Check Point 방화벽
Integration 버전: 9.0
Chronicle SOAR에서 Check Point Firewall 통합 구성
Chronicle SOAR에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참조하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
서버 주소 | 문자열 | xx.xx.xx.xx:443 | 예 | Check Point 방화벽 서버의 IP 주소입니다. |
사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Check Point 방화벽에 연결하는 데 사용해야 하는 사용자의 이메일 주소입니다. |
도메인 | 문자열 | 해당 사항 없음 | No | 사용자의 도메인입니다. 예를 들어 사용자의 이메일 주소가 user@example.com 이면 도메인은 example.com 입니다. |
비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
정책 이름 | 문자열 | standard | 예 | 정책의 이름입니다. |
SSL 확인 | 체크박스 | 선택 해제 | No | Check Point Firewall 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다. |
원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
SAM 규칙 추가
설명
Check Point Firewall에 대한 SAM(의심스러운 활동 모니터링) 규칙을 추가합니다. 사용 가능한 IP, 넷마스크, 포트, 프로토콜 조합은 Check Point fw_sam 명령어 기준 섹션 문서를 참조하세요.
매개변수
매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
SAM 규칙을 만들 보안 게이트웨이 | 문자열 | 해당 사항 없음 | 예 | 규칙을 만들 보안 게이트웨이의 이름을 지정합니다. |
소스 IP | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 소스 IP를 지정합니다. |
소스 넷마스크 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 소스 넷마스크를 지정합니다. |
대상 IP | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 대상 IP를 지정합니다. |
대상 넷마스크 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 대상 넷마스크를 지정합니다. |
포트 | 정수 | 해당 사항 없음 | No | 규칙에 추가할 포트 번호를 지정합니다(예: 5005). |
프로토콜 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 프로토콜 이름을 지정합니다(예: TCP). |
만료 | 초 | 해당 사항 없음 | No | 새로 추가된 SAM 규칙이 활성화되어야 하는 시간(초)을 지정합니다(예: 4). 아무 것도 지정하지 않으면 규칙이 만료되지 않습니다. |
일치하는 연결에 대한 작업 | DDL | 드롭 | 예 | 일치하는 연결에 대해 실행해야 하는 작업을 지정합니다. |
일치하는 연결을 추적하는 방법 | DDL | 로그 | 예 | 일치하는 연결을 추적하는 방법을 지정합니다. |
연결 닫기 | 체크박스 | 선택 | No | 기존 일치하는 연결을 닫아야 하는지 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
JSON 결과
{
"tasks": [
{
"uid": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"name": "gaia80.10 - CW Test fw sam",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "4ca124e5-c9ce-45cf-8275-4b119e535d3e",
"task-name": "gaia80.10 - CW Test fw sam",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1594959450832,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-update-time": {
"posix": 1594959453264,
"iso-8601": "2020-07-17T07:17+0300"
},
"suppressed": false,
"task-details": [
{
"uid": "94108666-b9d6-4165-80ab-13078c03395b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "sam: request for 'Inhibit Drop Close src ip 8.9.10.11 on All' acknowledged, sam: gaia80.10 (0/1) successfully completed 'Inhibit Drop Close src ip 8.9.10.11 on All' processing, ...",
"taskNotification": "8163c4f0-a269-4628-9bb3-0ba597e9694c",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 552194328,
"responseMessage": "",
"responseError": "c2FtOiByZXF1ZXN0IGZvciAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBhY2tub3dsZWRnZWQKc2FtOiBnYWlhODAuMTAgKDAvMSkgc3VjY2Vzc2Z1bGx5IGNvbXBsZXRlZCAnSW5oaWJpdCBEcm9wIENsb3NlIHNyYyBpcCA4LjkuMTAuMTEgb24gQWxsJyBwcm9jZXNzaW5nCnNhbTogcmVxdWVzdCBmb3IgJ0luaGliaXQgRHJvcCBDbG9zZSBzcmMgaXAgOC45LjEwLjExIG9uIEFsbCcgZG9uZQo=",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453332,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959451003,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1594959453299,
"iso-8601": "2020-07-17T07:17+0300"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1594959450933,
"iso-8601": "2020-07-17T07:17+0300"
},
"creator": "admin"
},
"read-only": false
}
]
}
케이스 월
결과 유형 | 값 / 설명 | 유형 |
---|---|---|
출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
SAM 규칙 삭제
설명
Check Point Firewall에서 SAM(의심스러운 활동 모니터링) 규칙을 삭제합니다.
매개변수
매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
---|---|---|---|---|
보안 게이트웨이 | 문자열 | 해당 사항 없음 | 예 | SAM 규칙을 삭제할 보안 게이트웨이의 이름을 지정합니다. |
소스 IP | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 소스 IP를 지정합니다. |
소스 넷마스크 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 소스 넷마스크를 지정합니다. |
대상 IP | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 대상 IP를 지정합니다. |
대상 넷마스크 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 대상 넷마스크를 지정합니다. |
포트 | 정수 | 해당 사항 없음 | No | 규칙에 추가할 포트 번호를 지정합니다(예: 5005). |
프로토콜 | 문자열 | 해당 사항 없음 | No | 규칙에 추가할 프로토콜 이름을 지정합니다(예: TCP). |
일치하는 연결에 대한 작업 | DDL | 드롭 가능한 값은 다음과 같습니다. 드롭 거부 알림 |
예 | 일치하는 연결에 대해 실행해야 하는 작업을 지정합니다. |
일치하는 연결을 추적하는 방법 | DDL | 로그 가능한 값은 다음과 같습니다. 로그 없음 로그 알림 |
예 | 일치하는 연결을 추적하는 방법을 지정합니다. |
연결 닫기 | 체크박스 | 선택 | No | 기존 일치하는 연결을 닫아야 하는지 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
JSON 결과
{
"tasks": [
{
"uid": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"name": "gaia80.10 - Siemplify-generated-script",
"type": "CdmTaskNotification",
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"task-id": "77318892-48aa-4a38-ad94-b9322695c2c8",
"task-name": "gaia80.10 - Siemplify-generated-script",
"status": "succeeded",
"progress-percentage": 100,
"start-time": {
"posix": 1608120786139,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-update-time": {
"posix": 1608120788465,
"iso-8601": "2020-12-16T14:13+0200"
},
"suppressed": false,
"task-details": [
{
"uid": "c40132ac-547f-4fbf-b4bb-5c7efb7ed76b",
"name": null,
"domain": {
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User",
"domain-type": "domain"
},
"color": "black",
"statusCode": "succeeded",
"statusDescription": "",
"taskNotification": "6966d094-c7d9-4e46-a824-d4948be71b3e",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"gatewayName": "",
"transactionId": 194990168,
"responseMessage": "",
"responseError": "",
"meta-info": {
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788509,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786199,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"tags": [],
"icon": "General/globalsNa",
"comments": "",
"display-name": "",
"customFields": null
}
],
"comments": "Completed",
"color": "black",
"icon": "General/globalsNa",
"tags": [],
"meta-info": {
"lock": "unlocked",
"validation-state": "ok",
"last-modify-time": {
"posix": 1608120788491,
"iso-8601": "2020-12-16T14:13+0200"
},
"last-modifier": "admin",
"creation-time": {
"posix": 1608120786184,
"iso-8601": "2020-12-16T14:13+0200"
},
"creator": "admin"
},
"read-only": false
}
]
}
케이스 월
결과 유형 | 값 / 설명 | 유형 |
---|---|---|
출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태='성공'인 경우(is_success = true): "{0} 명령어를 사용하여 Check Point Firewall에서 SAM 규칙을 제거했습니다.".format(command) 첫 번째 응답에서 상태 코드 != 200,401인 경우(is_success=false): "Check Point FireWall의 작업에서 '{0}' 명령어를 사용하여 SAM 규칙을 제거하지 못했습니다. 이유: {1}".format(command,message) 두 번째 응답 statusCode == 실패 및 base64 responseError를 사용할 수 없는 경우(is_success=false): "Check Point FireWall의 작업에서 '{0}' 명령어를 사용하여 SAM 규칙을 제거하지 못했습니다. 두 번째 응답 statusCode == 실패 및 base64 responseError를 사용할 수 있는 경우(is_success=false): "Check Point FireWall의 작업에서 '{0}' 명령어를 사용하여 SAM 규칙을 제거하지 못했습니다. 이유: {1}".format(command, base64 decoded responseError) 제한 시간에 도달한 경우(is_success=false): "SAM 규칙 제거를 대기하는 동안 작업이 제한 시간에 도달했습니다. 사용 명령어: {0}".format(command) 비동기 메시지: 완료될 SAM 규칙을 삭제할 작업을 기다립니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: "'알림 상태 업데이트' 작업을 실행할 때 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)을 출력합니다. |
일반 |
그룹에 IP 추가
설명
새 IP 주소로 Chronicle SOAR 블랙리스트 그룹을 업데이트합니다.
매개변수
매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
블랙리스트 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 그룹 이름 |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_blocked | True/False | is_blocked:False |
그룹에 URL 추가
설명
그룹을 URL로 업데이트합니다.
매개변수
매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
URL 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 그룹 이름 |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_blocked | True/False | is_blocked:False |
사이트의 레이어 나열
설명
모든 기존 레이어를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
사이트의 정책 나열
설명
모든 기존 정책을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
핑
설명
연결 테스트
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
그룹에서 IP 삭제
설명
IP 주소를 포함하지 않도록 Chronicle SOAR 블랙리스트 그룹을 업데이트합니다.
매개변수
매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
블랙리스트 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 주소 범위 객체를 삭제할 그룹의 이름입니다. |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_unblocked | True/False | is_unblocked:False |
그룹에서 URL 삭제
설명
URL을 포함하지 않도록 그룹을 업데이트합니다.
매개변수
매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
URL 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | URL 객체를 삭제할 그룹의 이름입니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_unblocked | True/False | is_unblocked:False |
스크립트 실행
설명
Check Point run-script API 호출로 임의 스크립트를 실행합니다.
매개변수
매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
스크립트 텍스트 | 문자열 | 해당 사항 없음 | 예 | 실행할 스크립트입니다. 예: fw sam 명령어: fw sam -t 600 -I src 8.9.10.12 |
대상 | 문자열 | 해당 사항 없음 | 예 | 스크립트를 실행할 체크포인트 기기를 지정합니다(예: gaia80.10). 매개변수는 여러 값을 쉼표로 구분된 목록으로 허용합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
JSON 결과
{
"tasks": [{
"task-id": "867fef24-647e-40ea-91ef-9b5f8ae83d07",
"status": "succeeded",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
},
"start-time": {
"posix": 1597737649683,
"iso-8601": "2020-08-18T11:00+0300"
},
"uid": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"tags": [],
"last-update-time": {
"posix": 1597737651783,
"iso-8601": "2020-08-18T11:00+0300"
},
"suppressed": false,
"progress-percentage": 100,
"comments": "Completed",
"task-name": "gaia80.10 - Siemplify-generated-script",
"color": "black",
"meta-info": {
"creation-time": {
"posix": 1597737649720,
"iso-8601": "2020-08-18T11:00+0300"
},
"validation-state": "ok",
"creator": "admin",
"lock": "unlocked",
"last-modifier": "admin",
"last-modify-time": {
"posix": 1597737651810,
"iso-8601": "2020-08-18T11:00+0300"
}},
"task-details": [{
"display-name": "",
"domain": {
"domain-type": "domain",
"uid": "41e821a0-3720-11e3-aa6e-0800200c9fde",
"name": "SMC User"
}, "gatewayName": "",
"uid": "b4a71da3-60fc-4785-a379-3bb9f7a0ff2f",
"icon": "General/globalsNa",
"tags": [],
"color": "black",
"comments": "",
"name": null,
"responseError": "",
"taskNotification": "bb5c4640-9774-45cd-8631-8e80518f4e18",
"responseMessage": "",
"gatewayId": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"transactionId": 931053033,
"meta-info": {
"creation-time": {
"posix": 1597737649735,
"iso-8601": "2020-08-18T11:00+0300"
},
"last-modify-time": {
"posix": 1597737651840,
"iso-8601": "2020-08-18T11:00+0300"
},
"creator": "admin",
"validation-state": "ok",
"last-modifier": "admin"
},
"customFields": null,
"statusDescription": "",
"statusCode": "succeeded"
}],
"icon": "General/globalsNa",
"type": "CdmTaskNotification",
"read-only": false,
"name": "gaia80.10 - Siemplify-generated-script"
}]
}
케이스 월
결과 유형 | 값 / 설명 | 유형 |
---|---|---|
출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
로그 표시
설명
필터를 기반으로 Check Point FireWall에서 로그를 검색합니다.
매개변수
매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
쿼리 필터 | 문자열 | 해당 사항 없음 | No | 로그를 반환하는 데 사용할 쿼리 필터를 지정합니다. |
기간 | DDL | 지난 1시간 가능한 값은 다음과 같습니다. 현재 어제 지난 1시간 지난 24시간 지난 30일 이번 주 이번 달 전체 기간 |
예 | 로그 검색에 사용할 기간을 지정합니다. |
로그 유형 | DDL | 로그 가능성 있음 값: 로그 감사 |
예 | 반환할 로그 유형을 지정합니다. |
반환할 최대 로그 | 정수 | 50 | No | 반환할 로그 수를 지정합니다. 최대는 100입니다. 이는 Check Point FireWall 제한사항입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
JSON 결과
{
"logs": [
{
"subject": "Object Manipulation",
"confidence_level": "N/A",
"description": "Engine mode: changed from 'by_policy' to 'detect_only' ",
"type": "System Alert",
"orig_log_server_attr": [
{
"isCHKPObject": "true",
"uuid": "8f36a0de-e0d5-6347-ae51-6fb22d573f04",
"resolved": "gaia80.10"
}
],
"cb_log_type": "Security Alert",
"user_field": "admin",
"administrator": "admin",
"index_time": "2020-10-14T21:35:45Z",
"d_name": "Check that each Gateway's Anti-Bot configuration is activated according to the policy",
"violation_date": "3/6/2020 15:03",
"id": "ac1eca60-81b3-d219-5f87-6f2f000105e8",
"rounded_received_bytes": "0",
"cb_title": "Best Practice AB104 status decreased. New Status: Medium",
"cb_old_status": "Secure",
"lastUpdateSeqNum": "1513",
"severity": "Critical",
"product_family": "Network",
"product": "Compliance Blade",
"sequencenum": "1513",
"rounded_sent_bytes": "0",
"cb_scan_id": "Thu Oct 15 00:35:39 2020",
"orig_log_server": "172.30.202.96",
"cb_changed_objects": "ABSettings_8F36A0DE-E0D5-6347-AE51-6FB22D573F04",
"additional_info": "Security Alert: Best Practice status was reduced",
"cb_status": "Medium",
"orig": "gaia80.10",
"marker": "@A@@B@1602709200@C@1513",
"rounded_bytes": "0",
"orig_log_server_ip": "172.30.202.96",
"stored": "true",
"calc_desc": "Best Practice AB104 status decreased. New Status: Medium",
"logid": "134283267",
"time": "2020-10-14T21:35:43Z",
"cb_recommendation": "Each Gateway should be configured to work according to the profiles defined in the Anti-Bot policy. The Activation Mode should be set to 'According to Policy' and not 'Detect Only'.",
"best_practice_id": "AB104",
"lastUpdateTime": "1602711343000"
}
],
"logs-count": 1,
"query-id": "admin_6e9fce3a-4cd7-48b9-a3e7-14b701fb204c"
}
케이스 월
결과 유형 | 값 / 설명 | 유형 |
---|---|---|
출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 200인 경우(is_success = true): "Successfully retrieved logs from Check Point FireWall!"을 출력합니다.
'작업이 Check Point FireWall에서 로그를 검색할 수 없었습니다! 출력 이유: {0}. 코드: {1}".format(message, code) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '"Error executing action "Show Logs". Reason: {0}''.format(error.Stacktrace)을 출력합니다. |
일반 |
케이스 월 테이블 로그 유형 = 로그 |
케이스 월 이름: 결과 케이스 월 열: ID(id로 매핑됨) 제목(cb_title로 매핑됨) 심각도(심각도로 매핑됨) 제목(제목으로 매핑됨) 색인 시간(index_time으로 매핑됨) |
일반 |
케이스 월 테이블 로그 유형 = 감사 |
케이스 월 이름: 결과 케이스 월 열: ID(id로 매핑됨) 제목(calc_desc로 매핑됨) 심각도(심각도로 매핑됨) 제목(제목으로 매핑됨) 시간(시간으로 매핑됨) |
일반 |
로그 첨부파일 다운로드
설명
Check Point FireWall에서 로그 첨부파일을 다운로드합니다.
매개변수
매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
---|---|---|---|---|
로그 ID | 문자열 | 해당 사항 없음 | 예 | 첨부파일을 다운로드할 로그 ID의 쉼표로 구분된 목록을 지정합니다. |
폴더 경로 다운로드 | 문자열 | 해당 사항 없음 | 예 | 작업에서 첨부파일을 저장할 폴더의 절대 경로를 지정합니다. |
케이스 월 첨부파일 만들기 | 체크박스 | 해당 사항 없음 | No | 이 옵션이 사용 설정되어 있으면 성공적으로 다운로드된 파일마다 케이스 월 첨부파일이 생성됩니다. 참고: 첨부파일의 크기가 3MB 미만인 경우에만 파일이 생성됩니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
스크립트 결과 이름 | 값 옵션 | 예시 |
---|---|---|
is_success | True/False | is_success:False |
JSON 결과
{
"tasks": [
{
"task-id": "01234567-89ab-cdef-8273-cee81a82701c",
"task-name": "Packet Capture operation",
"status": "succeeded",
"progress-percentage": 100,
"suppressed": false,
"task-details": [
{
"attachments": [
{
"base64-data": "...",
"file-name": "Anti-Virus-blob-time1602759307.id5a5b7500.blade05.cap"
}
]
}
]
"absolute_path": "{folder_path}"
}
]
}
케이스 월
결과 유형 | 값 / 설명 | 유형 |
---|---|---|
출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 로그 '상태' == '성공'인 경우(is_success = true): "다음 로그에서 Check Point FireWall의 첨부파일을 검색했습니다. {0}".format(log ids)를 출력합니다.
"작업이 다음 로그에서 Check Point FireWall의 첨부파일을 검색하지 못했습니다. {0}".format(log ids)를 출력합니다. 모든 로그에 대해 '상태' != '성공'인 경우(is_success = true): "첨부파일이 다운로드되지 않았습니다."를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: "'로그 첨부 파일 다운로드'를 작업을 실행하는 동안 오류가 발생했습니다." 이유: {0}''.format(error.Stacktrace)을 출력합니다. |
일반 |
케이스 월 연결 | 크기 한도에 도달하지 않는 경우에 발생합니다. 첨부파일 다운로드에 성공할 때마다 "{0}".format(task-details/attachment/file-name) |
일반 |