Esta página se ha traducido con Cloud Translation API.

Check Point SandBlast

Versión de integración: 5.0

Configurar la integración de Check Point SandBlast en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	N/A	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	N/A	No	Descripción de la instancia.
Raíz de la API	Cadena	https://<service_address>/tecloud/ api/<version>/file	Sí	Especifica la URL raíz de la API de Check Point SandBlast.
Clave de API	Contraseña	N/A	Sí	Especifica la clave de API de Check Point SandBlast.
Verificar SSL	Casilla	Marcada	No	Si está habilitada, verifica que el certificado SSL de la conexión al servidor Check Point SandBlast sea válido.
Ejecutar de forma remota	Casilla	Desmarcada	No	Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con Check Point SandBlast con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Casos prácticos

Prueba la conectividad con el sistema de destino con los parámetros configurados para la integración desde el servidor de Google SecOps.

Fecha de ejecución

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se establece correctamente: "Se ha conectado correctamente al servidor Check Point SandBlast con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servidor de SandBlast. Error: {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la conexión se establece correctamente: "Se ha conectado correctamente al servidor Check Point SandBlast con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servidor de SandBlast. Error: {}".format(e)

General

Consulta

Descripción

Obtiene información sobre la reputación de amenazas de las entidades FILEHASH.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Umbral	Cadena	0	Sí	Marca la entidad como sospechosa si la gravedad es igual o superior al umbral indicado.

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Enriquecimiento de entidades

Las entidades se marcan como sospechosas si:

El veredicto combinado de emulación de amenazas es malicioso.
La gravedad del antivirus es igual o superior al umbral (en el JSON: av.malware_info.severity).

Nombre del campo de enriquecimiento	Lógica
SandBlast_av_block	Devuelve si existe en JSON
SandBlast_av_signature_name	Devuelve si existe en JSON
SandBlast_av_severity	Devuelve si existe en JSON
SandBlast_av_confidence	Devuelve si existe en JSON
SandBlast_te_combined_verdict	Devuelve si existe en JSON
SandBlast_te_severity	Devuelve si existe en JSON
SandBlast_te_confidence	Devuelve si existe en JSON

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se encuentra: "Se ha encontrado información sobre las siguientes entidades..." Si se ha completado parcialmente: "Se ha encontrado información parcial de las siguientes entidades..." Si no se encuentran entidades: "No se ha encontrado información sobre las siguientes entidades:..." Si no se encuentran entidades: "No se ha podido obtener información de las siguientes entidades:..." Si no se ha completado correctamente: "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "Se ha producido un error al ejecutar la acción. Error: {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentra: "Se ha encontrado información sobre las siguientes entidades..."

Si se ha completado parcialmente: "Se ha encontrado información parcial de las siguientes entidades..."

Si no se encuentran entidades: "No se ha encontrado información sobre las siguientes entidades:..."

Si no se encuentran entidades: "No se ha podido obtener información de las siguientes entidades:..."

Si no se ha completado correctamente: "No se ha enriquecido ninguna entidad".

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

"Se ha producido un error al ejecutar la acción. Error: {}".format(e)

General

Subir archivo

Descripción

Sube archivos para analizarlos.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ruta de archivo	Cadena	N/A	Sí	Ruta al archivo que se va a subir
Nombre de archivo	Cadena	N/A	Sí	Nombre visible del archivo subido
Habilitar la función de emulación de amenazas	Casilla	Marcada	No	Si se habilita, la función de emulación de amenazas se habilitará para la subida. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.
Habilitar la función Antivirus	Casilla	Desmarcada	No	Si se habilita, la función antivirus se habilitará para la subida. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.
Habilitar la función de extracción de amenazas	Casilla	Desmarcada	No	Si se habilita, la función de extracción de amenazas se habilitará para la subida. De forma predeterminada, si no se selecciona ninguna función, se usará la emulación de amenazas.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente:: "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths]) De lo contrario, se mostrará el mensaje "No se ha subido ningún archivo". Si falla: "Se ha producido un error en los siguientes archivos: {}. Consulta los registros para obtener más información.".format(".join([file_path for file_path in failed_paths])" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "Se ha producido un error al ejecutar la acción. Error: {}".format(e)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente:: "Successfully uploaded the following files: {}".format(".join([file_path for file_path in successful_paths])

De lo contrario, se mostrará el mensaje "No se ha subido ningún archivo".

Si falla: "Se ha producido un error en los siguientes archivos: {}. Consulta los registros para obtener más información.".format(".join([file_path for file_path in failed_paths])"

La acción debería fallar y detener la ejecución de la guía:

Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:

"Se ha producido un error al ejecutar la acción. Error: {}".format(e)

General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.