Check Point Next Generation Threat Prevention 통합

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 이 문서에서는 애플리케이션이 함께 제대로 작동하도록 Check Point NGTP(Next Generation Threat Prevention) 기능을 SIR(과 ServiceNow® 보안 인시던트 응답 통합하는 데 필요한 단계)에 대해 설명합니다.

    설치 및 구성된 보안 인시던트 분석가는 이 통합을 사용하여 (SIR) 제품의 차단 요청 목록 기능을 사용하여 악성 IP 주소, URL 및 도메인을 차단합니다.ServiceNow 보안 인시던트 응답 이 차단 요청 목록은 Check Point 게이트웨이에서 사용자 지정 인텔리전스 피드로 구성됩니다. 사용자 지정 인텔리전스 피드 기능은 사용자 지정 사이버 인텔리전스 피드를 차세대 위협 방지 엔진에 추가하는 기능을 제공합니다. 이를 통해 외부 공급업체 서버(이 경우 애플리케이션) ServiceNow 보안 인시던트 응답 에서 Check Point 차세대 게이트웨이로 직접 피드를 가져와 바이러스 백신 및 봇 방지 블레이드에 의해 적용할 수 있습니다. 보안 인시던트 응답 분석가는 SIR 보안 인시던트에서 ServiceNow 악성으로 확인된 옵저버블에서 체크 포인트 차단 목록에 대한 항목을 생성합니다.

    대부분의 구현에서 차단 요청 목록은 외부 웹 서버에서 호스팅되는 csv 파일입니다. 이 통합의 경우 이 웹 서버는 ServiceNow AI Platform Check Point 차세대 위협 예방 엔진이 차단할 IP 주소, URL 및 도메인 목록을 가져오도록 허용하는 인스턴스입니다.

    Check Point 게이트웨이에서 차단 옵저버블을 적용하려면 위협 방지 정책이 안티봇 및 안티바이러스 블레이드가 활성화된 상태로 구성되어 있는지 확인합니다. 차단 목록 항목이 수정되면 Threat Prevention Engine은 구성된 간격으로 목록을 동적으로 임포트하고 방화벽에서 구성 변경이나 커밋 없이 정책을 적용합니다. 이 통합을 ServiceNow AI Platform 위해 이(가) 구성된 검색 간격으로 인증된 Check Point 차세대 게이트웨이에서 검색한 차단 목록 항목이 포함된 테이블을 생성했습니다.

    통합에는 다음과 같은 기능이 포함됩니다.
    • 여러 Check Point 게이트웨이에 적용되는 여러 차단 목록을 생성할 수 있는 유연성.
    • 차단되는 사이트 유형(피싱, 맬웨어 및 허용 목록에 지정된 사이트)에 대한 자세한 보고입니다.
    • 차단 목록 항목을 옵저버블 유형(URL, 도메인, IP 주소)별로 보안 인시던트에 ServiceNow AI Platform 태그를 지정합니다.
    • 이전 항목을 자동으로 만료 또는 제거하여 차단 목록 크기를 유지하도록 차단 목록 만료 기간을 구성합니다.
    • 서로 다른 차단 목록 간에 차단 목록 항목을 검색합니다.
    • 위협 인텔리전스 결과와 항목이 차단된 이유에 대한 세부 정보가 포함된 옵저버블 기록 및 보안 인시던트에 차단 목록 항목을 연결합니다.

    통합 아키텍처 다이어그램

    다음은 NOW Platform과 Check Point Systems 간의 관련 구성 요소와 통합 지점을 나타내는 개략적인 아키텍처 다이어그램입니다.

    통합 아키텍처
    주:
    Check Point Systems 로고, 안티바이러스 블레이드 이미지 및 안티 봇 블레이드 이미지는 Check Point Systems ©에서 가져온 것입니다. 체크 포인트 시스템의 자산입니다.

    플러그인

    통합하려면 (com.snc.security_incident) 플러그인이 보안 인시던트 응답 활성화되어 있어야 합니다.

    플러그인을 설치 보안 인시던트 응답 하려면 다음을 수행합니다.
    1. HI 자격 증명을 사용하여 인스턴스에 로그인합니다.
    2. 관리자(관리자) 역할이 있는지 확인합니다.
    3. 인스턴스에서 시스템 정의>플러그인으로 이동합니다.
    4. 보안 인시던트 응답을 선택하고 클릭합니다.

    이러한 플러그인이 설치되면 ServiceNow Store에서 새 Check Point 통합 플러그인을 업로드하고 다음 구성 지침을 따를 수 있습니다.

    지원되는 체크 포인트 OS 버전

    이 통합에는 Check Point와 안티 봇 및 안티바이러스 블레이드의 사용자 지정 인텔리전스 피드가 필요합니다. R80.20 이상에서 지원됩니다. Check Point R80.10 Jumbo HF take 121 이상이라는 사용자 지정 인텔리전스 기능의 핫픽스를 설치합니다. 제품 호환성 매트릭스에 대한 자세한 내용은 Check Point 사용자 지정 인텔리전스 피드 설명서의 설치 섹션을 참조하십시오.

    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193

    핫픽스를 설치한 후 Check Point 게이트웨이에서 아래 명령에 접근할 수 있는지 확인하십시오. 게이트웨이에 SSH를 사용하여 전문가 모드로 로그인합니다.

    Check Point 게이트웨이에서 사용할 수 있는 명령어

    지원되는 ServiceNow 버전

    San Diego 릴리스 버전 이상이 지원됩니다.

    참조

    다음은 필수 구성 요소를 설정하는 데 유용한 체크 포인트 참조 중 일부입니다.
    1. 사용자 지정 인텔리전스 피드 기능 - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
    2. 안티 봇 및 안티 바이러스 블레이드를 설정하려면 Check Point 사용 설명서를 참조하십시오. http://downloads.checkpoint.com/dc/download.htm?ID=46534
    3. Check Point에서 HTTPS 검사를 설정하려면 아래 링크를 따라가십시오. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202

    권한 및 역할

    다음 ServiceNow 역할이 필요합니다.
    • 통합 애플리케이션 플러그인 설치를 위한 관리자(admin)
    • ServiceNow에서 차단 목록을 생성하고 차단 목록 항목 추가 및 비활성화 요청을 승인하는 보안 인시던트 관리자(sn_si.admin)입니다.
    • 차단 목록 항목 기록 생성 및 유지관리를 위한 보안 분석가(여기서는 SOC 분석가, sn_si.analyst라고도 함)입니다.

    보안 분석가 역할 할당에 대한 자세한 내용은 ServiceNow 설명서 웹 사이트에서 보안 운영>보안 인시던트 응답> 보안 분석가 할당으로 이동하십시오.