Créer une liste de blocs pour l’intégration Check Point NGTP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Créez une liste de blocs dans votre instance Now Platform. Une fois approuvées et activées, vous pouvez créer des entrées pour ces listes de blocs à partir d’observables identifiés comme malveillants sur les incidents Now Platform Security Incident Response (SIR) et demander l’approbation pour les bloquer.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Créez la liste de blocs sur votre instance Now Platform afin que Check Point puisse importer les objets (adresses IP, URL, domaines) inclus dans la liste. Le flux de renseignements personnalisé est configuré sur Check Point Gateway qui extrait les adresses IP, les URL et les domaines de la Now Platform à un intervalle préconfiguré. Pour garantir le blocage des observables, la politique de prévention des menaces doit être configurée avec les lames anti-bot et anti-virus activées.
    Remarque :
    Les figures de cette rubrique sont affichées avec les formulaires à onglets désactivés dans les paramètres système.
    Paramètres système > formulaires

    Procédure

    1. Une fois l’installation de l’application terminée, accédez à Intégrations > Configurations d'intégration.
    2. Recherchez la carte Check Point Next Generation Threat Prevention et cliquez sur Configurer.
      Carte d’intégration Check Point NGTP
      Remarque :
      Contenu privilégié et propriétaire utilisé avec l’autorisation de Check Point Software Technologies, Ltd.
    3. Cliquez sur Créer une nouvelle liste de blocage.
      Configuration Check Point NGTP
    4. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom de la liste de demandes de blocs Check Point.

      Incluez le type d’observable (URL, IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de la liste de blocs par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets de liste de blocs sont mappés. Voici quelques exemples de noms de listes de blocs : adresse IP de programme malveillant sortante ou URL de hameçonnage sortante.
      Actif Cette case est décochée par défaut pour indiquer que la liste de blocs est inactive.

      Lorsqu’elle est inactive, la liste de blocs ne peut pas recevoir d’entrées supplémentaires.

      Lorsque la case est cochée (lorsque la demande de changement est fermée ou que la demande de changement n’est pas générée), la liste de blocs est activée et disponible pour les entrées de listes de blocage.
      Balise d'affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur la liste de blocage. Lorsque cette option est sélectionnée, le champ « Balise pour les observables » est disponible sur le formulaire.
      Remarque :
      Un nom de balise est créé par défaut à partir de la valeur que vous saisissez dans le champ Nom avec un préfixe Check Point, par exemple, Check Point-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Le nom de la balise est affiché dans le champ « Balise pour les observables », une fois la liste de blocs enregistrée.

      Lorsque la case est décochée, aucune balise n’est créée et le champ « Balise pour les observables » n’est pas disponible sur le formulaire.
      Type d'observable Sélectionnez un type d’observable que cette liste de blocs accepte dans la liste : adresse IP (y compris CIDR pour la liste d’autorisation), URL ou domaine.
      Type de balise Balises disponibles dans la liste.

      Une liste de blocs est une liste d’observables que vous souhaitez que Check Point Next Generation Threat Prevention bloque.

      Une liste d’autorisation est une liste d’observables que vous ne souhaitez pas bloquer dans Check Point Next Generation Threat Prevention dans tous les cas.

      Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur.
      Créer une demande de changement Cette case est cochée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre instance Now Platform, qui sont jointes à l’enregistrement de liste de blocs.

      La demande de changement est utilisée pour configurer l’URL de récupération de la liste de blocs dans la passerelle de pare-feu Check Point Next Generation.

      Cette option est recommandée si votre administrateur de pare-feu utilise également la Now Platform pour les changements de règles ou de stratégies de pare-feu. Si vous créez une demande, une fois celle-ci fermée, la liste de blocs est automatiquement activée.

      Décochez la case pour activer manuellement la liste de blocs après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que le flux d’informations personnalisé a été configuré sur toutes les passerelles Check Point.

      Lorsque la case Créer une demande de changement est décochée, le champ de demande de changement n’est pas disponible.
      Demander l'approbation Cette case est cochée par défaut pour demander les approbations pour l’activation/la suppression des entrées de la liste de blocs des listes de blocage. L’approbation est demandée aux utilisateurs ayant le rôle d’administrateur des incidents de sécurité (sn_si.admin). La demande d’approbation sera envoyée par e-mail aux approbateurs.

      Une fois l’approbation acceptée, l’entrée sera activée sur cette liste de blocage.

      Lorsque la case n’est pas cochée, les entrées de cette liste ne suivent pas le workflow d’approbation et sont directement activées sur la liste de blocage.
      Balise pour observable Ce champ n’est affiché que si la case Balise d’affichage est cochée. Le champ est automatiquement renseigné après l’enregistrement de la liste de blocs avec une valeur par défaut du champ Nom. Si la liste de blocs est créée avec le nom « URL de programme malveillant », le nom de balise dérivé est « Liste de blocs – URL de programme malveillant »
      Demande de changement Lorsque la case Créer une demande de changement est cochée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois la liste de blocs enregistrée.

      Lorsque la case Créer une demande de changement est décochée, ce champ ne s’affiche pas.
      Description Description de la liste de blocs Check Point. Le nom contient généralement les types de sites et d’observables que vous attendez à voir apparaître sur cette liste de blocage, et vous pouvez utiliser ce champ pour plus de détails.
      Période d'expiration (jours) Période d’expiration de la liste de blocage.

      0 (valeur par défaut) indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, soit 24 heures, et il n’y a pas de valeur maximale.
      URL de récupération L’URL de récupération sera générée automatiquement, une fois la liste de blocs enregistrée. Pour configurer cette liste de blocs sur les passerelles Check Point, vous devez utiliser cette URL. Une fois cette URL configurée, Check Point extrait les observables à bloquer au format CSV.
      Liste de demandes de liste de blocs
    5. Cliquez sur Envoyer.
    6. Si la liste de demandes de blocs Check Point ne s’affiche pas, accédez à Intégration Check Point NGTP > Listes de demandes de blocs.
      Liste de blocs Listes de demandes
      La nouvelle liste de blocs s’affiche. L’état de la liste de blocs est toujours inactif (faux), ce qui signifie que la liste de blocs n’est pas disponible pour accepter des entrées. Si Créer une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et des tâches ont été créées dans votre instance Now Platform.
      Entrées de demandes de listes de blocs
    7. Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
      L’enregistrement de la liste de blocs s’affiche. Cet exemple montre une liste de blocage d’adresses IP sortantes de programme malveillant. Les champs, options et liens suivants s’affichent dans le nouvel enregistrement après la soumission et sont décrits dans le tableau suivant.
      URL récupérée
      Champ Description
      URL de récupération d’e-mail Envoie par e-mail un avis indiquant que le lien de blocage est disponible pour la configuration à l’administrateur de pare-feu Check Point.
      URL de récupération Cette URL est utilisée pour configurer un flux d’intelligence personnalisé sur les passerelles Check Point.
      Remarque :
      Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations de récupération de la liste de blocs au bas de l’enregistrement.
      Demande de changement Now Platform Un lien vers l’enregistrement de demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement.
      Mettre à jour Modifiez les données et mettez à jour les champs modifiables.
      Supprimer Supprimez l’enregistrement.
    8. Créez et ajoutez d’autres listes de blocs selon vos besoins.
      Les listes de blocs s’affichent sur la page Listes de demandes de blocs Check Point.

    Que faire ensuite

    Activez la liste de demandes de blocs manuellement ou avec une demande de changement Now Platform.