Check Point Threat Reputation
統合バージョン: 5.0
ユースケース
脅威インテリジェンス サービス。
Google Security Operations で Check Point Threat Reputation 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | rep.checkpoint.com | はい | Check Point Reputation Service API のルート URL を指定します。 |
| API キー | パスワード | なし | はい | Check Point Reputation Service API キーを指定します。 |
| SSL を確認する | チェックボックス | オフ | いいえ | 有効になっている場合は、Check Point Reputation Service サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Check Point Reputation Service への接続性をテストします。
パラメータ
なし
プレイブックのユースケースの例
このアクションは、Google Security Operations Marketplace タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して Check Point Reputation Service に正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「Failed to connect to the Check Point Reputation Service! エラーは {0}」.format(exception.stacktrace) |
全般 |
ファイル ハッシュの評判を取得する
説明
Check Point Reputation Service の情報に基づいて、Google SecOps ファイル ハッシュ エンティティを拡充します。このアクションでは、md5、sha1、sha256 形式のファイル ハッシュを受け入れます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| しきい値 | Integer | 0 | はい | エンティティの返されたリスク値が指定されたしきい値を超えている場合は、エンティティを不審としてマークします。 |
| インサイトを作成しますか? | チェックボックス | オフ | いいえ | アクションの結果に基づいて Google SecOps 分析情報を生成するかどうかを指定します。 |
プレイブックのユースケースの例
Check Point Reputation Service の情報で Google SecOps のファイルハッシュ エンティティを拡充する: マルウェア感染の可能性のあるアラートの処理中に、調査のために、問題のアラートに関連付けられている特定のファイルハッシュに関する Check Point Reputation Service の拡充データを利用できます。
実行
このアクションは FILEHASH(md5/sha1/sha256)エンティティに対して実行されます。
アクションの結果
エンティティ拡充
アクションでは、レスポンスの「status」ノードを除く、エンティティの拡充のための API レスポンスのすべての値を使用する必要があります。
分析情報
| Insight Logic | タイプ | タイトル(文字列) | メッセージ |
|---|---|---|---|
| 該当するチェックボックスがオンになっている場合は作成します。 | エンティティ | Check Point Threat Reputation | API レスポンスの 分類: 値 API レスポンスの Confidence: 値 API レスポンスの 重大度: 値 API レスポンスの Risk: 値 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションは、式ビルダーと互換性のある JSON 結果を返します。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合: 「エンティティが正常に拡充されました: {0}」.format([entity.Identifier])。 指定されたエンティティをすべて拡充できなかった場合: 「拡充されたエンティティはありません。」 Check Point Reputation Service で特定のエンティティを拡充するデータが見つからない場合: 「アクションは、次のエンティティを拡充するために一致する Check Point Reputation Service の情報を見つけることができませんでした: {0}」.format([entity.identifier]) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「Failed to connect to the Check Point Reputation Service! エラーは {0}」.format(exception.stacktrace) |
一般 |
| テーブル | テーブル名: {0}.format(entity.Identifier) の Check Point Reputation Service の結果 テーブル列:
|
エンティティ |
IP レピュテーションを取得する
説明
Check Point Reputation Service の情報に基づいて、Google SecOps IP エンティティを拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| しきい値 | Integer | 0 | はい | エンティティの返されたリスク値が指定されたしきい値を超えている場合は、エンティティを不審としてマークします。 |
| インサイトを作成しますか? | チェックボックス | オフ | いいえ | アクションの結果に基づいて Google SecOps 分析情報を生成するかどうかを指定します。 |
プレイブックのユースケースの例
Check Point Threat Reputation サービスからの情報で Google SecOps IP エンティティを拡充する: マルウェア感染の可能性のあるアラートの処理中に、ユーザーは、調査のために、問題のアラートに関連付けられている特定の IP に関する Check Point Threat Reputation サービスからの拡充データを利用できます。
実行
このアクションは IP エンティティに対して実行されます。
アクションの結果
エンティティ拡充
アクションでは、レスポンスの「status」ノードを除く、エンティティの拡充のための API レスポンスのすべての値を使用する必要があります。
分析情報
| Insight Logic | タイプ | タイトル(文字列) | メッセージ |
|---|---|---|---|
| 該当するチェックボックスがオンになっている場合は作成します。 | エンティティ | Check Point Threat Reputation | API レスポンスの 分類: 値 API レスポンスの Confidence: 値 API レスポンスの 重大度: 値 API レスポンスの Risk: 値 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションは、式ビルダーと互換性のある JSON 結果を返します。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合: 「エンティティが正常に拡充されました: {0}」.format([entity.Identifier])。 指定されたエンティティをすべて拡充できなかった場合: 「拡充されたエンティティはありません。」 Check Point Reputation Service で特定のエンティティを拡充するデータが見つからない場合: 「アクションは、次のエンティティを拡充するために一致する Check Point Reputation Service の情報を見つけることができませんでした: {0}」.format([entity.identifier]) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「Check Point Reputation Service への接続に失敗しました」と出力します。エラーは {0}」.format(exception.stacktrace) |
全般 |
| テーブル | テーブルの名前: {0}.format(entity.Identifier) の Check Point Threat Reputation の結果 テーブル列:
|
エンティティ |
ホストの評判を取得する
説明
Check Point Reputation Service の情報に基づいて、Google SecOps ホスト エンティティを拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| しきい値 | Integer | 0 | はい | エンティティの返されたリスク値が指定されたしきい値を超えている場合は、エンティティを不審としてマークします。 |
| インサイトを作成しますか? | チェックボックス | オフ | いいえ | アクションの結果に基づいて Google SecOps 分析情報を生成するかどうかを指定します。 |
プレイブックのユースケースの例
Check Point Threat Reputation サービスからの情報で Google SecOps ホスト エンティティを拡充する: マルウェア感染の可能性のあるアラートの処理中に、調査のために、問題のアラートに関連付けられている特定のホストに関する Check Point Threat Reputation サービスの拡充データを利用できます。
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
アクションでは、レスポンスの「status」ノードを除く、エンティティの拡充のための API レスポンスのすべての値を使用する必要があります。
分析情報
| Insight Logic | タイプ | タイトル(文字列) | メッセージ |
|---|---|---|---|
| 該当するチェックボックスがオンになっている場合は作成します。 | エンティティ | Check Point Threat Reputation | API レスポンスの 分類: 値 API レスポンスの Confidence: 値 API レスポンスの 重大度: 値 API レスポンスの Risk: 値 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
アクションは、式ビルダーと互換性のある JSON 結果を返します。
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合: 「エンティティが正常に拡充されました: {0}」.format([entity.Identifier])。 指定されたエンティティをすべて拡充できなかった場合: 「拡充されたエンティティはありません。」 Check Point Reputation Service で特定のエンティティを拡充するデータが見つからない場合: 「アクションは、次のエンティティを拡充するために一致する Check Point Reputation Service の情報を見つけることができませんでした: {0}」.format([entity.identifier]) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合: 「Failed to connect to the Check Point Reputation Service! エラーは {0}」.format(exception.stacktrace) |
一般 |
| テーブル | テーブルの名前: {0}.format(entity.Identifier) の Check Point Threat Reputation の結果 テーブル列:
|
エンティティ |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。