통합에 대한 Check Point NGTP 차단 목록 생성
Now Platform 인스턴스에 차단 목록을 만듭니다. 승인 및 활성화되면 Now Platform Security Incident Response(SIR) 인시던트에서 악성으로 확인된 옵저버블에서 이러한 차단 목록에 대한 항목을 생성하고 차단을 위한 승인을 요청할 수 있습니다.
시작하기 전에
필요한 역할: 보안 인시던트 관리자(sn_si.admin)
이 태스크 정보
프로시저
-
Check Point Next Generation Threat Prevention 카드를 찾아 Configure(구성)를 클릭합니다.
주:Check Point Software Technologies, Ltd.의 허가를 받아 사용 된 특권 및 독점 콘텐츠.
-
새 차단 목록 만들기를 클릭합니다.
-
양식의 필드에 내용을 입력합니다.
필드 설명 이름 체크 포인트 차단 요청 목록 이름입니다. 보안 분석가가 이름으로 차단 목록의 의도를 쉽게 인식할 수 있도록 이 필드에 옵저버블 유형(URL, IP, 도메인)을 포함합니다. 또한 이름은 이러한 차단 목록 개체가 매핑되는 방화벽 정책을 명확하게 나타내야 합니다. 차단 목록 이름의 몇 가지 예로는 아웃바운드 맬웨어 IP 또는 아웃바운드 피싱 URL이 있습니다.
활성 이 확인란은 차단 목록이 비활성 상태임을 나타내기 위해 기본적으로 선택되어 있지 않습니다. 비활성 상태인 경우 차단 목록은 추가 항목을 수신할 수 없습니다.
이 확인란을 선택하면(변경 요청이 종결되거나 변경 요청이 생성되지 않은 경우) 차단 목록이 활성화되고 차단 목록 항목에 사용할 수 있습니다.
태그 표시 옵저버블이 차단 목록에서 차단된 경우 옵저버블 및 관련 보안 인시던트 기록에 자동으로 태그를 지정하려면 기본적으로 확인란이 선택됩니다. 선택하면 양식에서 "옵저버블 태그" 필드를 사용할 수 있습니다. 주:태그 이름은 Check Point-접두사를 사용하여 Name(이름) 필드에 입력한 값에서 기본적으로 생성됩니다(예: Check Point-Malware OutBound IP). 태그 이름과 색상을 변경할 수 있습니다. 차단 목록이 저장되면 태그 이름이 "옵저버블 태그" 필드에 표시됩니다.확인란의 선택을 취소하면 태그가 생성되지 않으며 양식에서 "옵저버블 태그" 필드를 사용할 수 없습니다.
관찰 대상 유형 이 차단 목록이 허용하는 옵저버블 유형(IP 주소(허용 목록에 CIDR 포함), URL 또는 도메인)을 선택합니다. 태그 유형 목록에서 사용할 수 있는 태그입니다. 차단 목록은 Check Point Next Generation Threat Prevention에서 차단하려는 관찰 가능 항목 목록입니다.
허용 목록은 어떤 경우에도 Check Point Next Generation Threat Prevention에서 차단하지 않으려는 옵저버블 목록입니다.
기본적으로 차단 목록 태그 색은 검은색이고 허용 목록 태그 색은 회색입니다. 색상을 변경할 수 있습니다.
변경 요청 생성 차단 목록 기록에 첨부된 Now Platform 인스턴스에서 변경 요청 및 변경 작업을 자동으로 생성하려면 이 확인란이 기본적으로 선택되어 있습니다. 변경 요청은 Check Point Next Generation 방화벽 게이트웨이에서 차단 목록 검색 URL을 구성하는 데 사용됩니다.
방화벽 관리자가 방화벽 정책 또는 규칙 변경에 대해 Now Platform을 사용하는 경우 이 옵션을 권장합니다. 요청을 만드는 경우 요청이 종결되면 차단 목록이 자동으로 활성화됩니다.
방화벽 관리자로부터 이메일을 통해 사용자 지정 인텔리전스 피드가 모든 Check Point 게이트웨이에 구성되었다는 알림을 받은 후 차단 목록을 수동으로 활성화하려면 확인란의 선택을 취소합니다.
변경 요청 생성 확인란의 선택을 취소하면 변경 요청 필드를 사용할 수 없습니다.
승인 요청 차단 목록에서 차단 목록 항목을 활성화/제거하기 위한 승인을 요청하려면 이 확인란이 기본적으로 선택되어 있습니다. 보안 인시던트 관리자(sn_si.admin) 역할을 가진 사용자가 승인을 요청합니다. 승인 요청은 이메일을 통해 승인자에게 전송됩니다. 승인이 수락되면 해당 차단 목록에서 항목이 활성화됩니다.
확인란을 선택하지 않으면 해당 차단 목록에 대한 항목이 승인 워크플로를 따르지 않고 차단 목록에서 직접 활성화됩니다.
옵저버블 태그 이 필드는 태그 표시 확인란을 선택한 경우에만 표시됩니다. 차단 목록이 이름 필드의 기본값으로 저장된 후 필드가 자동으로 채워집니다. "Malware URL"이라는 이름으로 차단 목록이 생성된 경우 파생된 태그 이름은 "차단 목록 – Malware URL"입니다. 변경 요청 변경 요청 생성 확인란을 선택하면 차단 목록이 저장되면 변경 요청 번호가 Now Platform 인스턴스에 표시됩니다. 변경 요청 생성 확인란의 선택을 취소하면 이 필드는 표시되지 않습니다.
설명 체크 포인트 차단 목록에 대한 설명입니다. 이름에는 일반적으로 이 차단 목록에 있을 것으로 예상되는 사이트 및 관찰 가능 개체의 유형이 포함되며 이 필드를 사용하여 자세한 내용을 확인할 수 있습니다. 만료 기간(일) 차단 목록의 만료 기간입니다. 0(기본값)은 차단 목록 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 입력한 일 수 동안 이 항목이 활성 상태가 됩니다. 최솟값 1(24시간)을 입력할 수 있으며 최댓값은 없습니다.
검색 URL 차단 목록이 저장되면 검색 URL이 자동으로 생성됩니다. Check Point 게이트웨이에서이 차단 목록을 구성하려면이 URL을 사용해야합니다. 이 URL이 구성되면 Check Point는 차단할 옵저버블을 csv 형식으로 가져옵니다. -
Check Point 차단 요청 목록이 표시되지 않으면 다음으로 이동합니다. 레이블이 표시됩니다.
새 차단 목록이 표시됩니다. 차단 목록 상태가 여전히 비활성 상태(false)이며, 이는 차단 목록을 사용하여 항목을 수락할 수 없음을 의미합니다. 변경 요청 생성이 구성된 경우 Now Platform 인스턴스에 변경 요청 및 작업이 생성되었음을 나타내는 메시지가 표시됩니다.
-
이름 열에서 항목을 클릭하여 기록을 엽니다.
차단 목록 기록이 표시됩니다. 이 예에서는 악성코드 아웃바운드 IP 차단 목록을 보여줍니다. 다음 필드, 옵션 및 링크는 제출 후 새 기록에 표시되며 다음 테이블에 설명되어 있습니다.
필드 설명 이메일 검색 URL Check Point 방화벽 관리자에게 차단 링크를 구성할 수 있다는 알림을 이메일로 보냅니다. 검색 URL 이 URL은 Check Point 게이트웨이에서 사용자 지정 인텔리전스 피드를 구성하는 데 사용됩니다. 주:시스템 설정을 탭 양식으로 설정한 경우 이 링크는 레코드 하단의 차단 목록 검색 정보 탭에 표시됩니다.Now Platform 변경 요청 구성 시 변경 요청 섹션에 변경 요청 기록에 대한 링크가 표시되고 변경 요청 필드에 요청 번호가 표시됩니다. 업데이트 데이터를 수정하고 편집 가능한 필드를 업데이트합니다. 삭제 기록을 삭제합니다.
다음에 수행할 작업
차단 요청 목록을 수동으로 활성화하거나 Now Platform 변경 요청을 사용하여 활성화합니다.