Verifique a reputação de ameaças da Check Point
Versão de integração: 5.0
Exemplos de utilização
Serviço de informações sobre ameaças.
Configure a integração da reputação de ameaças da Check Point no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | rep.checkpoint.com | Sim | Especifique o URL raiz da API Check Point Reputation Service. |
| Chave de API | Palavra-passe | N/A | Sim | Especifique a chave da API do serviço de reputação da Check Point. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do serviço de reputação da Check Point é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao serviço de reputação da Check Point com parâmetros fornecidos na página de configuração da integração no separador Marketplace do Google Security Operations.
Parâmetros
N/A
Exemplos de utilização do manual de estratégias
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao serviço de reputação da Check Point estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Não foi possível estabelecer ligação ao serviço de reputação do Check Point! O erro é {0}".format(exception.stacktrace) |
Geral |
Obtenha a reputação do hash de ficheiros
Descrição
Enriqueça a entidade hash de ficheiro do Google SecOps com base nas informações do serviço de reputação da Check Point. A ação aceita hashes de ficheiros nos formatos md5, sha1 e sha256.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marcar a entidade como suspeita se o valor de risco devolvido para a entidade estiver acima de um determinado limite. |
| Criar estatística? | Caixa de verificação | Desmarcado | Não | Especifique se a estatística do Google SecOps deve ser criada com base no resultado da ação. |
Exemplos de utilização do manual de estratégias
Enriquecer a entidade filehash do Google SecOps com informações do Check Point Reputation Service: durante o processamento de um possível alerta de infeção por software malicioso, o utilizador pode beneficiar de dados de enriquecimento do Check Point Reputation Service sobre filehashes específicos que estão associados ao alerta em questão por motivos de investigação.
Executar em
Esta ação é executada na entidade FILEHASH (md5/sha1/sha256).
Resultados da ação
Enriquecimento de entidades
A ação deve usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Estatísticas
| Lógica de estatísticas | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de verificação respetiva tiver sido selecionada. | Entidade | Verifique a reputação de ameaças da Check Point | Classificação: valor da resposta da API Confiança: valor da resposta da API Valor Gravidade: da resposta da API Risco: valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
A ação deve devolver resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "2c527d980eb30daa789492283f9bf69e",
"reputation": {
"classification": "Riskware",
"severity": "Medium",
"confidence": "High"
},
"risk": 50,
"context": {
"malware_family": "Mimikatz",
"protection_name": "HackTool.Win32.Mimikatz.TC.lc",
"malware_types": [
"Riskware"
],
"metadata": {
"company_name": "gentilkiwi (Benjamin DELPY)",
"product_name": "mimikatz",
"copyright": "Copyright (c) 2007 - 2017 gentilkiwi (Benjamin DELPY)",
"original_name": "mimikatz.exe"
}
}
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida: "Successfully enriched entities: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida." Se não for possível encontrar dados no serviço de reputação da Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Não foi possível estabelecer ligação ao serviço de reputação do Check Point! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: resultados do serviço de reputação da Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Obtenha a reputação do IP
Descrição
Enriquecer a entidade de IP do Google SecOps com base nas informações do serviço de reputação da Check Point.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marcar a entidade como suspeita se o valor de risco devolvido para a entidade estiver acima de um determinado limite. |
| Criar estatística? | Caixa de verificação | Desmarcado | Não | Especifique se a estatística do Google SecOps deve ser criada com base no resultado da ação. |
Exemplos de utilização do manual de estratégias
Enriquecer a entidade de IP do Google SecOps com informações do serviço de reputação de ameaças da Check Point: durante o processamento de um possível alerta de infeção por software malicioso, o utilizador pode beneficiar de dados de enriquecimento do serviço de reputação de ameaças da Check Point sobre IPs específicos associados ao alerta em questão por motivos de investigação.
Executar em
Esta ação é executada na entidade de IP.
Resultados da ação
Enriquecimento de entidades
A ação deve usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Estatísticas
| Lógica de estatísticas | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de verificação respetiva tiver sido selecionada. | Entidade | Verifique a reputação de ameaças da Check Point | Classificação: valor da resposta da API Confiança: valor da resposta da API Valor Gravidade: da resposta da API Risco: valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
A ação deve devolver resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "8.8.8.8",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"location": {
"countryCode": "US",
"countryName": "United States",
"region": null,
"city": null,
"postalCode": null,
"latitude": 37.751007,
"longitude": -97.822,
"dma_code": 0,
"area_code": 0,
"metro_code": 0
},
"asn": 15169,
"as_owner": "Google LLC"
}
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida: "Successfully enriched entities: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida." Se não for possível encontrar dados no serviço de reputação da Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: print "Failed to connect to the Check Point Reputation Service! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: resultados da reputação de ameaças do Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Obtenha a reputação do anfitrião
Descrição
Enriqueça a entidade de anfitrião do Google SecOps com base nas informações do Check Point Reputation Service.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | 0 | Sim | Marcar a entidade como suspeita se o valor de risco devolvido para a entidade estiver acima de um determinado limite. |
| Criar estatística? | Caixa de verificação | Desmarcado | Não | Especifique se a estatística do Google SecOps deve ser criada com base no resultado da ação. |
Exemplos de utilização do manual de estratégias
Enriquecer a entidade anfitriã do Google SecOps com informações do serviço Check Point Threat Reputation: durante o processamento de um alerta de possível infeção por software malicioso, o utilizador pode beneficiar de dados de enriquecimento do serviço Check Point Threat Reputation sobre anfitriões específicos associados ao alerta em questão por motivos de investigação.
Executar em
Esta ação é executada na entidade Hostname.
Resultados da ação
Enriquecimento de entidades
A ação deve usar todos os valores da resposta da API para o enriquecimento de entidades, exceto o nó "status" da resposta.
Estatísticas
| Lógica de estatísticas | Tipo | Título (string) | Mensagem |
|---|---|---|---|
| Criar se a caixa de verificação respetiva tiver sido selecionada. | Entidade | Verifique a reputação de ameaças da Check Point | Classificação: valor da resposta da API Confiança: valor da resposta da API Valor Gravidade: da resposta da API Risco: valor da resposta da API |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
A ação deve devolver resultados JSON compatíveis com o criador de expressões.
{
"response": [
{
"status": {
"code": 2001,
"label": "SUCCESS",
"message": "Succeeded to generate reputation"
},
"resource": "ynet.co.il",
"reputation": {
"classification": "Benign",
"severity": "N/A",
"confidence": "High"
},
"risk": 0,
"context": {
"categories": [
{
"id": 24,
"name": "News / Media"
}
],
"indications": [
"The domain has good reputation",
"The domain is popular among websites with good reputation",
"The domain is popular in the world",
"The domain's Alexa rank is 1262",
"Check Point's URL Filtering category is News / Media",
"VirusTotal vendors detected benign URLs of the domain"
],
"vt_positives": 0,
"alexa_rank": 1262,
"safe": true,
"creation_date": "2001:01:07 00:00:00"
}
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas for enriquecida: "Successfully enriched entities: {0}".format([entity.Identifier]). Se não for possível enriquecer todas as entidades fornecidas: "Nenhuma entidade foi enriquecida." Se não for possível encontrar dados no serviço de reputação da Check Point para enriquecer entidades específicas: "Action was not able to find Check Point Reputation Service info to enrich the following entities: {0}".format([entity.identifier]) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Não foi possível estabelecer ligação ao serviço de reputação do Check Point! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: resultados da reputação de ameaças do Check Point para {0}.format(entity.Identifier) Colunas da tabela:
|
Entidade |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.