check_point.mgmt.cp_mgmt_check_threat_ioc_feed 模块 – 检查目标是否可以访问或解析威胁 IOC 信息源;可以使用现有的信息源对象,也可以通过提供所有相关信息源参数来创建一个新的信息源。

注意

此模块是 check_point.mgmt 集合 (版本 6.2.1) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install check_point.mgmt

要在 playbook 中使用它,请指定:check_point.mgmt.cp_mgmt_check_threat_ioc_feed

check_point.mgmt 3.0.0 中的新增功能

概要

  • 检查目标是否可以访问或解析威胁 IOC 信息源;可以使用现有的信息源对象,也可以通过提供所有相关信息源参数来创建一个新的信息源。

  • 所有操作都是通过 Web 服务 API 执行的。

参数

参数

注释

auto_publish_session

布尔值

如果任务完成后已执行更改,则发布当前会话。

选项

  • false ← (默认)

  • true

ioc_feed

字典

威胁 IOC 信息源参数。

action

字符串

信息源指示器的操作。

选项

  • "Prevent"

  • "Detect"

certificate_id

字符串

访问信息源的证书 SHA-1 指纹。

custom_comment

整数

自定义 IOC 信息源 - 注释的列号。

custom_confidence

整数

自定义 IOC 信息源 - 置信度的列号。

custom_header

列表 / 元素=字典

自定义 HTTP 头。

header_name

字符串

我们想要添加的 HTTP 头的名称。

header_value

字符串

我们想要添加的 HTTP 值的名称。

custom_name

整数

自定义 IOC 信息源 - 名称的列号。

custom_severity

整数

自定义 IOC 信息源 - 严重程度的列号。

custom_type

整数

自定义 IOC 信息源 - 如果未选择特定类型,则为类型的列号。

custom_value

整数

自定义 IOC 信息源 - 如果选择了特定类型,则为值的列号。

details_level

字符串

响应中某些字段的详细程度可以从仅显示对象的 UID 值到对象的完整详细表示形式不等。

选项

  • "uid"

  • "standard"

  • "full"

enabled

布尔值

设置此指示器信息源是否启用。

选项

  • false

  • true

feed_type

字符串

要强制执行的信息源类型。

选项

  • "any type"

  • "domain"

  • "ip address"

  • "md5"

  • "url"

  • "ip range"

  • "mail subject"

  • "mail from"

  • "mail to"

  • "mail reply to"

  • "mail cc"

  • "sha1"

  • "sha256"

feed_url

字符串

信息源的 URL。URL 应写为 http 或 https。

fields_delimiter

字符串

分隔信息源中列之间的分隔符。

ignore_errors

布尔值

忽略错误应用更改。您将无法发布此类更改。如果忽略警告标志被忽略,则警告也将被忽略。

选项

  • false

  • true

ignore_lines_that_start_with

字符串

确定要忽略哪些行的前缀。

ignore_warnings

布尔值

忽略警告应用更改。

选项

  • false

  • true

name

字符串

对象名称。

password

字符串

用于通过 URL 进行身份验证的密码。

use_custom_feed_settings

布尔值

为了配置自定义指示器信息源而设置。

选项

  • false

  • true

use_gateway_proxy

布尔值

使用网关的代理来检索信息源。

选项

  • false

  • true

username

字符串

用于通过 URL 进行身份验证的用户名。

targets

列表 / 元素=字符串

在此命令上执行此命令的目标。目标可以通过其名称或对象的唯一标识符来识别。

version

字符串

checkpoint 的版本。如果未指定,则采用最新版本。

wait_for_task

布尔值

等待任务结束。例如发布任务。

选项

  • false

  • true ← (默认)

wait_for_task_timeout

整数

在抛出超时错误之前要等待多少分钟。

默认: 30

示例

- name: check-threat-ioc-feed
  cp_mgmt_check_threat_ioc_feed:
    ioc_feed:
      name: existing_feed
    targets: corporate-gateway

返回值

常见的返回值已在此处记录,以下是此模块特有的字段

描述

cp_mgmt_check_threat_ioc_feed

字典

Checkpoint check-threat-ioc-feed 的输出。

返回值:始终返回。

作者

  • Eden Brillant (@chkp-edenbr)