Erstellen Sie eine Sperrliste für die Check Point NGTP -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Erstellen Sie eine Sperrliste in Ihrer Now Platform-Instanz. Nach der Genehmigung und Aktivierung können Sie Einträge für diese Sperrlisten aus erkennbaren Elementen erstellen, die bei Now Platform Security Incident Response-Incidents (SIR) als schädlich eingestuft wurden, und die Genehmigung zum Blockieren von Incidents anfordern.

    Vorbereitungen

    Erforderliche Rolle: Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die Sperrliste in Ihrer Now Platform-Instanz, damit der Prüfpunkt die in der Liste enthaltenen Objekte (IP-Adressen, URLs, Domänen) importieren kann. Der anwenderdefinierte Intelligenzfeed wird auf dem Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen in vorkonfigurierten Intervallen von der Now Platform abruft. Um sicherzustellen, dass die erkennbaren Elemente blockiert werden, muss die Bedrohungsabwehrrichtlinie mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert werden.
    Hinweis:
    Die Zahlen in diesem Thema werden mit in den Systemeinstellungen gelöschten Formularen mit Registerkarten angezeigt.
    Systemeinstellungen > Formulare

    Prozedur

    1. Navigieren Sie nach Abschluss der Anwendungsinstallation zu Integrationen > Integrationskonfigurationen.
    2. Suchen Sie die Karte Prüfpunkt Next Generation Threat Prevention (Prüfpunkt Next Generation Threat Prevention), und klicken Sie auf Konfigurieren.
      Check Point – NGTP-Integrationskarte
      Hinweis:
      Verwendung privilegierter und proprietärer Inhalte mit Genehmigung von Check Point Software Technologies, Ltd.
    3. Klicken Sie auf Neue Sperrliste erstellen.
      Prüfpunkt-NGTP-Konfiguration
    4. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name der Sperranforderungsliste für Check Point.

      Fügen Sie den Typ des erkennbaren Elements (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalyst die Absicht der Sperrliste anhand des Namens leicht erkennen kann. Der Name sollte auch eindeutig angeben, welcher Firewallrichtlinie diese Sperrlistenobjekte zugeordnet sind. Einige Beispiele für Sperrlistennamen sind „Ausgehende Malware-IP“ oder „Ausgehende Phishing-URL“.
      Aktiv Diese Checkbox ist standardmäßig deaktiviert, um anzugeben, dass die Sperrliste inaktiv ist.

      Wenn die Sperrliste inaktiv ist, können keine zusätzlichen Einträge empfangen werden.

      Wenn das Kontrollkästchen aktiviert ist (wenn die Change-Anforderung geschlossen oder die Change-Anforderung nicht generiert wird), wird die Sperrliste aktiviert und ist für Sperrlisteneinträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element in der Sperrliste blockiert ist. Wenn diese Option ausgewählt ist, ist das Feld „Tag für erkennbare Elemente“ im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie im Feld Name mit einem Prüfpunkt-Präfix eingeben, z. B. Prüfpunkt – Malware – Ausgehende IP. Sie können den Tag-Namen und die Farbe ändern. Der Tag-Name wird im Feld „Tag für erkennbare Elemente“ angezeigt, sobald die Sperrliste gespeichert wird.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und das Feld „Tag für erkennbare Elemente“ ist im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie einen erkennbaren Elementtyp, den diese Sperrliste akzeptiert, aus der Liste aus: IP-Adresse (einschließlich CIDR für Allow-Liste), URL oder Domäne.
      Tag-Typ Tags, die in der Liste verfügbar sind.

      Eine Sperrliste ist eine Liste erkennbarer Elemente, die von Check Point Next Generation Threat Prevention blockiert werden sollen.

      Eine Allow-Liste ist eine Liste von erkennbaren Elementen, die Sie in Prüfpunkt Next Generation Threat Prevention auf keinen Fall blockieren möchten.

      Standardmäßig ist die Tag-Farbe der Sperrliste schwarz und die Tag-Farbe der Allow-Liste grau. Sie können die Farbe ändern.
      Change-Anforderung erstellen Dieses Kontrollkästchen ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in Ihrer Now Platform-Instanz zu erstellen, die an den Sperrlisten-Datensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die Abruf-URL für die Sperrliste im Firewall-Gateway von Check Point Next Generation zu konfigurieren.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch die Now Platform für Firewall-Richtlinien- oder Regeländerungen verwendet. Wenn Sie eine Anforderung erstellen, wird die Sperrliste nach dem Schließen automatisch aktiviert.

      Deaktivieren Sie das Kontrollkästchen, um die Sperrliste manuell zu aktivieren, nachdem Sie per E-Mail vom Firewall-Administrator benachrichtigt wurden, dass der anwenderdefinierte Intelligenzfeed auf allen Prüfpunkt-Gateways konfiguriert wurde.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, ist das Feld Change-Anforderung nicht verfügbar.
      Genehmigung anfordern Dieses Kontrollkästchen ist standardmäßig aktiviert, um Genehmigungen für das Aktivieren/Entfernen von Sperrlisteneinträgen aus Sperrlisten anzufordern. Die Genehmigung wird von den Anwendern mit der Rolle „Security Incident-Administrator“ (sn_si.admin) angefordert. Genehmigungsanforderung wird per E-Mail an die Genehmiger gesendet.

      Sobald die Genehmigung akzeptiert wurde, wird der Eintrag in dieser Sperrliste aktiviert.

      Wenn das Kontrollkästchen deaktiviert ist, folgen die Einträge für diese Sperrliste nicht dem Genehmigungs-Workflow, sondern werden direkt in der Sperrliste aktiviert.
      Tag für erkennbares Element Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tags anzeigen aktiviert ist. Das Feld wird automatisch gefüllt, nachdem die Sperrliste mit einem Standardwert aus dem Feld Name gespeichert wurde. Wenn die Sperrliste mit dem Namen „Malware-URL“ erstellt wird, lautet der abgeleitete Tag-Name „Sperrliste – Malware-URL“.
      Change-Anforderung Wenn das Kontrollkästchen Change-Anforderung erstellen aktiviert ist, wird die Nummer der Change-Anforderung in der Now Platform-Instanz angezeigt, sobald die Sperrliste gespeichert wird.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der Check Point-Sperrliste. Der Name enthält im Allgemeinen die Typen von Sites und erkennbaren Elementen, die sich voraussichtlich in dieser Sperrliste befinden. Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der Sperrliste.

      0 (Standardeinstellung) gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben, was 24 Stunden entspricht, und es gibt keinen Höchstwert.
      Abruf-URL Die Abruf-URL wird automatisch generiert, sobald die Sperrliste gespeichert wird. Um diese Sperrliste auf Prüfpunkt-Gateways zu konfigurieren, müssen Sie diese URL verwenden. Sobald diese URL konfiguriert ist, ruft Check Point zu blockierende erkennbare Elemente im CSV-Format ab.
      Liste der Sperrlistenanforderungen
    5. Klicken Sie auf Absenden.
    6. Wenn die Sperranforderungsliste für Check Point nicht angezeigt wird, navigieren Sie zu Check Point – NGTP-Integration > Sperranforderungslisten.
      Sperrlistenanforderungslisten
      Die neue Sperrliste wird angezeigt. Der Status der Sperrliste ist weiterhin inaktiv (falsch), was bedeutet, dass die Sperrliste nicht für die Annahme von Einträgen verfügbar ist. Wenn Change-Anforderung erstellen konfiguriert wurde, wird eine Nachricht angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in Ihrer Now Platform-Instanz erstellt wurden.
      Einträge der Sperrlistenanforderung
    7. Klicken Sie in der Spalte Name auf ein Element, um den Datensatz zu öffnen.
      Der Sperrlistendatensatz wird angezeigt. Dieses Beispiel zeigt eine Sperrliste für ausgehende IP-Adressen für Malware. Die folgenden Felder, Optionen und Links werden nach der Übermittlung im neuen Datensatz angezeigt und in der folgenden Tabelle beschrieben.
      Abgerufene URL
      Feld Beschreibung
      E-Mail-Abruf-URL Sendet eine Benachrichtigung per E-Mail, dass der Blocklink zur Konfiguration an den Check Point-Firewall-Administrator verfügbar ist.
      Abruf-URL Diese URL wird zum Konfigurieren des anwenderdefinierten Intelligenzfeeds auf Prüfpunkt-Gateways verwendet.
      Hinweis:
      Wenn in Ihren Systemeinstellungen Formulare mit Registerkarten festgelegt sind, wird dieser Link auf der Registerkarte Abrufinformationen für Sperrliste unten im Datensatz angezeigt.
      Change-Anforderung für die Now Platform Ein Link zum Datensatz der Change-Anforderung wird im Abschnitt „Change-Anforderungen“ angezeigt, sofern konfiguriert, und die Nummer der Anforderung wird im Feld Change-Anforderung angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere Sperrlisten hinzu.
      Die Sperrlisten werden auf der Seite mit Sperranforderungslisten für Check Point angezeigt.

    Nächste Maßnahme

    Aktivieren Sie die Sperranforderungsliste manuell oder mit einer Change-Anforderung der Now Platform.