Check Point Next Generation Threat Prevention 통합

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 5분

    • 이 문서에서는 애플리케이션이 제대로 작동하도록 NGTP(Check Point Next Generation Threat Prevention) 기능을 SIR(Incident)과 ServiceNow® 보안 인시던트 응답 통합하는 데 필요한 단계에 대해 설명합니다.

    설치 및 구성이 완료되면 보안 인시던트 분석가는 이 통합을 통해 (SIR) 제품의 요청 목록 차단 기능을 사용하여 악성 IP 주소, URL 및 도메인을 차단합니다 ServiceNow 보안 인시던트 응답 . 이 차단 요청 목록은 Check Point 게이트웨이에서 사용자 지정 인텔리전스 피드로 구성됩니다. 사용자 지정 인텔리전스 피드 기능은 차세대 위협 방지 엔진에 사용자 지정 사이버 인텔리전스 피드를 추가하는 기능을 제공합니다. 이를 통해 타사 서버(이 경우 ServiceNow 보안 인시던트 응답 애플리케이션)에서 Check Point Next Generation Gateway로 직접 피드를 가져와 Anti-Virus 및 Anti-Bot 블레이드에 의해 적용할 수 있습니다. 보안 인시던트 응답 분석가는 SIR 보안 인시던트에서 ServiceNow 악성으로 확인된 옵저버블에서 체크 포인트 차단 목록에 대한 항목을 생성합니다.

    대부분의 구현에서 차단 요청 목록은 외부 웹 서버에서 호스팅되는 csv 파일입니다. 이 통합의 경우 이 웹 서버는 Now Platform 인스턴스이며, 이를 통해 Check Point 차세대 위협 방지 엔진이 차단할 IP 주소, URL 및 도메인 목록을 가져올 수 있습니다.

    Check Point 게이트웨이에서 차단 관찰 대상을 적용하려면 위협 방지 정책이 안티 봇 및 안티 바이러스 블레이드가 활성화 된 상태로 구성되어 있는지 확인하십시오. 차단 목록 항목이 수정되면 Threat Prevention Engine은 구성된 간격으로 목록을 동적으로 가져오고 방화벽에서 구성 변경 또는 커밋 없이 정책을 적용합니다. 이 통합을 위해 Now Platform은 구성된 검색 간격으로 승인된 Check Point 차세대 게이트웨이에서 검색되는 차단 목록 항목이 포함된 테이블을 생성했습니다.

    통합에는 다음과 같은 기능이 포함됩니다.
    • 여러 Check Point 게이트웨이에 적용되는 여러 차단 목록을 생성할 수 있는 유연성.
    • 차단되는 사이트 유형(피싱, 맬웨어 및 허용 목록 사이트)에 대한 자세한 보고입니다.
    • 옵저버블 유형(URL, 도메인, IP 주소)별로 차단 목록 항목을 사용하여 Now Platform 보안 인시던트 태그 지정
    • 이전 항목을 자동으로 만료하거나 제거하여 차단 목록 크기를 유지하도록 차단 목록 만료 기간을 구성합니다.
    • 서로 다른 차단 목록 간에 차단 목록 항목을 검색합니다.
    • 차단 목록 항목을 위협 인텔리전스 결과 및 항목이 차단된 이유에 대한 세부 정보가 포함된 옵저버블 기록 및 보안 인시던트에 연결합니다.

    통합 아키텍처 다이어그램

    다음은 NOW Platform과 Check Point Systems 간의 관련 구성 요소 및 통합 지점을 설명하는 개략적인 아키텍처 다이어그램입니다.

    통합 아키텍처
    주:
    Check Point Systems 로고, 안티 바이러스 블레이드 이미지 및 안티 봇 블레이드 이미지는 Check Point Systems ©에서 가져온 것입니다. Check Point Systems의 자산입니다.

    플러그인

    통합을 위해서는 (com.snc.security_incident) 플러그인을 보안 인시던트 응답 활성화해야 합니다.

    플러그인을 설치 보안 인시던트 응답 하려면 다음을 수행합니다.
    1. HI 자격 증명을 사용하여 인스턴스에 로그인합니다.
    2. 관리자(admin) 역할이 있는지 확인합니다.
    3. 인스턴스에서 시스템 정의>플러그인으로 이동합니다.
    4. 보안 인시던트 응답을 선택하여 클릭합니다.

    이러한 플러그인이 설치되면 ServiceNow Store에서 새 Check Point 통합 플러그인을 업로드하고 다음 구성 지침을 따를 수 있습니다.

    지원되는 체크 포인트 OS 버전

    이 통합에는 Check Point의 사용자 지정 인텔리전스 피드와 안티 봇 및 안티 바이러스 블레이드가 필요합니다. R80.20 이상에서 지원됩니다. Check Point R80.10 Jumbo HF로 알려진 Custom Intelligence 기능의 핫픽스를 설치하고 121 이상을 사용합니다. 제품 호환성 매트릭스에 대한 자세한 내용은 Check Point Custom Intelligence 피드 설명서의 설치 섹션을 참조하십시오.

    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193

    핫픽스를 설치한 후 Check Point Gateway에서 아래 명령에 액세스할 수 있는지 확인합니다. 게이트웨이에 대한 SSH를 실행하고 전문가 모드로 로그인합니다.

    Check Point 게이트웨이에서 사용할 수 있는 명령

    지원되는 ServiceNow 버전

    San Diego 릴리스 버전 이상이 지원됩니다.

    참조

    다음은 필수 구성 요소를 설정하는 데 유용한 몇 가지 체크 포인트 참조입니다.
    1. 사용자 지정 인텔리전스 피드 기능 - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
    2. 안티 봇 및 안티 바이러스 블레이드를 설정하려면 Check Point 사용자 가이드를 참조하십시오. http://downloads.checkpoint.com/dc/download.htm?ID=46534
    3. Check Point에서 HTTPS 검사를 설정하려면 아래 링크를 따르십시오. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202

    권한 및 역할

    다음 ServiceNow 역할이 필요합니다.
    • 통합 애플리케이션 플러그인 설치를 위한 관리자(admin)
    • ServiceNow에서 차단 목록을 만들고 차단 목록 항목 추가 및 비활성화 요청을 승인하는 보안 인시던트 관리자(sn_si.admin).
    • 차단 목록 항목 기록을 만들고 유지 관리하기 위한 보안 분석가(여기서는 SOC 분석가 sn_si.analyst라고도 함).

    보안 분석가 역할 할당에 대한 자세한 내용은 ServiceNow 설명서 웹 사이트에서 보안 운영>보안 인시던트 응답> 보안 분석가 할당으로 이동하십시오.