Check Point 위협 평판
통합 버전: 5.0
사용 사례
위협 인텔리전스 서비스
Google Security Operations에서 Check Point Threat Reputation 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | 아니요 | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | rep.checkpoint.com | 예 | Check Point Reputation Service API 루트 URL을 지정합니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | Check Point Reputation Service API 키를 지정합니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 Check Point Reputation Service 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Check Point Reputation Service에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
플레이북 사용 사례 예시
이 작업은 Google Security Operations Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 사용되지 않는 직접 조치로 실행될 수 있습니다.
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Check Point Reputation Service에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류가 보고되는 경우: 'Check Point Reputation Service에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
파일 해시 평판 가져오기
설명
Check Point Reputation Service의 정보를 기반으로 Google SecOps 파일 해시 항목을 보강합니다. 작업은 md5, sha1, sha256 형식의 파일 해시를 허용합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기준 | 정수 | 0 | 예 | 항목에 대해 반환된 위험 값이 지정된 임곗값을 초과하면 항목을 의심스러운 것으로 표시합니다. |
| 통계를 만들까요? | 체크박스 | 선택 해제 | 아니요 | 작업 결과에 따라 Google SecOps Insight를 생성해야 하는지 여부를 지정합니다. |
플레이북 사용 사례 예시
Check Point Reputation Service의 정보로 Google SecOps 파일 해시 엔티티 보강: 멀웨어 감염 가능성 알림을 처리하는 동안 사용자는 조사 목적으로 문제의 알림과 연결된 특정 파일 해시에 관한 Check Point Reputation Service의 보강 데이터를 활용할 수 있습니다.
실행
이 작업은 FILEHASH (md5/sha1/sha256) 항목에서 실행됩니다.
작업 결과
항목 보강
작업은 응답의 'status' 노드를 제외하고 엔티티 강화를 위해 API 응답의 모든 값을 사용해야 합니다.
통계
| Insight Logic | 유형 | 제목 (문자열) | 메시지 |
|---|---|---|---|
| 해당 체크박스가 선택된 경우 생성합니다. | 항목 | Check Point 위협 평판 | API 응답의 분류: 값 신뢰도: API 응답의 값 API 응답의 심각도 값 API 응답의 위험 값 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업은 표현식 빌더와 호환되는 JSON 결과를 반환해야 합니다.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우: '항목({0})을 보강했습니다.'.format([entity.Identifier]) 제공된 모든 항목을 보강할 수 없는 경우: '보강된 항목이 없습니다.' Check Point Reputation Service에서 데이터를 찾아 특정 항목을 보강할 수 없는 경우: '작업이 Check Point Reputation Service 정보를 찾아 다음 항목({0})을 보강할 수 없습니다.'.format([entity.identifier]) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류가 보고되는 경우: 'Check Point Reputation Service에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
| 표 | 테이블 이름: {0}.format(entity.Identifier)에 대한 Check Point Reputation Service 결과 표 열:
|
항목 |
IP 평판 가져오기
설명
Check Point Reputation Service의 정보를 기반으로 Google SecOps IP 항목을 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기준 | 정수 | 0 | 예 | 항목에 대해 반환된 위험 값이 지정된 임곗값을 초과하면 항목을 의심스러운 것으로 표시합니다. |
| 통계를 만들까요? | 체크박스 | 선택 해제 | 아니요 | 작업 결과에 따라 Google SecOps Insight를 생성해야 하는지 여부를 지정합니다. |
플레이북 사용 사례 예시
Check Point 위협 평판 서비스의 정보로 Google SecOps IP 엔티티 보강: 멀웨어 감염 가능성 알림을 처리하는 동안 사용자는 조사상의 이유로 해당 알림과 연결된 특정 IP에 관한 Check Point 위협 평판 서비스의 보강 데이터를 활용할 수 있습니다.
실행
이 작업은 IP 항목에서 실행됩니다.
작업 결과
항목 보강
작업은 응답의 'status' 노드를 제외하고 엔티티 강화를 위해 API 응답의 모든 값을 사용해야 합니다.
통계
| Insight Logic | 유형 | 제목 (문자열) | 메시지 |
|---|---|---|---|
| 해당 체크박스가 선택된 경우 생성합니다. | 항목 | Check Point 위협 평판 | API 응답의 분류: 값 신뢰도: API 응답의 값 API 응답의 심각도 값 API 응답의 위험 값 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업은 표현식 빌더와 호환되는 JSON 결과를 반환해야 합니다.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우: '항목({0})을 보강했습니다.'.format([entity.Identifier]) 제공된 모든 항목을 보강할 수 없는 경우: '보강된 항목이 없습니다.' Check Point Reputation Service에서 데이터를 찾아 특정 항목을 보강할 수 없는 경우: '작업이 Check Point Reputation Service 정보를 찾아 다음 항목({0})을 보강할 수 없습니다.'.format([entity.identifier]) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류가 보고되는 경우: 'Check Point Reputation Service에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace) |
일반 |
| 표 | 테이블 이름: {0}.format(entity.Identifier)에 대한 Check Point 위협 평판 결과 표 열:
|
항목 |
호스트 평판 가져오기
설명
Check Point Reputation Service의 정보를 기반으로 Google SecOps 호스트 항목을 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기준 | 정수 | 0 | 예 | 항목에 대해 반환된 위험 값이 지정된 임곗값을 초과하면 항목을 의심스러운 것으로 표시합니다. |
| 통계를 만들까요? | 체크박스 | 선택 해제 | 아니요 | 작업 결과에 따라 Google SecOps Insight를 생성해야 하는지 여부를 지정합니다. |
플레이북 사용 사례 예시
Check Point 위협 평판 서비스의 정보로 Google SecOps 호스트 엔티티 보강: 멀웨어 감염 가능성 알림을 처리하는 동안 사용자는 조사 목적으로 문제의 알림과 연결된 특정 호스트에 관한 Check Point 위협 평판 서비스의 보강 데이터를 활용할 수 있습니다.
실행
이 작업은 호스트 이름 항목에서 실행됩니다.
작업 결과
항목 보강
작업은 응답의 'status' 노드를 제외하고 엔티티 강화를 위해 API 응답의 모든 값을 사용해야 합니다.
통계
| Insight Logic | 유형 | 제목 (문자열) | 메시지 |
|---|---|---|---|
| 해당 체크박스가 선택된 경우 생성합니다. | 항목 | Check Point 위협 평판 | API 응답의 분류: 값 신뢰도: API 응답의 값 API 응답의 심각도 값 API 응답의 위험 값 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
작업은 표현식 빌더와 호환되는 JSON 결과를 반환해야 합니다.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 제공된 항목 중 하나 이상이 보강된 경우: '항목({0})을 보강했습니다.'.format([entity.Identifier]) 제공된 모든 항목을 보강할 수 없는 경우: '보강된 항목이 없습니다.' Check Point Reputation Service에서 데이터를 찾아 특정 항목을 보강할 수 없는 경우: '작업이 Check Point Reputation Service 정보를 찾아 다음 항목({0})을 보강할 수 없습니다.'.format([entity.identifier]) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 중대한 오류가 보고되는 경우: 'Check Point Reputation Service에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
| 표 | 테이블 이름: {0}.format(entity.Identifier)에 대한 Check Point 위협 평판 결과 표 열:
|
항목 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.