Check Point Next Generation Threat Prevention integração
Este documento descreve as etapas necessárias para integrar os recursos do Check Point Next Generation Threat Prevention (NGTP) com ServiceNow® Resposta a incidentes de segurança(SIR) para que as aplicações funcionem corretamente juntas.
Uma vez instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP, URLs e domínios mal-intencionados usando os recursos de Lista de solicitações de bloqueio com ServiceNow Resposta a incidentes de segurança(SIR) produtos. Esta Lista de solicitações de bloqueio é configurada em gateways de ponto de verificação como um Feed de inteligência personalizada. O recurso Feeds de inteligência personalizada fornece a capacidade de adicionar feeds de inteligência cibernética personalizados ao mecanismo de prevenção de ameaças de última geração. Ele permite buscar feeds de um servidor de terceiros, neste caso ServiceNow Resposta a incidentes de segurança Diretamente para o Gateway de última geração do Check Point a ser imposto por blades antivírus e anti-bot. O analista de resposta a incidentes de segurança cria entradas para a Lista de bloqueios de ponto de verificação a partir de observáveis determinados como mal-intencionados em ServiceNow Incidentes de segurança SIR.
Para a maioria das implementações, uma Lista de solicitações de bloqueio é um arquivo csv hospedado em um servidor web externo. Para esta integração, este servidor web é seu ServiceNow AI Platform Instância, que permite que o mecanismo de prevenção contra ameaças de última geração do Check Point busque a lista de endereços IP, URLs e domínios a serem bloqueados.
Para impor o bloqueio de observáveis no Gateway do Check Point, certifique-se de que a Política de prevenção de ameaças esteja configurada com Blades anti-bot e antivírus ativados. À medida que as entradas da lista de bloqueios são modificadas, o Mecanismo de prevenção de ameaças importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou confirmação no firewall. Para esta integração, ServiceNow AI Platform Criou uma tabela que contém entradas da Lista de bloqueios que são recuperadas pelo Gateway de próxima geração do Check Point autorizado nos intervalos de recuperação configurados.
- Flexibilidade para criar várias listas de bloqueio que se aplicam a vários gateways de ponto de verificação.
- Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e permitir sites listados).
- Marcação de ServiceNow AI Platform Incidentes de segurança com entradas da lista de bloqueios por tipo de observável (URL, domínio, endereço IP).
- Configurar períodos de expiração da Lista de bloqueios para manter o tamanho da Lista de bloqueios expirando ou removendo entradas mais antigas automaticamente.
- Pesquisando entradas da lista de bloqueios entre diferentes listas de bloqueios.
- Vincular entradas da lista de bloqueios a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.
Diagrama da arquitetura de integração
Abaixo está o diagrama de arquitetura de alto nível que descreve os componentes envolvidos e os pontos de integração entre a NOW Platform e os sistemas de Check Point.
Plug-ins
A integração requer que Resposta a incidentes de segurança(com.snc.security_incident) plug-in ser ativado.
- Faça login em sua instância com suas credenciais HI.
- Verifique se você tem a função de administrador (administrador).
- Navegue até Definição do sistema>plug-ins em sua instância.
- Selecione e clique em Resposta de incidente de segurança.
Depois que esses plug-ins forem instalados, você poderá carregar o novo plug-in de integração do Check Point da ServiceNow Store e seguir as instruções de configuração a seguir.
Versões do SO do Check Point compatíveis
Esta integração requer o Feed de inteligência personalizada dos blades Check Point e Anti-Bot e Anti-Virus. Estes são compatíveis com R80.20 e superior. Instale o hot fix do recurso Inteligência personalizada conhecido como Check Point R80.10 Jumbo HF Take 121 e superior. Consulte a seção Instalação da documentação do feed de inteligência personalizada do Check Point para obter mais informações sobre a matriz de compatibilidade do produto.
Depois de instalar o hot fix, certifique-se de que os comandos abaixo estejam acessíveis no Gateway do Check Point. SSH para o Gateway e faça login no modo especialista.
Versões compatíveis da ServiceNow
A versão de lançamento do San Diego ou posterior é compatível.
Referências
- Recurso de feeds de inteligência personalizada - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Para configurar blades anti-bot e antivírus, consulte o Guia do usuário do Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Para configurar a inspeção HTTPS no Check Point, siga o link abaixo. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Permissões e funções
- Administrador (admin) para instalação do plug-in da aplicação de integração
- Administrador de incidentes de segurança (sn_si.admin) para criar listas de bloqueios na ServiceNow e aprovar solicitações para adicionar e desativar entradas de lista de bloqueios.
- Analista de segurança (também conhecido aqui como analista de SOC, sn_si.analyst) para criar e manter registros de entrada da lista de bloqueios.
Para obter mais informações sobre como atribuir a função de analista de segurança, em Site de documentação da ServiceNow , Navegue até Operações de segurança>Resposta a incidentes de segurança> Atribuição de analistas de segurança.