Check Point Threat Reputation
Versione integrazione: 5.0
Casi d'uso
Servizio Threat Intelligence.
Configura l'integrazione di Check Point Threat Reputation in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | rep.checkpoint.com | Sì | Specifica l'URL radice dell'API del servizio di reputazione di Check Point. |
| Chiave API | Password | N/D | Sì | Specifica la chiave API del servizio di reputazione di Check Point. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitata, verifica che il certificato SSL per la connessione al server del servizio di reputazione Check Point sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Testa la connettività al servizio di reputazione Check Point con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Esempi di casi d'uso del playbook
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al servizio di reputazione Check Point riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio di reputazione Check Point. Error is {0}".format(exception.stacktrace) |
Generale |
Recupera la reputazione dell'hash del file
Descrizione
Arricchisci l'entità Hash file di Google SecOps in base alle informazioni del servizio di reputazione Check Point. Action accetta hash di file nei formati md5, sha1 e sha256.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia | Numero intero | 0 | Sì | Contrassegna l'entità come sospetta se il valore di rischio restituito per l'entità è superiore a una determinata soglia. |
| Creare approfondimento? | Casella di controllo | Deselezionata | No | Specifica se l'approfondimento di Google SecOps deve essere creato in base al risultato dell'azione. |
Esempi di casi d'uso del playbook
Arricchisci l'entità filehash di Google SecOps con informazioni provenienti da Check Point Reputation Service: durante l'elaborazione di un possibile avviso di infezione da malware, l'utente può trarre vantaggio dalla presenza di dati di arricchimento provenienti da Check Point Reputation Service su particolari filehash associati all'avviso in questione per motivi investigativi.
Run On
Questa azione viene eseguita sull'entità FILEHASH (md5/sha1/sha256).
Risultati dell'azione
Arricchimento delle entità
L'azione deve utilizzare tutti i valori della risposta dell'API per l'arricchimento delle entità, ad eccezione del nodo "status" della risposta.
Approfondimenti
| Insight Logic | Tipo | Titolo (stringa) | Messaggio |
|---|---|---|---|
| Crea se la casella di controllo corrispondente è stata selezionata. | Entità | Check Point Threat Reputation | Classificazione:valore della risposta dell'API Confidenza:valore della risposta API Gravità:valore della risposta dell'API Valore Risk: dalla risposta dell'API |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
L'azione deve restituire risultati JSON compatibili con il generatore di espressioni.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è arricchita: "Entità arricchite correttamente: {0}".format([entity.Identifier]). Se non è stato possibile arricchire tutte le entità fornite: "Nessuna entità è stata arricchita". Se non è stato possibile trovare dati nel servizio di reputazione Check Point per arricchire entità specifiche: "L'azione non è riuscita a trovare informazioni del servizio di reputazione Check Point per arricchire le seguenti entità: {0}".format([entity.identifier]) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio di reputazione Check Point. Error is {0}".format(exception.stacktrace) |
Generale |
| Tabella | Nome tabella: risultati del servizio di reputazione Check Point per {0}.format(entity.Identifier) Colonne della tabella:
|
Entità |
Ottenere la reputazione IP
Descrizione
Arricchisci l'entità IP di Google SecOps in base alle informazioni del servizio di reputazione Check Point.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia | Numero intero | 0 | Sì | Contrassegna l'entità come sospetta se il valore di rischio restituito per l'entità è superiore a una determinata soglia. |
| Creare approfondimento? | Casella di controllo | Deselezionata | No | Specifica se l'approfondimento di Google SecOps deve essere creato in base al risultato dell'azione. |
Esempi di casi d'uso del playbook
Arricchisci l'entità IP di Google SecOps con informazioni del servizio Threat Reputation di Check Point: durante l'elaborazione di un possibile avviso di infezione da malware, l'utente può trarre vantaggio dalla presenza di dati di arricchimento del servizio Threat Reputation di Check Point relativi a determinati IP associati all'avviso in questione per motivi investigativi.
Run On
Questa azione viene eseguita sull'entità IP.
Risultati dell'azione
Arricchimento delle entità
L'azione deve utilizzare tutti i valori della risposta dell'API per l'arricchimento delle entità, ad eccezione del nodo "status" della risposta.
Approfondimenti
| Insight Logic | Tipo | Titolo (stringa) | Messaggio |
|---|---|---|---|
| Crea se la casella di controllo corrispondente è stata selezionata. | Entità | Check Point Threat Reputation | Classificazione:valore della risposta dell'API Confidenza:valore della risposta API Gravità:valore della risposta dell'API Valore Risk: dalla risposta dell'API |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
L'azione deve restituire risultati JSON compatibili con il generatore di espressioni.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è arricchita: "Entità arricchite correttamente: {0}".format([entity.Identifier]). Se non è stato possibile arricchire tutte le entità fornite: "Nessuna entità è stata arricchita". Se non è stato possibile trovare dati nel servizio di reputazione Check Point per arricchire entità specifiche: "L'azione non è riuscita a trovare informazioni del servizio di reputazione Check Point per arricchire le seguenti entità: {0}".format([entity.identifier]) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: stampa "Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace) |
Generale |
| Tabella | Nome tabella: risultati della reputazione delle minacce di Check Point per {0}.format(entity.Identifier) Colonne della tabella:
|
Entità |
Ottieni la reputazione host
Descrizione
Arricchisci l'entità host Google SecOps in base alle informazioni del servizio di reputazione Check Point.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Soglia | Numero intero | 0 | Sì | Contrassegna l'entità come sospetta se il valore di rischio restituito per l'entità è superiore a una determinata soglia. |
| Creare approfondimento? | Casella di controllo | Deselezionata | No | Specifica se l'approfondimento di Google SecOps deve essere creato in base al risultato dell'azione. |
Esempi di casi d'uso del playbook
Arricchisci l'entità host Google SecOps con informazioni del servizio Check Point Threat Reputation: durante l'elaborazione di un possibile avviso di infezione da malware, l'utente può trarre vantaggio dai dati di arricchimento del servizio Check Point Threat Reputation relativi a host particolari associati all'avviso in questione per motivi investigativi.
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
L'azione deve utilizzare tutti i valori della risposta dell'API per l'arricchimento delle entità, ad eccezione del nodo "status" della risposta.
Approfondimenti
| Insight Logic | Tipo | Titolo (stringa) | Messaggio |
|---|---|---|---|
| Crea se la casella di controllo corrispondente è stata selezionata. | Entità | Check Point Threat Reputation | Classificazione:valore della risposta dell'API Confidenza:valore della risposta API Gravità:valore della risposta dell'API Valore Risk: dalla risposta dell'API |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
L'azione deve restituire risultati JSON compatibili con il generatore di espressioni.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è arricchita: "Entità arricchite correttamente: {0}".format([entity.Identifier]). Se non è stato possibile arricchire tutte le entità fornite: "Nessuna entità è stata arricchita". Se non è stato possibile trovare dati nel servizio di reputazione Check Point per arricchire entità specifiche: "L'azione non è riuscita a trovare informazioni del servizio di reputazione Check Point per arricchire le seguenti entità: {0}".format([entity.identifier]) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio di reputazione Check Point. Error is {0}".format(exception.stacktrace) |
Generale |
| Tabella | Nome tabella: risultati della reputazione delle minacce di Check Point per {0}.format(entity.Identifier) Colonne della tabella:
|
Entità |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.