Check Point SandBlast

Versão de integração: 5.0

Configure a integração do Check Point SandBlast no Google Security Operations

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da instância String N/A Não Nome da instância para a qual pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Raiz da API String https://<service_address>/tecloud/ api/<version>/file Sim Especifique o URL de raiz da API Check Point SandBlast.
Chave de API Palavra-passe N/A Sim Especifique a chave da API do Check Point SandBlast.
Validar SSL Caixa de verificação Marcado Não Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Check Point SandBlast é válido.
Executar remotamente Caixa de verificação Desmarcado Não Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).

Ações

Tchim-tchim

Descrição

Teste a conetividade ao Check Point SandBlast com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

Exemplos de utilização

Teste a conetividade ao sistema de destino com parâmetros configurados para a integração a partir do servidor do Google SecOps.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success:False
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação estabelecida com êxito ao servidor Check Point SandBlast com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Não foi possível estabelecer ligação ao servidor SandBlast! Error is {}".format(e)

 Geral

Consulta

Descrição

Receba informações de reputação de ameaças sobre entidades FILEHASH.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Limite String 0 Sim Marcar a entidade como suspeita se a gravidade for igual ou superior ao limite indicado.

Executar em

Esta ação é executada na entidade Filehash.

Resultados da ação

Enriquecimento de entidades

As entidades são marcadas como suspeitas se:

  1. O veredito combinado da emulação de ameaças é igual a malicioso.
  2. A gravidade do AV é superior ou igual ao limite (no JSON: av.malware_info.severity).
Nome do campo de enriquecimento Lógica
SandBlast_av_block Devolve se existir em JSON
SandBlast_av_signature_name Devolve se existir em JSON
SandBlast_av_severity Devolve se existir em JSON
SandBlast_av_confidence Devolve se existir em JSON
SandBlast_te_combined_verdict Devolve se existir em JSON
SandBlast_te_severity Devolve se existir em JSON
SandBlast_te_confidence Devolve se existir em JSON
Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
[
    {
        "Entity": "8a2f57269b2f47b4e8f2e122e424754b",
        "EntityResult": {
        "status": {
            "code": 1006,
            "label": "PARTIALLY_FOUND",
            "message": "The request cannot be fully answered at this time."
        },
        "md5": "8a2f57269b2f47b4e8f2e122e424754b",
        "file_type": "",
        "file_name": "untitled.doc",
        "features": ["te", "av"],
        "te": {
            "trust": 0,
            "images": [{
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                "revision": 1
            }, {
                "report": {
                    "verdict": "unknown"
                },
                "status": "not_found",
                "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                "revision": 1
            }],
            "score": -2147483648,
            "status": {
                "code": 1004, "label": "NOT_FOUND",
                "message": "Could not find the requested file. Please upload it."
            }},
        "av": {
            "malware_info": {
                "signature_name": "",
                "malware_family": 0,
                "malware_type": 0,
                "severity": 0,
                "confidence": 0
            },
            "status": {
                "code": 1001,
                "label": "FOUND",
                "message": "The request has been fully answered."
            }
        }
    }
}
]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: "Encontrei com êxito informações sobre as seguintes entidades:…"

Se for parcialmente bem-sucedido: "Foram encontradas informações parciais para as seguintes entidades:..."

Se não forem encontradas entidades: "Não foram encontradas informações para as seguintes entidades:…"

Se não for possível encontrar entidades: "Não foi possível obter informações para as seguintes entidades:…"

Se não for bem-sucedido: "Nenhuma entidade foi enriquecida."

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade:

"Ocorreu um erro ao executar a ação. Error: {}".format(e)

 Geral

Carregar ficheiro

Descrição

Carregue ficheiros para análise.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
caminho do ficheiro String N/A Sim caminho para o ficheiro a carregar
nome do ficheiro String N/A Sim Nome a apresentar do ficheiro carregado
Ative a funcionalidade de emulação de ameaças Caixa de verificação Marcado Não Se estiver ativada, a funcionalidade de emulação de ameaças é ativada para o carregamento. Por predefinição, se não forem selecionadas funcionalidades, é usada a emulação de ameaças.
Ative a funcionalidade antivírus Caixa de verificação Desmarcado Não Se estiver ativada, a funcionalidade antivírus é ativada para o carregamento. Por predefinição, se não forem selecionadas funcionalidades, é usada a emulação de ameaças.
Ative a funcionalidade de extração de ameaças Caixa de verificação Desmarcado Não Se estiver ativada, a funcionalidade de extração de ameaças é ativada para o carregamento. Por predefinição, se não forem selecionadas funcionalidades, é usada a emulação de ameaças.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
[
    {
        "Entity": "/tmp/test.txt",
        "EntityResult": {
            "status": {
                "code": 1002,
                "label": "UPLOAD_SUCCESS",
                "message": "The file was uploaded successfully."
            },
            "sha1": "6caf005c3183d9b5b8dfa5b60f24eb1ebbfab876",
            "md5": "c12c504bbe0f7be6ca87d4933c43fac1",
            "sha256": "e757f729d149e047705ad6adfbcdd28b0ad28899385712ee0a58261bcb03ac36",
            "file_type": "",
            "file_name": "2020092414.log",
            "features": ["te"],
            "te": {
                "trust": 0,
                "images": [{
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "e50e99f3-5963-4573-af9e-e3f4750b55e2",
                    "revision": 1
                }, {
                    "report": {
                        "verdict": "unknown"
                    },
                    "status": "not_found",
                    "id": "5e5de275-a103-4f67-b55b-47532918fa59",
                    "revision": 1
                }],
                "score": -2147483648,
                "status": {
                    "code": 1002,
                    "label": "UPLOAD_SUCCESS",
                    "message": "The file was uploaded successfully."
                }
            }
        }
    }
]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: "Foram carregados com êxito os seguintes ficheiros: {}".format(".join([file_path for file_path in successful_paths])

Caso contrário: "Nenhum ficheiro foi carregado."

Se falhar: "Ocorreu um erro nos seguintes ficheiros: {}. Verifique os registos para obter mais informações.".format(".join([file_path for file_path in failed_paths])"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade:

"Ocorreu um erro ao executar a ação. Error: {}".format(e)

 Geral

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.