Integration „Check Point Next Generation Threat Prevention“
Dieses Dokument beschreibt die Schritte, die erforderlich sind, um Check Point Next Generation Threat Prevention-Funktionen (NGTP) in ServiceNow® Security Incident Response (SIR) zu integrieren, damit Anwendungen ordnungsgemäß funktionieren.
Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe von Sperranforderungslistenfunktionen mit den -Produkten ServiceNow Security Incident Response (SIR) zu blockieren. Diese Sperranforderungsliste ist auf Prüfpunkt-Gateways als anwenderdefinierter Intelligenzfeed konfiguriert. Die Funktion „Anwenderdefinierte Intelligenzfeeds“ bietet die Möglichkeit, der Next Generation Threat Prevention-Engine anwenderdefinierte Cyber Intelligence-Feeds hinzuzufügen. Sie ermöglicht das Abrufen von Feeds von einem Drittanbieterserver, in diesem Fall der Anwendung ServiceNow Security Incident Response, direkt an das Check Point Next Generation Gateway, was von Anti-Virus- und Anti-Bot-Blades erzwungen wird. Der Security Incident Response-Analyst erstellt Einträge für die Check Point-Sperrliste aus erkennbaren Elementen, die in ServiceNow SIR-Security Incidents als schädlich eingestuft wurden.
Bei den meisten Implementierungen handelt es sich bei einer Sperranforderungsliste um eine CSV-Datei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihre Now Platform-Instanz, die es der Check Point Next Generation Threat Prevention Engine ermöglicht, die Liste der zu blockierenden IP-Adressen, URLs und Domänen abzurufen.
Um das Blockieren erkennbarer Elemente auf dem Prüfpunkt-Gateway zu erzwingen, stellen Sie sicher, dass die Bedrohungsverhinderungsrichtlinie mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert ist. Wenn die Sperrlisteneinträge geändert werden, importiert die Threat Prevention Engine die Liste dynamisch zum konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit auf der Firewall. Für diese Integration hat Now Platform eine Tabelle mit Sperrlisteneinträgen erstellt, die vom autorisierten Check Point Next Generation Gateway in den konfigurierten Abrufintervallen abgerufen werden.
- Flexibilität zum Erstellen mehrerer Sperrlisten, die für mehrere Prüfpunkt-Gateways gelten.
- Detaillierte Berichte zu den Arten von blockierten Websites (Phishing, Malware und auf der Zulassungsliste aufgeführte Websites).
- Tagging von Now Platform-Security Incidents mit Sperrlisteneinträgen nach erkennbarem Elementtyp (URL, Domäne, IP-Adresse).
- Konfigurieren von Ablaufzeiträumen für Sperrlisten, um die Größe der Sperrliste durch automatisches Ablaufen oder Entfernen älterer Einträge aufrechtzuerhalten.
- Sperrlisteneinträge werden in verschiedenen Sperrlisten durchsucht.
- Verknüpfen von Sperrlisteneinträgen mit Datensätzen erkennbarer Elemente und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert wird.
Diagramm der Integrationsarchitektur
Nachfolgend finden Sie das allgemeine Architekturdiagramm, das die beteiligten Komponenten und Integrationspunkte zwischen NOW Platform und Check Point Systems darstellt.
Plugins
Zur Integration muss das Plugin Security Incident Response (com.snc.security_incident) aktiviert werden.
- Melden Sie sich mit Ihren HI-Anmeldeinformationen bei Ihrer -Instanz an.
- Vergewissern Sie sich, dass Sie über die Administratorrolle (admin) verfügen.
- Navigieren Sie in Ihrer Instanz zu Systemdefinition > Plugins.
- Wählen Sie Security Incident Response aus, und klicken Sie darauf.
Sobald diese Plugins installiert wurden, können Sie das neue Check Point-Integrations-Plugin aus dem ServiceNow Store hochladen und die folgenden Konfigurationsanweisungen befolgen.
Unterstützte Prüfpunkt-Betriebssystemversionen
Diese Integration erfordert den anwenderdefinierten Intelligenzfeed der Prüfpunkt- und Anti-Bot- und Anti-Virus-Blades. Diese werden ab R80.20 und höher unterstützt. Installieren Sie den Hotfix für die Funktion „Custom Intelligence“ mit der Bezeichnung Check Point R80.10 Jumbo SF (Version 121 und höher). Weitere Informationen zur Produktkompatibilitätsmatrix finden Sie im Installationsabschnitt der Check Point-Dokumentation für anwenderdefinierten Intelligenzfeed.
Stellen Sie nach der Installation des Hotfixes sicher, dass die folgenden Befehle auf dem Prüfpunkt-Gateway verfügbar sind. Stellen Sie eine SSH-Verbindung zum Gateway her, und melden Sie sich im Expertenmodus an.
Unterstützte Versionen von ServiceNow
Release-Version San Diego oder höher wird unterstützt.
Referenzen
- Funktion für anwenderdefinierte Intelligenzfeeds – https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Informationen zum Einrichten von Anti-Bot- und Anti-Virus-Blades finden Sie im Prüfpunkt-Benutzerhandbuch. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Um die HTTPS-Inspektion für Check Point einzurichten, folgen Sie dem Link unten. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Berechtigungen und Rollen
- Administrator (admin) für die Installation des Integrationsanwendungs-Plugins
- Security Incident-Administrator (sn_si.admin) für die Erstellung von Sperrlisten in ServiceNow und die Genehmigung von Anforderungen zum Hinzufügen und Deaktivieren von Sperrlisteneinträgen.
- Sicherheitsanalyst (hier auch als SOC-Analyst bezeichnet, sn_si.analyst) für die Erstellung und Verwaltung von Sperrlisteneintrags-Datensätzen.
Weitere Informationen zum Zuweisen der Rolle „Sicherheitsanalyst“ finden Sie auf der ServiceNow-Dokumentationswebsiteunter Security Operations>Security Incident Response> Sicherheitsanalysten zuweisen.