Cortafuegos de Check Point
Versión de integración: 10.0
Configurar la integración de Check Point Firewall en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Dirección del servidor | Cadena | xx.xx.xx.xx:443 | Sí | La dirección IP del servidor de Check Point Firewall. |
| Nombre de usuario | Cadena | N/A | Sí | La dirección de correo del usuario que se debe usar para conectarse al cortafuegos de Check Point. |
| Dominio | Cadena | N/A | No | El dominio del usuario. Por ejemplo, si la dirección de correo del usuario es user@example.com, el dominio será example.com. |
| Contraseña | Contraseña | N/A | Sí | La contraseña del usuario correspondiente. |
| Nombre de la política | Cadena | estándar | Sí | Nombre de la política. |
| Verificar SSL | Casilla | Desmarcada | No | Usa esta casilla si tu conexión de Check Point Firewall requiere una verificación SSL. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Añadir una regla SAM
Descripción
Añade una regla de SAM (monitorización de actividad sospechosa) para el cortafuegos de Check Point. Consulta la documentación de la sección Criterios del comando fw_sam de Check Point para ver las combinaciones de IP, máscara de red, puerto y protocolo disponibles.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Pasarela de seguridad en la que crear la regla SAM | Cadena | N/A | Sí | Especifica el nombre de la pasarela de seguridad para la que quieres crear una regla. |
| IP de origen | Cadena | N/A | No | Especifica la IP de origen que se va a añadir a la regla. |
| Máscara de red de origen | Cadena | N/A | No | Especifica la máscara de red de origen que se va a añadir a la regla. |
| IP de destino | Cadena | N/A | No | Especifica la IP de destino que se va a añadir a la regla. |
| Máscara de red de destino | Cadena | N/A | No | Especifica la máscara de red de destino que se va a añadir a la regla. |
| Puerto | Entero | N/A | No | Especifica el número de puerto que se va a añadir a la regla (por ejemplo, 5005). |
| Protocolo | Cadena | N/A | No | Especifica el nombre del protocolo que se va a añadir a la regla (por ejemplo, TCP). |
| Caducidad | Segundos | N/A | No | Especifica durante cuántos segundos debe estar activa la regla SAM recién añadida (por ejemplo, 4). Si no se especifica nada, la regla nunca caducará. |
| Acción de las conexiones de correlación | DDL | Soltar | Sí | Especifica la acción que se debe ejecutar en las conexiones coincidentes. |
| Cómo monitorizar las conexiones coincidentes | DDL | Registro | Sí | Especifica cómo quieres monitorizar las conexiones coincidentes. |
| Cerrar conexiones | Casilla | Marcada | No | Especifica si se deben cerrar las conexiones coincidentes. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tasks": [
{
"uid": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"name": "gaia80.10 - CW Test fw sam",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "4ca124e5-c9ce-45cf-8275-4b119e535d3e",
"task-name": "gaia80.10 - CW Test fw sam",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1594959450832,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-update-time": {
"posix": 1594959453264,
"iso-8601": "2020-07-17T07:17+0300"
},
"suppressed": false,
"task-details": [
{
"uid": "94108666-b9d6-4165-80ab-13078c03395b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "sam: request for 'Inhibit Drop Close src ip 8.9.10.11 on All' acknowledged, sam: gaia80.10 (0/1) successfully completed 'Inhibit Drop Close src ip 8.9.10.11 on All' processing, ...",
"taskNotification": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 552194328,
"responseMessage": "",
"responseError": "c2FtOiByZXF1ZXN0IGZvciAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBhY2tub3dsZWRnZWQKc2FtOiBnYWlhODAuMTAgKDAvMSkgc3VjY2Vzc2Z1bGx5IGNvbXBsZXRlZCAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBwcm9jZXNzaW5nCnNhbTogcmVxdWVzdCBmb3IgJ0luaGliaXQgRHJvcCBDbG9zZSBzcmMgaXAgOC45LjEwLjExIG9uIEFsbCcgZG9uZQo=",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453332,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959451003,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453299,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959450933,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"read-only": false
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Quitar regla de SAM
Descripción
Elimina una regla de SAM (monitorización de actividad sospechosa) de Check Point Firewall.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Pasarela de seguridad | Cadena | N/A | Sí | Especifica el nombre de la pasarela de seguridad desde la que se va a eliminar la regla SAM. |
| IP de origen | Cadena | N/A | No | Especifica la IP de origen que se va a añadir a la regla. |
| Máscara de red de origen | Cadena | N/A | No | Especifica la máscara de red de origen que se va a añadir a la regla. |
| IP de destino | Cadena | N/A | No | Especifica la IP de destino que se va a añadir a la regla. |
| Máscara de red de destino | Cadena | N/A | No | Especifica la máscara de red de destino que se va a añadir a la regla. |
| Puerto | Entero | N/A | No | Especifica el número de puerto que se va a añadir a la regla (por ejemplo, 5005). |
| Protocolo | Cadena | N/A | No | Especifica el nombre del protocolo que se va a añadir a la regla (por ejemplo, TCP). |
| Acción de las conexiones de correlación | DDL | Soltar Valores posibles: Soltar Rechazar Notificar |
Sí | Especifica la acción que se debe ejecutar en las conexiones coincidentes. |
| Cómo monitorizar las conexiones coincidentes | DDL | Registro Valores posibles: Sin registro Registro Alerta |
Sí | Especifica cómo quieres monitorizar las conexiones coincidentes. |
| Cerrar conexiones | Casilla | Marcada | No | Especifica si se deben cerrar las conexiones coincidentes. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tasks": [
{
"uid": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"name": "gaia80.10 - Siemplify-generated-script",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "77318892-48aa-4a38-ad94-b9322695c2c8",
"task-name": "gaia80.10 - Siemplify-generated-script",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1608120786139,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-update-time": {
"posix": 1608120788465,
"iso-8601": "2020-12-16T14:13+0200"
},
"suppressed": false,
"task-details": [
{
"uid": "c40132ac-547f-4fbf-b4bb-5c7efb7ed76b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "",
"taskNotification": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 194990168,
"responseMessage": "",
"responseError": "",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788509,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786199,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788491,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786184,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"read-only": false
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si status="succeeded" (is_success = true): "Se ha eliminado correctamente la regla SAM del cortafuegos de Check Point con el comando: {0}".format(command) Si el código de estado no es 200 ni 401 en la primera respuesta(is_success=false): "No se ha podido eliminar la regla SAM con el comando "{0}" en Check Point Firewall. Motivo: {1}".format(command,message) Si en la segunda respuesta statusCode == failed y responseError en base64 no está disponible (is_success=false): "No se ha podido eliminar la regla SAM con el comando "{0}" en Check Point FireWall." Si en la segunda respuesta statusCode == failed y base64 responseError está disponible (is_success=false): "No se ha podido eliminar la regla SAM con el comando "{0}" en Check Point FireWall. Motivo: {1}".format(command, base64 decoded responseError) Si timeout(is_success=false): "Se ha agotado el tiempo de espera de la acción mientras se esperaba a que se eliminara la regla SAM. Comando usado: {0}".format(command) Mensaje asíncrono: esperando a que finalice una tarea para quitar la regla SAM. La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Update Alert Status". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir IP al grupo
Descripción
Actualiza el grupo de lista negra de SecOps de Google con nuevas direcciones IP.
Parámetros
| Parámetros | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del grupo de la lista negra | Cadena | N/A | Sí | Nombre del grupo. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_blocked | Verdadero/Falso | is_blocked:False |
Añadir URL al grupo
Descripción
Actualiza el grupo con la URL.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del grupo de URLs | Cadena | N/A | Sí | Nombre del grupo. |
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_blocked | Verdadero/Falso | is_blocked:False |
Listar capas de un sitio
Descripción
Recupera todas las capas.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
List Policies on Site
Descripción
Recupera todas las políticas.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Quitar IP del grupo
Descripción
Actualiza el grupo de lista negra de Google SecOps para que NO incluya las direcciones IP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del grupo de la lista negra | Cadena | N/A | Sí | Nombre del grupo del que se va a quitar el objeto de intervalo de direcciones. |
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_unblocked | Verdadero/Falso | is_unblocked:False |
Quitar URL del grupo
Descripción
Actualiza el grupo para que NO incluya la URL.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del grupo de URLs | Cadena | N/A | Sí | Nombre del grupo del que se va a quitar el objeto URL. |
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_unblocked | Verdadero/Falso | is_unblocked:False |
Ejecutar secuencia de comandos
Descripción
Ejecuta la secuencia de comandos arbitraria con la llamada a la API run-script de Check Point.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Texto de la secuencia de comandos | Cadena | N/A | Sí | Secuencia de comandos que se va a ejecutar. Por ejemplo, el comando fw sam: fw sam -t 600 -I src 8.9.10.12 |
| Objetivo | Cadena | N/A | Sí | Especifica el dispositivo Check Point en el que se va a ejecutar la secuencia de comandos. Por ejemplo, gaia80.10. El parámetro acepta varios valores en una lista separada por comas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tasks": [{
"task-id": "867fef24-647e-40ea-91ef-9b5f8ae83d07",
"status": "succeeded",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
},
"start-time": {
"posix": 1597737649683,
"iso-8601": "2020-08-18T11:00+0300"
},
"uid": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"tags": [],
"last-update-time": {
"posix": 1597737651783,
"iso-8601": "2020-08-18T11:00+0300"
},
"suppressed": false,
"progress-percentage": 100,
"comments": "Completed",
"task-name": "gaia80.10 - Siemplify-generated-script",
"color": "black",
"meta-info": {
"creation-time": {
"posix": 1597737649720,
"iso-8601": "2020-08-18T11:00+0300"
},
"validation-state": "ok",
"creator": "admin",
"lock": "unlocked",
"last-modifier": "admin",
"last-modify-time": {
"posix": 1597737651810,
"iso-8601": "2020-08-18T11:00+0300"
}},
"task-details": [{
"display-name": "",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
}, "gatewayName": "",
"uid": "b4a71da3-60fc-4785-a379-3bb9f7a0ff2f",
"icon": "General/globalsNa",
"tags": [],
"color": "black",
"comments": "",
"name": null,
"responseError": "",
"taskNotification": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"responseMessage": "",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"transactionId": 931053033,
"meta-info": {
"creation-time": {
"posix": 1597737649735,
"iso-8601": "2020-08-18T11:00+0300"
},
"last-modify-time": {
"posix": 1597737651840,
"iso-8601": "2020-08-18T11:00+0300"
},
"creator": "admin",
"validation-state": "ok",
"last-modifier": "admin"
},
"customFields": null,
"statusDescription": "",
"statusCode": "succeeded"
}],
"icon": "General/globalsNa",
"type": "CdmTaskNotification",
"read-only": false,
"name": "gaia80.10 - Siemplify-generated-script"
}]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Mostrar registros
Descripción
Recupera los registros de Check Point FireWall en función del filtro.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Filtro de consulta | Cadena | N/A | No | Especifica el filtro de consulta que se usará para devolver los registros. |
| Periodo | DDL | Última hora Valores posibles: Hoy Ayer Última hora Últimas 24 horas Últimos 30 días Esta semana Este mes Desde siempre |
Sí | Especifica el periodo que se debe usar para obtener los registros. |
| Tipo de registro | DDL | Registro Posible Valores: Registro Auditoría |
Sí | Especifica qué tipo de registros se deben devolver. |
| Número máximo de registros que se devolverán | Entero | 50 | No | Especifica cuántos registros quieres que se devuelvan. El máximo es 100. Se trata de una limitación de Check Point FireWall. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"logs": [
{
"subject": "Object Manipulation",
"confidence_level": "N/A",
"description": "Engine mode: changed from 'by_policy' to 'detect_only' ",
"type": "System Alert",
"orig_log_server_attr": [
{
"isCHKPObject": "true",
"uuid": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"resolved": "gaia80.10"
}
],
"cb_log_type": "Security Alert",
"user_field": "admin",
"administrator": "admin",
"index_time": "2020-10-14T21:35:45Z",
"d_name": "Check that each Gateway's Anti-Bot configuration is activated according to the policy",
"violation_date": "3/6/2020 15:03",
"id": "ac1eca60-81b3-d219-5f87-6f2f000105e8",
"rounded_received_bytes": "0",
"cb_title": "Best Practice AB104 status decreased. New Status: Medium",
"cb_old_status": "Secure",
"lastUpdateSeqNum": "1513",
"severity": "Critical",
"product_family": "Network",
"product": "Compliance Blade",
"sequencenum": "1513",
"rounded_sent_bytes": "0",
"cb_scan_id": "Thu Oct 15 00:35:39 2020",
"orig_log_server": "172.30.202.96",
"cb_changed_objects": "ABSettings_8F36A0DE-E0D5-6347-AE51-6FB22D573F04",
"additional_info": "Security Alert: Best Practice status was reduced",
"cb_status": "Medium",
"orig": "gaia80.10",
"marker": "@A@@B@1602709200@C@1513",
"rounded_bytes": "0",
"orig_log_server_ip": "172.30.202.96",
"stored": "true",
"calc_desc": "Best Practice AB104 status decreased. New Status: Medium",
"logid": "134283267",
"time": "2020-10-14T21:35:43Z",
"cb_recommendation": "Each Gateway should be configured to work according to the profiles defined in the Anti-Bot policy. The Activation Mode should be set to 'According to Policy' and not 'Detect Only'.",
"best_practice_id": "AB104",
"lastUpdateTime": "1602711343000"
}
],
"logs-count": 1,
"query-id": "admin_6e9fce3a-4cd7-48b9-a3e7-14b701fb204c"
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true): Imprime "Successfully retrieved logs from Check Point FireWall!" ("Se han recuperado los registros de Check Point FireWall correctamente").
Imprime "Action wasn't able to retrieve logs from Check Point FireWall! Motivo: {0}. Código: {1}".format(message, code) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro problema: Imprime "Error al ejecutar la acción "Mostrar registros". Motivo: {0}''.format(error.Stacktrace) |
General |
Tabla del panel de casos Tipo de registro = Registro |
Nombre del panel de casos: resultados Columnas de la pared de casos: ID (asignado como id) Título (asignado como cb_title) Gravedad (asignada como gravedad) Asunto (asignado como asunto) Hora de indexación (asignada como index_time) |
General |
Tabla del panel de casos Tipo de registro = Auditoría |
Nombre del panel de casos: resultados Columnas de la pared de casos: ID (asignado como id) Título (asignado como calc_desc) Gravedad (asignada como gravedad) Asunto (asignado como asunto) Hora (asignada como hora) |
General |
Descargar archivo adjunto de registro
Descripción
Descarga los archivos adjuntos de registro de Check Point FireWall.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de registro | Cadena | N/A | Sí | Especifica la lista separada por comas de los IDs de registro de los que quieras descargar los archivos adjuntos. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta absoluta de la carpeta en la que la acción debe almacenar los archivos adjuntos. |
| Crear archivo adjunto del panel de casos | Casilla | N/A | No | Si está habilitada, la acción creará un archivo adjunto en el muro del caso por cada archivo descargado correctamente. Nota: El archivo adjunto solo se creará si su tamaño es inferior a 3 MB. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"tasks": [
{
"task-id": "01234567-89ab-cdef-8273-cee81a82701c",
"task-name": "Packet Capture operation",
"status": "succeeded",
"progress-percentage": 100,
"suppressed": false,
"task-details": [
{
"attachments": [
{
"base64-data": "...",
"file-name": "Anti-Virus-blob-time1602759307.id5a5b7500.blade05.cap"
}
]
}
]
"absolute_path": "{folder_path}"
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si "status" == "succeeded" en al menos un registro (is_success = true): Imprime "Se han recuperado correctamente los archivos adjuntos de Check Point FireWall de los siguientes registros:{0}".format(IDs de registro)
Imprime "Action wasn't able to retrieve attachments in Check Point FireWall from the following logs:{0}".format(log ids) Si "status" != "succeeded" en todos los registros (is_success = true): Imprimir "No se ha descargado ningún archivo adjunto" La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Descargar archivo de registro". Motivo: {0}''.format(error.Stacktrace) |
General |
| Adjunto del panel de casos | Si no alcanza el límite de tamaño. Por cada descarga de adjunto que se haya completado correctamente. "{0}".format(task-details/attachment/file-name) |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.