk {0}.format(entity.Identifier)

Kolom tabel:

  • Klasifikasi
  • Keyakinan
  • Keparahan
  • Risiko
  • Jenis Malware - context.malware_family
  • Nama File - context.protection_name
  • Jenis Malware - context.malware_types (dapat berupa beberapa nilai yang dipisahkan dengan koma)
  • Nama Perusahaan - metadata.company_name
  • Nama Produk - metadata.product_name
  • Hak cipta - metadata.copyright
  • Nama File Asli - metadata.original_name
 Entity

Mendapatkan Reputasi IP

Deskripsi

Memperkaya entitas IP SecOps Google berdasarkan informasi dari Check Point Reputation Service.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Ambang batas Bilangan bulat 0 Ya Menandai entity sebagai mencurigakan jika nilai risiko yang ditampilkan untuk entity tersebut berada di atas nilai minimum tertentu.
Buat Insight? Kotak centang Tidak dicentang Tidak Tentukan apakah Insight Google SecOps harus dibuat berdasarkan hasil tindakan.

Contoh Kasus Penggunaan Playbook

Memperkaya entitas IP Google SecOps dengan informasi dari layanan Reputasi Ancaman Check Point: Selama pemrosesan pemberitahuan kemungkinan infeksi malware, pengguna dapat memperoleh manfaat dari data tambahan dari layanan Reputasi Ancaman Check Point tentang IP tertentu yang terkait dengan pemberitahuan yang dimaksud untuk alasan penyelidikan.

Run On

Tindakan ini dijalankan di entity IP.

Hasil Tindakan

Pengayaan Entity

Tindakan harus menggunakan semua nilai dari respons API untuk pengayaan entity kecuali untuk node "status" respons.

Insight
Logika Insight Jenis Judul (String) Pesan
Buat jika kotak centang terkait dicentang. Entity Check Point Threat Reputation

Klasifikasi: nilai dari respons API

Keyakinan: nilai dari respons API

Tingkat Keparahan: nilai dari respons API

Risiko: nilai dari respons API
Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON

Tindakan harus menampilkan hasil JSON yang kompatibel dengan Pembuat Ekspresi.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "8.8.8.8",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "location": {
                    "countryCode": "US",
                    "countryName": "United States",
                    "region": null,
                    "city": null,
                    "postalCode": null,
                    "latitude": 37.751007,
                    "longitude": -97.822,
                    "dma_code": 0,
                    "area_code": 0,
                    "metro_code": 0
                },
                "asn": 15169,
                "as_owner": "Google LLC"
            }
        }
    ]
}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich: "Entitas berhasil di-enrich: {0}".format([entity.Identifier]).

Jika gagal memperkaya semua entitas yang diberikan: "Tidak ada entitas yang diperkaya."

Jika gagal menemukan data di Check Point Reputation Service untuk memperkaya entitas tertentu: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier])

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error kritis, seperti kredensial yang salah atau konektivitas terputus dilaporkan:

print "Failed to connect to the Check Point Reputation Service! Error adalah {0}".format(exception.stacktrace)

 Umum
Tabel

Nama tabel: Hasil Check Point Threat Reputation untuk {0}.format(entity.Identifier)

Kolom tabel:

  • Klasifikasi
  • Keyakinan
  • Keparahan
  • Risiko
  • Kode Negara - context.countryCode
  • Negara - context.countryName
  • Wilayah - context.region
  • Kota - context.city
  • Kode Pos - context.postalCode
  • Latitude -context.latitude
  • Longitude - context.longitude
  • Kode DMA - context.dma_code
  • Kode Area -context.area_code
  • Kode Metro -context.metro_code
  • ASN
  • Pemilik
 Entity

Mendapatkan Reputasi Host

Deskripsi

Memperkaya entitas Host SecOps Google berdasarkan informasi dari Check Point Reputation Service.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Ambang batas Bilangan bulat 0 Ya Menandai entity sebagai mencurigakan jika nilai risiko yang ditampilkan untuk entity tersebut berada di atas nilai minimum tertentu.
Buat Insight? Kotak centang Tidak dicentang Tidak Tentukan apakah Insight Google SecOps harus dibuat berdasarkan hasil tindakan.

Contoh Kasus Penggunaan Playbook

Memperkaya entitas host Google SecOps dengan informasi dari layanan Reputasi Ancaman Check Point: Selama pemrosesan pemberitahuan kemungkinan infeksi malware, pengguna dapat memperoleh manfaat dari data pengayaan dari layanan Reputasi Ancaman Check Point tentang host tertentu yang terkait dengan pemberitahuan yang dimaksud untuk alasan penyelidikan.

Run On

Tindakan ini dijalankan pada entity Hostname.

Hasil Tindakan

Pengayaan Entity

Tindakan harus menggunakan semua nilai dari respons API untuk pengayaan entity kecuali untuk node "status" respons.

Insight
Logika Insight Jenis Judul (String) Pesan
Buat jika kotak centang terkait dicentang. Entity Check Point Threat Reputation

Klasifikasi: nilai dari respons API

Keyakinan: nilai dari respons API

Tingkat Keparahan: nilai dari respons API

Risiko: nilai dari respons API
Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON

Tindakan harus menampilkan hasil JSON yang kompatibel dengan Pembuat Ekspresi.

{
    "response": [
        {
            "status": {
                "code": 2001,
                "label": "SUCCESS",
                "message": "Succeeded to generate reputation"
            },
            "resource": "ynet.co.il",
            "reputation": {
                "classification": "Benign",
                "severity": "N/A",
                "confidence": "High"
            },
            "risk": 0,
            "context": {
                "categories": [
                    {
                        "id": 24,
                        "name": "News / Media"
                    }
                ],
                "indications": [
                    "The domain has good reputation",
                    "The domain is popular among websites with good reputation",
                    "The domain is popular in the world",
                    "The domain's Alexa rank is 1262",
                    "Check Point's URL Filtering category is News / Media",
                    "VirusTotal vendors detected benign URLs of the domain"
                ],
                "vt_positives": 0,
                "alexa_rank": 1262,
                "safe": true,
                "creation_date": "2001:01:07 00:00:00"
            }
        }
    ]
}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich: "Entitas berhasil di-enrich: {0}".format([entity.Identifier]).

Jika gagal memperkaya semua entitas yang diberikan: "Tidak ada entitas yang diperkaya."

Jika gagal menemukan data di Check Point Reputation Service untuk memperkaya entitas tertentu: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier])

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error kritis, seperti kredensial yang salah atau koneksi yang terputus dilaporkan:

"Failed to connect to the Check Point Reputation Service! Error adalah {0}".format(exception.stacktrace)

 Umum
Tabel

Nama tabel: Hasil Check Point Threat Reputation untuk {0}.format(entity.Identifier)

Kolom tabel:

  • Klasifikasi
  • Keyakinan
  • Keparahan
  • Risiko
  • Kategori - context.categories
  • Indikasi - context.indications
  • Jumlah Positif Virus Total
  • Peringkat Alexa
  • Aman?
  • Tanggal Pembuatan
 Entity

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.