Check Point Next Generation Threat Prevention intégration
Ce document décrit les étapes requises pour intégrer les options de prévention des menaces de nouvelle génération (NGTP) de ServiceNow® Réponse aux incidents de sécurité Check Point à (SIR) afin que les applications fonctionnent correctement ensemble.
Une fois installée et configurée, l’analyste des incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste de demandes de blocs avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). Cette liste de demandes de blocs est configurée sur les passerelles Check Point en tant que flux de renseignements personnalisé. La fonctionnalité Flux de renseignements personnalisés permet d’ajouter des flux de renseignements sur la cybersécurité personnalisés dans le moteur de prévention des menaces de nouvelle génération. Il permet d’extraire les flux d’un serveur tiers, en l’occurrence l’application ServiceNow Réponse aux incidents de sécurité , directement vers la passerelle Check Point Next Generation Gateway pour qu’ils soient appliqués par les serveurs lames anti-virus et anti-bot. L’analyste de réponse aux incidents de sécurité crée des entrées pour la liste de blocs Check Point à partir d’observables déterminés comme malveillants sur ServiceNow les incidents de sécurité SIR.
Pour la plupart des implémentations, une liste de demandes de blocs est un fichier csv hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre instance Now Platform, ce qui permet au moteur Check Point de prévention des menaces de nouvelle génération d’extraire la liste des adresses IP, des URL et des domaines à bloquer.
Pour appliquer les observables bloquants sur Check Point Gateway, assurez-vous que la politique de prévention des menaces est configurée avec les lames anti-bot et anti-virus activées. Au fur et à mesure que les entrées de la liste de blocs sont modifiées, le moteur de prévention des menaces importe dynamiquement la liste à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées de la liste de blocs qui sont récupérées par la passerelle de nouvelle génération Check Point autorisée aux intervalles d’extraction configurés.
- Flexibilité de création de plusieurs listes de blocs qui s’appliquent à plusieurs passerelles Check Point.
- Rapports détaillés sur les types de sites bloqués (hameçonnage, logiciels malveillants et sites sur liste d’autorisation).
- Balisage des incidents de sécurité de Now Platform avec des entrées de liste de blocs par type d’observable (URL, domaine, adresse IP).
- Configurer les périodes d’expiration des listes de blocs pour conserver la taille de la liste de blocs en faisant automatiquement expirer ou en supprimant les entrées les plus anciennes.
- Recherche d’entrées de liste de blocs entre différentes listes de blocs.
- Liaison des entrées de la liste de blocs aux enregistrements d’observables et aux incidents de sécurité qui incluent des résultats de Threat Intelligence et des détails sur les raisons pour lesquelles une entrée est bloquée.
Diagramme d’architecture d’intégration
Vous trouverez ci-dessous le diagramme d’architecture de haut niveau qui illustre les composants impliqués et les points d’intégration entre NOW Platform et Check Point Systems.
Modules d'extension
L’intégration nécessite l’activation du module d’extension Réponse aux incidents de sécurité (com.snc.security_incident).
- Connectez-vous à votre instance avec vos informations d’identification HI.
- Vérifiez que vous disposez du rôle administrateur (admin).
- Accédez à Définition du système>modules d’extension dans votre instance.
- Sélectionnez et cliquez sur Security Incident Response.
Une fois ces modules d’extension installés, vous pouvez télécharger le nouveau module d’extension d’intégration Check Point à partir du ServiceNow Store et suivre les instructions de configuration suivantes.
Versions de Check Point OS prises en charge
Cette intégration nécessite le flux de renseignements personnalisé de Check Point. Installez le correctif de la fonctionnalité d’intelligence personnalisée connue sous le nom de Check Point R80.10 Jumbo HF prendre 121 et plus. Consultez la section Installation de la documentation du flux d’intelligence personnalisé Check Point pour en savoir plus sur la matrice de compatibilité du produit.
Après avoir installé le correctif, assurez-vous que les commandes ci-dessous sont accessibles sur Check Point Gateway. SSH à la passerelle et connectez-vous au mode expert.
Versions de ServiceNow prises en charge
La version San Diego ou une version ultérieure est prise en charge.
Références
- Fonctionnalité Flux de renseignements personnalisés - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Pour configurer les serveurs lames Anti-Bot et Anti-Virus, reportez-vous au Guide de l’utilisateur Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Pour configurer l’inspection HTTPS sur Check Point, suivez le lien ci-dessous. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Autorisations et rôles
- Administrateur (admin) pour l’installation du module d’extension de l’application d’intégration
- Administrateur des incidents de sécurité (sn_si.admin) pour la création de listes de blocs dans ServiceNow et l’approbation des demandes d’ajout et de désactivation des entrées de la liste de blocage.
- Analyste de sécurité (également appelé ici analyste SOC, sn_si.analyst) pour la création et la gestion des enregistrements d’entrée de la liste de blocs.
Pour plus d’informations sur l’affectation du rôle d’analyste de sécurité, sur le site web de documentation ServiceNow, accédez à Security Operations>Security Incident Response> Affectation d’analystes de sécurité.