Check Point Next Generation Threat Prevention intégration
Ce document décrit les étapes requises pour intégrer les options Check Point Next Generation Threat Prevention (NGTP) à ServiceNow® Réponse aux incidents de sécurité (SIR) afin que les applications fonctionnent correctement ensemble.
Une fois installée et configurée, l’analyste des incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste de demandes de blocs avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). Cette liste de demandes de blocs est configurée sur les passerelles Check Point en tant que flux de renseignements personnalisé. La fonctionnalité Flux de renseignements personnalisés permet d’ajouter des flux de renseignements cybernétiques personnalisés dans le moteur de prévention des menaces de nouvelle génération. Il permet d’extraire les flux d’un serveur tiers, en l’occurrence l’application ServiceNow Réponse aux incidents de sécurité , directement vers Check Point Next Generation Gateway pour qu’ils soient appliqués par les lames Anti-Virus et Anti-Bot. L’analyste de Security Incident Response crée des entrées pour la liste de blocs Check Point à partir d’observables déterminés comme malveillants sur ServiceNow les incidents de sécurité SIR.
Pour la plupart des implémentations, une liste de demandes de blocs est un fichier csv hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre instance Now Platform, ce qui permet au moteur de prévention des menaces de nouvelle génération Check Point d’extraire la liste des adresses IP, des URL et des domaines à bloquer.
Pour appliquer les observables bloquants sur Check Point Gateway, assurez-vous que la politique de prévention des menaces est configurée avec les lames anti-bot et anti-virus activées. Au fur et à mesure que les entrées de la liste de blocs sont modifiées, le moteur de prévention des menaces importe la liste dynamiquement à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées de la liste de blocs qui sont récupérées par la passerelle de nouvelle génération Check Point autorisée aux intervalles de récupération configurés.
- Flexibilité de création de plusieurs listes de blocs qui s’appliquent à plusieurs passerelles Check Point.
- Rapports détaillés sur les types de sites bloqués (hameçonnage, logiciels malveillants et sites sur liste d’autorisation).
- Balisage des incidents de sécurité de Now Platform avec des entrées de liste de blocs par type d’observable (URL, domaine, adresse IP).
- Configurer les périodes d’expiration de la liste de blocs pour maintenir la taille de la liste de blocs en faisant automatiquement expirer ou en supprimant les entrées plus anciennes.
- Recherche d’entrées de liste de blocs entre différentes listes de blocs.
- Liaison des entrées de liste de blocs aux enregistrements d’observables et aux incidents de sécurité qui incluent des résultats de Threat Intelligence et des détails sur les raisons pour lesquelles une entrée est bloquée.
Diagramme d’architecture d’intégration
Vous trouverez ci-dessous le diagramme d’architecture de haut niveau représentant les composants impliqués et les points d’intégration entre NOW Platform et Check Point Systems.
Modules d'extension
L’intégration nécessite que le module d’extension Réponse aux incidents de sécurité (com.snc.security_incident) soit activé.
- Connectez-vous à votre instance avec vos informations d’identification HI.
- Vérifiez que vous disposez du rôle administrateur (admin).
- Accédez à la définition>modules d’extension du système dans votre instance.
- Sélectionnez et cliquez sur Réponse aux incidents de sécurité.
Une fois ces modules d’extension installés, vous pouvez charger le nouveau module d’extension Check Point Integration à partir de ServiceNow Store et suivre les instructions de configuration suivantes.
Versions de système d’exploitation Check Point prises en charge
Cette intégration nécessite le flux d’intelligence personnalisé des lames Check Point et Anti-Bot et Anti-Virus. Ceux-ci sont pris en charge à partir de R80.20 et plus. Installez le correctif de la fonctionnalité d’intelligence personnalisée connue sous le nom de Check Point R80.10 Jumbo HF prendre 121 et plus. Consultez la section Installation de la documentation Check Point Custom Intelligence Feed pour plus d’informations sur la matrice de compatibilité des produits.
Après avoir installé le correctif, assurez-vous que les commandes ci-dessous sont accessibles sur Check Point Gateway. Connectez-vous en SSH à la passerelle et connectez-vous en mode expert.
Versions ServiceNow prises en charge
La version San Diego ou une version ultérieure est prise en charge.
Références
- Fonctionnalité Flux d’intelligence personnalisés - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Pour configurer les lames Anti-Bot et Anti-Virus, reportez-vous au Guide de l’utilisateur Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Pour configurer l’inspection HTTPS sur Check Point, suivez le lien ci-dessous. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Autorisations et rôles
- Administrateur (admin) pour l’installation du module d’extension de l’application d’intégration
- Administrateur d’incident de sécurité (sn_si.admin) pour la création de listes de blocs dans ServiceNow et l’approbation des demandes d’ajout et de désactivation des entrées de liste de blocs.
- Analyste de la sécurité (également appelé ici analyste SOC, sn_si.analyst) pour la création et la gestion des enregistrements d’entrée de liste de blocs.
Pour plus d’informations sur l’affectation du rôle d’analyste de sécurité, sur le site web de la documentation ServiceNow, accédez à Security operations>Security Incident Response> Affectation d’analystes de sécurité.