Check Point 威脅信譽
整合版本:5.0
應用實例
威脅情報服務。
在 Google Security Operations 中設定 Check Point 威脅信譽整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | rep.checkpoint.com | 是 | 指定 Check Point Reputation Service API 根網址。 |
| API 金鑰 | 密碼 | 不適用 | 是 | 指定 Check Point Reputation Service API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果啟用,系統會驗證連線至 Check Point Reputation Service 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Check Point Reputation Service 的連線。
參數
不適用
應對手冊用途示例
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,可做為手動動作執行,但不會用於應對手冊。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully connected to the Check Point Reputation Service with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Check Point Reputation Service!) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace) |
一般 |
取得檔案雜湊信譽
說明
根據 Check Point Reputation Service 的資訊,擴充 Google SecOps 檔案雜湊實體。動作接受 md5、sha1 和 sha256 格式的檔案雜湊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 整數 | 0 | 是 | 如果實體的風險值高於指定門檻,請將實體標示為可疑。 |
| 建立洞察資料? | 核取方塊 | 已取消勾選 | 否 | 指定是否應根據動作結果建立 Google SecOps Insight。 |
應對手冊用途示例
使用 Check Point Reputation Service 的資訊擴充 Google SecOps 檔案雜湊實體:在處理可能的惡意軟體感染警報時,使用者可從 Check Point Reputation Service 取得與警報相關的特定檔案雜湊擴充資料,以利調查。
執行時間
這項操作會對 FILEHASH (md5/sha1/sha256) 實體執行。
動作執行結果
實體擴充
這項動作應使用 API 回應中的所有值來豐富實體,但回應的「狀態」節點除外。
深入分析
| Insight Logic | 類型 | 標題 (字串) | 訊息 |
|---|---|---|---|
| 如果勾選了對應的核取方塊,請建立。 | 實體 | Check Point 威脅信譽 | 分類:API 回應中的值 信心:API 回應中的值 嚴重程度:API 回應中的值 API 回應中的「風險」值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
動作應傳回與運算式產生器相容的 JSON 結果。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且至少有一個提供的實體經過擴充:「Successfully enriched entities: {0}」。format([entity.Identifier])。 如果無法擴充所有提供的實體:「沒有任何實體經過擴充。」 如果無法在 Check Point Reputation Service 中找到資料來擴充特定實體:「Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}」。format([entity.identifier]) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 表格名稱:{0}.format(entity.Identifier) 的 Check Point Reputation Service 結果 表格欄:
|
實體 |
取得 IP 信譽
說明
根據 Check Point Reputation Service 的資訊,擴充 Google SecOps IP 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 整數 | 0 | 是 | 如果實體的風險值高於指定門檻,請將實體標示為可疑。 |
| 建立洞察資料? | 核取方塊 | 已取消勾選 | 否 | 指定是否應根據動作結果建立 Google SecOps Insight。 |
應對手冊用途示例
透過 Check Point Threat Reputation 服務的資訊,擴充 Google SecOps IP 實體:在處理可能的惡意軟體感染警報時,使用者可取得 Check Point Threat Reputation 服務提供的擴充資料,瞭解與相關警報相關聯的特定 IP,以利調查。
執行時間
這項操作會對 IP 實體執行。
動作執行結果
實體擴充
這項動作應使用 API 回應中的所有值來豐富實體,但回應的「狀態」節點除外。
深入分析
| Insight Logic | 類型 | 標題 (字串) | 訊息 |
|---|---|---|---|
| 如果勾選了對應的核取方塊,請建立。 | 實體 | Check Point 威脅信譽 | 分類:API 回應中的值 信心:API 回應中的值 嚴重程度:API 回應中的值 API 回應中的「風險」值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
動作應傳回與運算式產生器相容的 JSON 結果。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且至少有一個提供的實體經過擴充:「Successfully enriched entities: {0}」。format([entity.Identifier])。 如果無法擴充所有提供的實體:「沒有任何實體經過擴充。」 如果無法在 Check Point Reputation Service 中找到資料來擴充特定實體:「Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}」。format([entity.identifier]) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤或連線中斷: print "Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 資料表名稱:「{0}」的 Check Point 威脅信譽結果。format(entity.Identifier) 表格欄:
|
實體 |
取得主機聲譽
說明
根據 Check Point Reputation Service 的資訊,擴充 Google SecOps 主機實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 門檻 | 整數 | 0 | 是 | 如果實體的風險值高於指定門檻,請將實體標示為可疑。 |
| 建立洞察資料? | 核取方塊 | 已取消勾選 | 否 | 指定是否應根據動作結果建立 Google SecOps Insight。 |
應對手冊用途示例
使用 Check Point Threat Reputation 服務的資訊,擴充 Google SecOps 主機實體:在處理可能的惡意軟體感染警報時,使用者可從 Check Point Threat Reputation 服務取得特定主機的擴充資料,這些主機與相關警報有關,可供調查之用。
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
這項動作應使用 API 回應中的所有值來豐富實體,但回應的「狀態」節點除外。
深入分析
| Insight Logic | 類型 | 標題 (字串) | 訊息 |
|---|---|---|---|
| 如果勾選了對應的核取方塊,請建立。 | 實體 | Check Point 威脅信譽 | 分類:API 回應中的值 信心:API 回應中的值 嚴重程度:API 回應中的值 API 回應中的「風險」值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
動作應傳回與運算式產生器相容的 JSON 結果。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功且至少有一個提供的實體經過擴充:「Successfully enriched entities: {0}」。format([entity.Identifier])。 如果無法擴充所有提供的實體:「沒有任何實體經過擴充。」 如果無法在 Check Point Reputation Service 中找到資料來擴充特定實體:「Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}」。format([entity.identifier]) 動作應會失敗並停止執行應對手冊: 如果系統回報 重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Check Point Reputation Service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 資料表名稱:「{0}」的 Check Point 威脅信譽結果。format(entity.Identifier) 表格欄:
|
實體 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。