Check Point Next Generation Threat Prevention integração
Este documento descreve as etapas necessárias para integrar os recursos de Prevenção contra ameaças de próxima geração (NGTP) do Check Point com o. ServiceNow® Resposta a incidentes de segurança(SIR) para que as aplicações funcionem corretamente juntas.
Uma vez instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP maliciosos, URLs e domínios usando capacidades de Lista de solicitações de bloqueio com o. ServiceNow Resposta a incidentes de segurança(SIR) produtos. Esta Lista de solicitações de bloqueio é configurada nos gateways de ponto de verificação como um feed de inteligência personalizado. O recurso Feeds de inteligência personalizada fornece a capacidade de adicionar feeds de inteligência cibernética personalizados ao mecanismo de prevenção contra ameaças de última geração. Ele permite buscar feeds de um servidor de terceiros, neste caso ServiceNow Resposta a incidentes de segurançaDiretamente para o gateway de próxima geração do Check Point a ser imposto por blades antivírus e anti-bot. O analista de resposta a incidentes de segurança cria entradas para a lista de bloqueios de ponto de verificação a partir de observáveis determinados como mal-intencionados em ServiceNowIncidentes de segurança SIR.
Para a maioria das implementações, uma Lista de solicitações de bloqueio é um arquivo csv hospedado em um servidor web externo. Para esta integração, este servidor web é sua instância da Now Platform, o que permite que o mecanismo de prevenção contra ameaças de última geração do Check Point busque a lista de endereços IP, URLs e domínios a serem bloqueados.
Para impor os observáveis de bloqueio no gateway de ponto de verificação, certifique-se de que a Política de prevenção de ameaças esteja configurada com blades antivírus e anti-bot ativados. À medida que as entradas da lista de bloqueios são modificadas, o mecanismo de prevenção contra ameaças importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou confirmação no firewall. Para esta integração, a Now Platform criou uma tabela que contém entradas da lista de bloqueios que são recuperadas pelo gateway de próxima geração autorizado do Check Point nos intervalos de recuperação configurados.
- Flexibilidade para criar várias listas de bloqueio que se aplicam a vários gateways de ponto de verificação.
- Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e permitir sites listados).
- Marcação de incidentes de segurança da Now Platform com entradas da lista de bloqueios por tipo de observável (URL, domínio, endereço IP).
- Configurar períodos de expiração da lista de bloqueios para manter o tamanho da lista de bloqueios expirando ou removendo automaticamente entradas mais antigas.
- Pesquisando entradas da lista de bloqueios entre diferentes listas de bloqueios.
- Vinculando entradas da lista de bloqueios a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.
Diagrama da arquitetura de integração
Abaixo está o diagrama de arquitetura de alto nível que descreve os componentes envolvidos e os pontos de integração entre A NOW Platform e os sistemas de ponto de verificação.
Plug-ins
A integração requer que Resposta a incidentes de segurança(com.snc.security_incident) plug-in ser ativado.
- Faça login em sua instância com suas credenciais de HI.
- Verifique se você tem a função de administrador (administrador).
- Navegue até Definição do sistema>plug-ins na sua instância.
- Selecione e clique em Resposta a incidentes de segurança.
Depois que esses plug-ins forem instalados, você poderá carregar o novo plug-in de integração do Check Point da loja da ServiceNow e seguir as instruções de configuração a seguir.
Versões do SO do Check Point compatíveis
Esta integração requer o feed de inteligência personalizada do Check Point e blades anti-bot e antivírus. Estes são compatíveis a partir de R80.20 e superior. Instale o hot fix do recurso de Inteligência personalizada conhecido como Check Point R80.10 Jumbo HF Take 121 e superior. Consulte a seção Instalação da documentação do feed de inteligência personalizada do Check Point para obter mais informações sobre a matriz de compatibilidade do produto.
Depois de instalar o hot fix, certifique-se de que os comandos abaixo estejam acessíveis no gateway de Check Point. SSH para o gateway e faça login no modo especialista.
Versões da ServiceNow compatíveis
A versão de lançamento de San Diego ou posterior é compatível.
Referências
- Recurso de feeds de inteligência personalizada - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Para configurar blades de anti-bot e antivírus, consulte o Guia do usuário do ponto de verificação. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Para configurar a inspeção HTTPS no Check Point, siga o link abaixo. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Permissões e funções
- Administrador (administrador) para a instalação do plug-in da aplicação de integração
- Administrador de incidentes de segurança (sn_si.admin) para criar listas de bloqueios na ServiceNow e aprovar solicitações para adicionar e desativar entradas de lista de bloqueios.
- Analista de segurança (também referido aqui como Analista de SOC, sn_si.analista) para criar e manter registros de entrada da lista de bloqueios.
Para obter mais informações sobre como atribuir a função de analista de segurança, no Site de documentação da ServiceNow , Navegue até Operações de segurança>Resposta a incidentes de segurança> Atribuindo analistas de segurança.