Check Point Next Generation Threat Prevention-Integration
In diesem Dokument werden die Schritte beschrieben, die für die Integration von NGTP-Fähigkeiten (Check Point Next Generation Threat Prevention) in erforderlich sind ServiceNow® Security Incident Response(SIR) damit Anwendungen ordnungsgemäß zusammen funktionieren.
Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe der Funktionen „Liste blockieren“ mit zu blockieren ServiceNow Security Incident Response(SIR) Produkte. Diese Sperranforderungsliste ist in Prüfpunkt-Gateways als anwenderdefinierter Intelligence-Feed konfiguriert. Die Funktion „Anwenderdefinierte Intelligence-Feeds“ bietet die Möglichkeit, anwenderdefinierte Cyber-Intelligence-Feeds der Next Generation Threat Prevention-Engine hinzuzufügen. Ermöglicht das Abrufen von Feeds von einem Drittparteiserver, in diesem Fall von ServiceNow Security Incident Response Anwendung direkt zum Check Point Next Generation Gateway, das von Anti-Virus- und Anti-Bot-Blades erzwungen wird. Der Security Incident Response-Analyst erstellt Einträge für die Checkpoint-Sperrliste aus erkennbaren Elementen, die für schädlich ermittelt wurden ServiceNow SIR Security Incidents.
Bei den meisten Implementierungen ist eine Sperranforderungsliste eine CSV-Datei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihr ServiceNow AI Platform Instanz, die es der Prüfpunkt-Engine der nächsten Generation ermöglicht, die Liste der zu blockierenden IP-Adressen, URLs und Domänen abzurufen.
Um die blockierenden erkennbaren Elemente im Prüfpunkt-Gateway zu erzwingen, stellen Sie sicher, dass die Richtlinie zur Bedrohungsprävention mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert ist. Wenn die Blocklisteneinträge geändert werden, importiert die Threat Prevention-Engine die Liste dynamisch im konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit in der Firewall. Für diese Integration ServiceNow AI Platform Hat eine Tabelle erstellt, die Blocklisteneinträge enthält, die von einem autorisierten Prüfpunkt-Gateway der nächsten Generation in den konfigurierten Abrufintervallen abgerufen werden.
- Flexibilität zum Erstellen mehrerer Blocklisten, die für mehrere Prüfpunkt-Gateways gelten.
- Detaillierte Berichterstellung zu den Arten der blockierten Websites (Phishing, Malware und zulässige Websites).
- Tagging von ServiceNow AI Platform Security Incidents mit Sperrlisteneinträgen nach erkennbarem Typ (URL, Domäne, IP-Adresse).
- Konfigurieren von Ablaufzeiträumen für Sperrlisten, um die Größe der Sperrliste beizubehalten, indem ältere Einträge automatisch ablaufen oder entfernt werden.
- Blocklisteneinträge zwischen verschiedenen Blocklisten werden gesucht.
- Verknüpfen von Blocklisteneinträgen mit Datensätzen erkennbarer Elemente und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert ist.
Diagramm der Integrationsarchitektur
Unten finden Sie das allgemeine Architekturdiagramm, das die beteiligten Komponenten und Integrationspunkte zwischen NOW Platform und Check Point-Systemen darstellt.
Plugins
Die Integration erfordert, dass Security Incident Response(com.snc.security_incident) Plugin aktiviert sein.
- Melden Sie sich mit Ihren HI-Anmeldeinformationen bei Ihrer Instanz an.
- Stellen Sie sicher, dass Sie über die Administratorrolle (Administrator) verfügen.
- Navigieren Sie in Ihrer Instanz zu Systemdefinition>Plugins.
- Wählen Sie Security Incident Response aus, und klicken Sie auf Security Incident Response.
Sobald diese Plugins installiert wurden, können Sie das neue Plugin für die Check Point-Integration aus dem ServiceNow Store hochladen und die folgenden Konfigurationsanweisungen befolgen.
Unterstützte Prüfpunkt-BS-Versionen
Diese Integration erfordert den anwenderdefinierten Intelligence-Feed von Check Point- und Anti-Bot- und Anti-Virus-Blades. Diese werden ab R80.20 unterstützt. Installieren Sie den Hotfix der Funktion „Anwenderdefinierte Intelligenz“, bekannt als Prüfpunkt R80.10 Jumbo HF Take 121 und höher. Weitere Informationen zur Produktkompatibilitätsmatrix finden Sie im Abschnitt Installation der Dokumentation zum Prüfpunkt-Feed für anwenderdefinierte Intelligenz.
Stellen Sie nach der Installation des Hotfix sicher, dass die folgenden Befehle im Check Point Gateway zugänglich sind. SSH beim Gateway und melden Sie sich im Expertenmodus an.
Unterstützte ServiceNow-Versionen
San Diego-Release-Version oder höher wird unterstützt.
Referenzen
- Anwenderdefinierte Intelligence-Feeds-Funktion – https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Informationen zum Einrichten von Anti-Bot- und Anti-Virus-Blades finden Sie im Prüfpunkt-Benutzerhandbuch. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Um die HTTPS-Inspektion am Prüfpunkt einzurichten, folgen Sie dem folgenden Link. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Berechtigungen und Rollen
- Administrator (Administrator) für die Installation des Plugins der Integrationsanwendung
- Security Incident-Administrator (sn_si.admin) zum Erstellen von Blocklisten in ServiceNow und zum Genehmigen von Anforderungen zum Hinzufügen und Deaktivieren von Blocklisteneinträgen.
- Sicherheitsanalyst (hier auch als SOC-Analyst, sn_si.Analyst bezeichnet) für die Erstellung und Verwaltung von Blocklisteneintragsdatensätzen.
Weitere Informationen zum Zuweisen der Sicherheitsanalystenrolle finden Sie im ServiceNow-Dokumentationswebsite , Navigieren Sie zu Security Operations>Security Incident Response> Sicherheitsanalysten zuweisen.