Integração de Check Point Next Generation Threat Prevention
Este documento descreve as etapas necessárias para integrar os recursos de prevenção de ameaças de última geração (NGTP) do Check Point com ServiceNow® Security Incident Response (SIR) para que as aplicações funcionem corretamente juntas.
Depois de instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP, URLs e domínios mal-intencionados usando recursos da Lista de solicitações de bloqueio com os produtos ServiceNow Security Incident Response (SIR). Esta Lista de Solicitação de Bloqueio está configurada nos Gateways do Check Point como um Feed de Inteligência Personalizado. O recurso Feeds de inteligência personalizados permite adicionar feeds de inteligência cibernética personalizados ao mecanismo de prevenção de ameaças de última geração. Ele permite a busca de feeds de um servidor de terceiros, neste caso, a aplicação ServiceNow Security Incident Response, diretamente para o Gateway de Próxima Geração do Check Point a ser aplicado por blades Antivírus e Antibot. O analista de resposta a incidentes de segurança cria entradas para a Lista de bloqueios do Check Point a partir de observáveis determinados como mal-intencionados em ServiceNow incidentes de segurança SIR.
Para a maioria das implementações, uma Lista de Solicitação de Bloqueio é um arquivo CSV hospedado em um servidor Web externo. Para esta integração, este servidor web é sua instância da Now Platform, o que permite que o Mecanismo de prevenção de ameaças de última geração do Check Point busque a lista de endereços IP, URLs e domínios a serem bloqueados.
Para impor os observáveis de bloqueio no Gateway do Check Point, certifique-se de que a Política de prevenção de ameaças esteja configurada com os Blades Anti-Bot e Anti-Virus ativados. Conforme as entradas da Lista de bloqueios são modificadas, o Mecanismo de prevenção contra ameaças importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou uma confirmação no firewall. Para esta integração, a Now Platform criou uma tabela que contém entradas da Lista de bloqueios que são recuperadas pelo Gateway de próxima geração do Check Point autorizado nos intervalos de recuperação configurados.
- Flexibilidade para criar várias listas de bloqueios que se aplicam a vários gateways do Check Point.
- Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e sites permitidos).
- Marcação de incidentes de segurança da Now Platform com entradas da Lista de bloqueios pelo tipo de observável (URL, domínio, endereço IP).
- Configurar períodos de expiração da Lista de bloqueios para manter o tamanho da Lista de bloqueios expirando automaticamente ou removendo entradas mais antigas.
- Pesquisando entradas da Lista de bloqueios entre diferentes Listas de bloqueios.
- Vinculando entradas da Lista de bloqueios a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.
Diagrama de arquitetura de integração
Abaixo está o diagrama de arquitetura de alto nível que descreve os componentes envolvidos e os pontos de integração entre a NOW Platform e a Check Point Systems.
Plug-ins
A integração requer que o plug-in Security Incident Response (com.snc.security_incident) esteja ativado.
- Faça login na sua instância com suas credenciais HI.
- Verifique se você tem a função de administrador (admin).
- Navegue até Definição do sistema>plug-ins em sua instância.
- Selecione e clique em Security Incident Response.
Depois que esses plug-ins forem instalados, você poderá carregar o novo plug-in de integração do Check Point na ServiceNow Store e seguir as instruções de configuração a seguir.
Versões compatíveis do SO do Check Point
Esta integração requer o Feed de inteligência personalizado do Check Point e as blades Anti-Bot e Anti-Virus. Eles são compatíveis com R80.20 e superior. Instale o hotfix do Recurso de Inteligência Personalizada conhecido como Check Point R80.10 Jumbo HF, versão 121 e superior. Consulte a seção Instalação da documentação do feed de inteligência personalizada do Check Point para obter mais informações sobre a matriz de compatibilidade do produto.
Depois de instalar o hotfix, certifique-se de que os comandos abaixo estejam acessíveis no Check Point Gateway. SSH para o gateway e login no modo especialista.
Versões compatíveis da ServiceNow
A versão de lançamento San Diego ou posterior é compatível.
Referências
- Recurso de feeds de inteligência personalizados - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Para configurar os blades Anti-Bot e Anti-Virus, consulte o Guia do usuário do Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Para configurar a Inspeção de HTTPS no Check Point, siga o link abaixo. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Permissões e funções
- Administrador (admin) para instalação do plug-in da aplicação de integração
- Administrador de incidentes de segurança (sn_si.admin) para criar listas de bloqueios na ServiceNow e aprovar solicitações para adicionar e desativar entradas da lista de bloqueios.
- Analista de segurança (também conhecido aqui como Analista de SOC, sn_si.analyst) para criar e manter registros de Entrada da Lista de Bloqueios.
Para obter mais informações sobre como atribuir a função de analista de segurança, no site de documentação da ServiceNow, navegue até Operações de segurança>Security Incident Response> Atribuição de analistas de segurança.