Erstellen Sie eine Sperrliste für die Check Point NGTP -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Erstellen Sie eine Sperrliste in Ihrer Now Platform-Instanz. Nach der Genehmigung und Aktivierung können Sie Einträge für diese Sperrlisten aus erkennbaren Elementen erstellen, die bei SIR-Incidents (Now Platform Security Incident Response) als böswillig eingestuft wurden, und die Genehmigung anfordern, um sie zu blockieren.

    Vorbereitungen

    Erforderliche Rolle: Security Incident Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die Sperrliste in Ihrer Now Platform-Instanz, damit der Prüfpunkt in der Liste enthaltene Objekte (IP-Adressen, URLs, Domänen) importieren kann. Benutzerdefinierter Intelligenz-Feed wird auf dem Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen in vorkonfigurierten Intervallen von der Now Platform abruft. Um sicherzustellen, dass die erkennbaren Elemente blockiert werden, sollte die Bedrohungsabwehrrichtlinie mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert werden.
    Hinweis:
    Die Abbildungen in diesem Thema werden mit Formularen mit Registerkarten angezeigt, die in den Systemeinstellungen deaktiviert sind.
    Systemeinstellungen > Formulare

    Prozedur

    1. Navigieren Sie nach Abschluss der Installation der Anwendung zu Integrationen > Integrationskonfigurationen.
    2. Suchen Sie die Karte Prüfpunkt Next Generation Threat Prevention, und klicken Sie auf Konfigurieren.
      Prüfpunkt-NGTP-Integrationskarte
      Hinweis:
      Privilegierte und proprietäre Inhalte, die mit Genehmigung von Check Point Software Technologies, Ltd. verwendet werden.
    3. Klicken Sie auf Neue Sperrliste erstellen.
      Prüfpunkt-NGTP-Konfiguration
    4. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name der Check Point-Sperranforderungsliste.

      Fügen Sie den erkennbaren Typ (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalyst die Absicht der Sperrliste leicht anhand des Namens erkennen kann. Der Name sollte auch eindeutig angeben, welcher Firewall-Richtlinie diese Sperrlistenobjekte zugeordnet sind. Einige Beispiele für Sperrlistennamen sind „Ausgehende Malware-IP“ oder „Ausgehende Phishing-URL“.
      Aktiv Diese Checkbox ist standardmäßig deaktiviert, um anzuzeigen, dass die Sperrliste inaktiv ist.

      Wenn sie inaktiv ist, kann die Sperrliste keine zusätzlichen Einträge erhalten.

      Wenn das Kontrollkästchen aktiviert ist (wenn die Change-Anforderung geschlossen wird oder keine Change-Anforderung generiert wird), wird die Sperrliste aktiviert und ist für Sperrlisteneinträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element in der Sperrliste blockiert ist. Wenn diese Option ausgewählt ist, ist das Feld „Tag für erkennbare Elemente“ im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie im Feld Name mit einem Check Point-Präfix eingegeben haben, z. B. Check Point – Malware Outbound IP. Sie können den Tag-Namen und die Farbe ändern. Der Tag-Name wird im Feld „Tag für erkennbare Elemente“ angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und das Feld „Tag für erkennbare Elemente“ ist im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie einen erkennbaren Typ aus der Liste aus, den diese Sperrliste akzeptiert: IP-Adresse (einschließlich CIDR für Allow-Liste), URL oder Domäne.
      Tag-Typ Tags, die in der Liste verfügbar sind.

      Eine Sperrliste ist eine Liste der erkennbaren Elemente, die vom Prüfpunkt Next Generation Threat Prevention blockiert werden sollen.

      Eine Allow-Liste ist eine Liste von erkennbaren Elementen, die in Check Point Next Generation Threat Prevention auf keinen Fall blockiert werden sollen.

      Standardmäßig ist die Farbe des Sperrlisten-Tags Schwarz und die Farbe des Allow-Listen-Tags Grau. Sie können die Farbe ändern.
      Change-Anforderung erstellen Diese Checkbox ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in Ihrer Now Platform-Instanz zu erstellen, die an den Sperrlisten-Datensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die Sperrlisten-Abruf-URL im Check Point Next Generation-Firewall-Gateway zu konfigurieren.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch die Now Platform für Firewall-Richtlinien oder -Regeländerungen verwendet. Wenn Sie eine Anforderung erstellen, wird die Sperrliste automatisch aktiviert, nachdem sie geschlossen wurde.

      Deaktivieren Sie die Checkbox, um die Sperrliste manuell zu aktivieren, nachdem Sie per E-Mail vom Firewall-Administrator benachrichtigt wurden, dass der benutzerdefinierte Intelligenz-Feed auf allen Prüfpunkt-Gateways konfiguriert wurde.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, ist das Feld Change-Anforderung nicht verfügbar.
      Genehmigung anfordern Diese Checkbox ist standardmäßig aktiviert, um Genehmigungen für das Aktivieren/Entfernen von Sperrlisteneinträgen aus Sperrlisten anzufordern. Die Genehmigung wird von den Benutzern mit der Rolle Security Incident Administrator (sn_si.admin) angefordert. Die Genehmigungsanforderung wird per E-Mail an die Genehmiger gesendet.

      Sobald die Genehmigung akzeptiert wurde, wird der Eintrag in dieser Sperrliste aktiviert.

      Wenn das Kontrollkästchen nicht aktiviert ist, folgen die Einträge für diese Sperrliste nicht dem Genehmigungs-Workflow und werden direkt in der Sperrliste aktiviert.
      Tag für erkennbares Element Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tag anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die Sperrliste mit einem Standardwert aus dem Feld Name gespeichert wurde. Wenn die Sperrliste mit dem Namen „Malware-URL“ erstellt wird, lautet der abgeleitete Tag-Name „Sperrliste – Malware-URL“.
      Change-Anforderung Wenn das Kontrollkästchen Change Request erstellen aktiviert ist, wird die Change Request-Nummer in der Now Platform-Instanz angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen Change Request erstellen deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der Check Point-Sperrliste. Der Name enthält im Allgemeinen die Arten von Sites und erkennbaren Elementen, die Sie in dieser Sperrliste erwarten würden. Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der Sperrliste.

      0 (Standard) gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben, der 24 Stunden entspricht. Es gibt keinen Höchstwert.
      Abruf-URL Die Abruf-URL wird automatisch generiert, sobald die Sperrliste gespeichert wurde. Um diese Sperrliste für Prüfpunkt-Gateways zu konfigurieren, müssen Sie diese URL verwenden. Sobald diese URL konfiguriert ist, ruft Check Point die zu blockierenden erkennbaren Elemente im CSV-Format ab.
      Sperrlisten-Anforderungsliste
    5. Klicken Sie auf Absenden.
    6. Wenn die Sperranforderungsliste für Check Point nicht angezeigt wird, navigieren Sie zu Check Point – NGTP-Integration > Sperranforderungslisten.
      Sperrlisten-Anforderungslisten
      Die neue Sperrliste wird angezeigt. Der Status der Sperrliste ist noch inaktiv (falsch), was bedeutet, dass die Sperrliste keine Einträge annehmen kann. Wenn Change-Anforderung erstellen konfiguriert wurde, wird eine Meldung angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in Ihrer Now Platform-Instanz erstellt wurden.
      Sperrlistenanforderungseinträge
    7. Klicken Sie in der Spalte Name auf ein Element, um den Datensatz zu öffnen.
      Der Datensatz der Sperrliste wird angezeigt. Dieses Beispiel zeigt eine ausgehende IP-Sperrliste für Malware. Die folgenden Felder, Optionen und Links werden im neuen Datensatz nach der Übermittlung angezeigt und in der folgenden Tabelle beschrieben.
      Abgerufene URL
      Feld Beschreibung
      E-Mail-Abruf-URL Sendet eine Benachrichtigung per E-Mail, dass der Blocklink für die Konfiguration an den Administrator der Check Point-Firewall verfügbar ist.
      Abruf-URL Diese URL wird verwendet, um Custom Intelligence Feed für Prüfpunkt-Gateways zu konfigurieren.
      Hinweis:
      Wenn Sie Ihre Systemeinstellungen auf Formulare mit Registerkarten festgelegt haben, wird dieser Link auf der Registerkarte Informationen zum Abruf von Sperrlisten am Ende des Datensatzes angezeigt.
      Change-Anforderung der Now Platform Ein Link zum Change-Anforderungsdatensatz wird im Abschnitt „Change-Anforderungen“ angezeigt, sofern konfiguriert, und die Anforderungsnummer wird im Feld Change-Anforderung angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere Sperrlisten hinzu.
      Die Sperrlisten werden auf der Seite „Check Point Sperranforderungslisten“ angezeigt.

    Nächste Maßnahme

    Aktivieren Sie die Sperranforderungsliste manuell oder mit einer Now Platform-Change-Anforderung.