Intégration Check Point Next Generation Threat Prevention

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Ce document décrit les étapes nécessaires pour intégrer les fonctionnalités de prévention des menaces de nouvelle génération (NGTP) de Check Point (NGTP) avec ServiceNow® Réponse aux incidents de sécurité (SIR) afin que les applications fonctionnent correctement ensemble.

    Une fois l’installation et la configuration effectuées, l’analyste des incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste de demandes de blocage avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). Cette liste de demandes de blocs est configurée sur les passerelles Check Point en tant que flux de renseignements personnalisé. La fonctionnalité Flux de renseignements personnalisés permet d’ajouter des flux de cyber-intelligence personnalisés au moteur de prévention des menaces de nouvelle génération. Il permet d’extraire les flux d’un serveur tiers, en l’occurrence l’application ServiceNow Réponse aux incidents de sécurité , directement vers la passerelle Check Point Next Generation Gateway à appliquer par les lames antivirus et anti-bot. L’analyste de réponse aux incidents de sécurité crée des entrées pour la liste de blocs Check Point à partir d’observables déterminés comme malveillants sur ServiceNow les incidents de sécurité SIR.

    Pour la plupart des implémentations, une liste de demandes de blocs est un fichier csv hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre ServiceNow AI Platform instance, ce qui permet au moteur de prévention des menaces de nouvelle génération de Check Point d’extraire la liste des adresses IP, des URL et des domaines à bloquer.

    Pour appliquer les observables bloquants sur Check Point Gateway, assurez-vous que la politique de prévention des menaces est configurée avec les lames antibot et antivirus activées. Au fur et à mesure que les entrées de la liste de blocs sont modifiées, le moteur de prévention des menaces importe dynamiquement la liste à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, ServiceNow AI Platform a créé une table contenant les entrées de la liste de blocs qui sont récupérées par la passerelle de nouvelle génération Check Point autorisée aux intervalles de récupération configurés.

    L’intégration comprend les fonctionnalités suivantes :
    • Flexibilité pour créer plusieurs listes de blocs qui s’appliquent à plusieurs passerelles Check Point.
    • Rapports détaillés sur les types de sites bloqués (hameçonnage, programmes malveillants et sites figurant sur la liste d’autorisation).
    • Balisage des incidents de sécurité avec des entrées de liste de blocs par type d’observable ServiceNow AI Platform (URL, domaine, adresse IP).
    • Configuration des périodes d’expiration des listes de blocs pour maintenir la taille de la liste de blocs en expirant ou en supprimant automatiquement les entrées plus anciennes.
    • Recherche des entrées de la liste de blocs entre différentes listes de blocs.
    • Liaison des entrées de la liste de blocs aux enregistrements d’observables et aux incidents de sécurité incluant les résultats des renseignements sur les menaces et les détails sur les raisons pour lesquelles une entrée est bloquée.

    Diagramme d’architecture d’intégration

    Vous trouverez ci-dessous le diagramme d’architecture de haut niveau décrivant les composants impliqués et les points d’intégration entre NOW Platform et Check Point Systems.

    Architecture d’intégration
    Remarque :
    Le logo Check Point Systems, l’image Anti-Virus Blade et l’image Anti Bot Blade proviennent de Check Point Systems ©. Ils sont la propriété de Check Point Systems.

    Modules d'extension

    L’intégration nécessite que le (com.snc.security_incident) module d’extension Réponse aux incidents de sécurité soit activé.

    Pour installer des modules d’extension Réponse aux incidents de sécurité :
    1. Connectez-vous à votre instance avec vos informations d’identification HI.
    2. Vérifiez que vous disposez du rôle d’administrateur (admin).
    3. Accédez à la définition du système>plugins dans votre instance.
    4. Sélectionnez et cliquez sur Réponse aux incidents de sécurité.

    Une fois ces modules d’extension installés, vous pouvez charger le nouveau module d’extension d’intégration Check Point à partir du ServiceNow Store et suivre les instructions de configuration suivantes.

    Versions de système d’exploitation Check Point prises en charge

    Cette intégration nécessite le flux d’intelligence personnalisé des lames Check Point et Anti-bot et Anti-virus. Ceux-ci sont pris en charge à partir de 80,20 R. Installez le correctif logiciel de la fonctionnalité d’intelligence personnalisée connue sous le nom de Check Point R80.10 Jumbo HF take 121 et versions ultérieures. Reportez-vous à la section Installation de la documentation du flux de renseignements personnalisé Check Point pour plus d’informations sur la matrice de compatibilité des produits.

    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193

    Après avoir installé le correctif d’urgence, assurez-vous que les commandes ci-dessous sont accessibles sur Check Point Gateway. Connectez-vous en SSH à la passerelle et connectez-vous en mode expert.

    Commandes disponibles sur la passerelle Check Point

    Versions ServiceNow prises en charge

    La version San Diego ou ultérieure est prise en charge.

    Références

    Vous trouverez ci-dessous quelques-unes des références Check Point qui sont utiles pour mettre en place les prérequis.
    1. Fonctionnalité Flux de renseignements personnalisés https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
    2. Pour configurer les lames Anti-Bot et Anti-Virus, reportez-vous au Guide de l’utilisateur Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
    3. Pour configurer l’inspection HTTPS sur Check Point, suivez le lien ci-dessous. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202

    Autorisations et rôles

    Les rôles ServiceNow suivants sont requis.
    • Administrateur (admin) pour l’installation du module d’extension de l’application d’intégration
    • Administrateur des incidents de sécurité (sn_si.admin) pour la création de listes de blocs dans ServiceNow et l’approbation des demandes d’ajout et de désactivation d’entrées de liste de blocage.
    • Analyste de sécurité (également appelé ici analyste SOC, sn_si.analyst) pour la création et la maintenance des enregistrements d’entrée de la liste de blocs.

    Pour plus d’informations sur l’affectation du rôle d’analyste de sécurité, sur le site web de la documentation ServiceNow, accédez à Opérations de sécurité>Réponse aux incidents de sécurité> Affectation d’analystes de sécurité.