Erstellen Sie eine Sperrliste für Check Point NGTPIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Erstellen Sie eine Sperrliste in Ihrer Now Platform-Instanz. Nach der Genehmigung und Aktivierung können Sie Einträge für diese Sperrlisten aus erkennbaren Elementen erstellen, die bei SIR-Incidents (Now Platform Security Incident Response) als schädlich eingestuft wurden, und die Genehmigung anfordern, um sie zu blockieren.

    Vorbereitungen

    Erforderliche Rolle: Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die Sperrliste in Ihrer Now Platform-Instanz, damit der Prüfpunkt Objekte importieren kann – IP-Adressen, URLs, Domänen – die in der Liste enthalten sind. Anwenderdefinierter Intelligence-Feed wird im Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen aus der Now Platform in vorkonfigurierten Intervallen abruft. Um sicherzustellen, dass die erkennbaren Elemente blockiert werden, sollte die Richtlinie zur Bedrohungsvorbeugung mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert werden.
    Hinweis:
    Die Zahlen in diesem Thema werden mit angezeigt Formulare mit Registerkarten In Systemeinstellungen gelöscht.
    Systemeinstellungen > Formulare

    Prozedur

    1. Navigieren Sie nach Abschluss der Anwendungsinstallation zu Integrationen > Integrationskonfigurationenan.
    2. Suchen Sie Überprüfen Sie Den Punkt „Next Generation Threat Prevention“ Karte und klicken Sie auf Konfigurieren .
      NGTP-Integrationskarte des Prüfpunkts
      Hinweis:
      Privilegierte und proprietäre Inhalte, die mit der Berechtigung von Check Point Software Technologies, Ltd. Verwendet werden
    3. Klicken Sie Auf Erstellen Sie eine neue Sperrliste .
      Überprüfen Sie die Punkt-NGTP-Konfiguration
    4. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Name Name der Sperranforderungsliste des Prüfpunkts.

      Fügen Sie den Typ des erkennbaren Elements (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalysten die Absicht der Sperrliste leicht anhand ihres Namens erkennen kann. Der Name muss auch deutlich angeben, welcher Firewall-Richtlinie diese Blocklistenobjekte zugeordnet sind. Einige Beispiele für Blocklistennamen sind: Ausgehende Malware-IP oder ausgehende Phishing-URL.
      Aktiv Dieses Kontrollkästchen ist standardmäßig deaktiviert, um anzugeben, dass die Sperrliste inaktiv ist.

      Wenn inaktiv, kann die Sperrliste keine zusätzlichen Einträge erhalten.

      Wenn das Kontrollkästchen aktiviert ist (wenn die Change-Anforderung geschlossen wird oder keine Change-Anforderung generiert wird), wird die Sperrliste aktiviert und für Sperrlisteneinträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element in der Sperrliste blockiert ist. Wenn diese Option ausgewählt ist, ist das Feld „Tag für erkennbare Elemente“ im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie im Feld Name mit einem Prüfpunkt-Präfix eingeben, z. B. „Prüfpunkt-Malware ausgehende IP“. Sie können den Tag-Namen und die Farbe ändern. Der Tag-Name wird im Feld „Tag für erkennbare Elemente“ angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und das Feld „Tag für erkennbare Elemente“ ist im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie einen Typ des erkennbaren Elements aus der Liste aus, den diese Blockliste akzeptiert: IP-Adresse (einschließlich CIDR für Allow-Liste), URL oder Domäne.
      Tag-Typ Tags, die in der Liste verfügbar sind.

      Eine Sperrliste ist eine Liste der erkennbaren Elemente, die der Prüfpunkt „Bedrohungsschutz der nächsten Generation“ blockieren soll.

      Eine Allow-Liste ist eine Liste von erkennbaren Elementen, die Sie in Prüfpunkt „Next Generation Threat Prevention“ in keinem Fall blockieren möchten.

      Standardmäßig ist die Tag-Farbe der Sperrliste schwarz und die Tag-Farbe der Allow-Liste grau. Sie können die Farbe ändern.
      Change-Anforderung erstellen Dieses Kontrollkästchen ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in Ihrer Now Platform-Instanz zu erstellen, die an den Blocklistendatensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die Abruf-URL der Sperrliste im Firewall-Gateway „Prüfpunkt der nächsten Generation“ zu konfigurieren.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch die Now Platform für Firewall-Richtlinien- oder Regeländerungen verwendet. Wenn Sie eine Anforderung erstellen, wird die Sperrliste nach dem Schließen automatisch aktiviert.

      Deaktivieren Sie das Kontrollkästchen, um die Sperrliste manuell zu aktivieren, nachdem der Firewall-Administrator per E-Mail darüber informiert hat, dass der anwenderdefinierte Intelligence-Feed auf allen Prüfpunkt-Gateways konfiguriert wurde.

      Wenn das Kontrollkästchen „Change-Anforderung erstellen“ deaktiviert ist, ist das Feld „Change-Anforderung“ nicht verfügbar.
      Genehmigung anfordern Dieses Kontrollkästchen ist standardmäßig aktiviert, um Genehmigungen zum Aktivieren/Entfernen von Blocklisteneinträgen aus Sperrlisten anzufordern. Die Genehmigung wird von den Anwendern mit der Rolle „Security Incident-Administrator“ (sn_si.admin) angefordert. Die Genehmigungsanforderung wird per E-Mail an die Genehmiger gesendet.

      Sobald die Genehmigung akzeptiert wurde, wird der Eintrag in dieser Sperrliste aktiviert.

      Wenn das Kontrollkästchen nicht aktiviert ist, folgen die Einträge für diese Sperrliste nicht dem Genehmigungs-Workflow und werden direkt in der Sperrliste aktiviert.
      Tag für erkennbares Element Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tag anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die Sperrliste mit einem Standardwert aus dem Feld Name gespeichert wurde. Wenn die Sperrliste mit dem Namen „Malware-URL“ erstellt wird, lautet der abgeleitete Tag-Name „Sperrliste – Malware-URL“
      Change-Anforderung Wenn das Kontrollkästchen Change-Anforderung erstellen aktiviert ist, wird die Change-Anforderungsnummer in der Now Platform-Instanz angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen „Change-Anforderung erstellen“ deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der Prüfpunktblockliste. Der Name enthält im Allgemeinen die Typen von Sites und erkennbaren Elementen, die Sie in dieser Sperrliste erwarten, und Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der Sperrliste.

      0 (Standard) gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl der Tage aktiv. Sie können einen Mindestwert von 1 eingeben, d. h. 24 Stunden, und es gibt keinen Höchstwert.
      Abruf-URL Abruf-URL wird automatisch generiert, sobald die Sperrliste gespeichert wurde. Um diese Sperrliste in Prüfpunkt-Gateways zu konfigurieren, müssen Sie diese URL verwenden. Sobald diese URL konfiguriert ist, ruft der Prüfpunkt erkennbare Elemente ab, die im CSV-Format blockiert werden sollen.
      Liste der Blocklistenanforderung
    5. Klicken Sie auf Absenden.
    6. Wenn die Prüfpunkt-Sperranforderungsliste nicht angezeigt wird, navigieren Sie zu Check Point – NGTP-Integration > Sperranforderungslistenan.
      Listen Mit Blocklistenanforderungen
      Die neue Sperrliste wird angezeigt. Der Sperrlistenstatus ist weiterhin inaktiv (falsch), was bedeutet, dass die Sperrliste nicht zum Akzeptieren von Einträgen verfügbar ist. Wenn „Change-Anforderung erstellen“ konfiguriert wurde, wird eine Nachricht angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in Ihrer Now Platform-Instanz erstellt wurden.
      Listenanforderungseinträge blockieren
    7. In Name Spalte, klicken Sie auf ein Element, um den Datensatz zu öffnen.
      Der Sperrlistendatensatz wird angezeigt. Dieses Beispiel zeigt eine ausgehende IP-Sperrliste von Malware. Die folgenden Felder, Optionen und Links werden nach der Übermittlung im neuen Datensatz angezeigt und in der folgenden Tabelle beschrieben.
      URL abgerufen
      Feld Beschreibung
      E-Mail-Abruf-URL Sendet eine E-Mail an den Administrator der Prüfpunkt-Firewall, dass der Blocklink für die Konfiguration verfügbar ist.
      Abruf-URL Diese URL wird verwendet, um anwenderdefinierten Intelligence-Feed in Prüfpunkt-Gateways zu konfigurieren.
      Hinweis:
      Wenn Ihre Systemeinstellungen auf Formulare mit Registerkarten festgelegt sind, wird dieser Link auf der Registerkarte „Informationen zum Abruf der Sperrliste“ unten im Datensatz angezeigt.
      Change-Anforderung für Now Platform Ein Link zum Change-Anforderungsdatensatz wird im Abschnitt „Change-Anforderungen“ angezeigt, wenn konfiguriert, und die Anforderungsnummer wird im Feld „Change-Anforderung“ angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere Blocklisten hinzu.
      Die Sperrlisten werden auf der Seite „Prüfpunkt-Sperranforderungslisten“ angezeigt.

    Nächste Maßnahme

    Aktivieren Sie die Sperranforderungsliste manuell oder mit einer Now Platform-Change-Anforderung.