Créer une liste de blocs pour l’intégration Check Point NGTP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Créez une liste de blocs dans votre instance Now Platform. Une fois approuvées et activées, vous pouvez créer des entrées pour ces listes de blocs à partir d’observables identifiés comme malveillants sur les incidents Now Platform Security Incident Response (SIR) et demander l’approbation pour les bloquer.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Créez la liste de blocs sur votre instance Now Platform afin que Check Point puisse importer les objets (adresses IP, URL, domaines) inclus dans la liste. Le flux d’intelligence personnalisé est configuré sur Check Point Gateway qui extrait les adresses IP, les URL et les domaines de la Now Platform à un intervalle préconfiguré. Pour garantir le blocage des observables, la politique de prévention des menaces doit être configurée avec les lames anti-bot et anti-virus activées.
    Remarque :
    Les figures de cette rubrique s’affichent lorsque les formulaires à onglets sont désactivés dans les paramètres système.
    Paramètres système > formulaires

    Procédure

    1. Une fois l’installation de l’application terminée, accédez à Intégrations > Configurations d'intégration.
    2. Localisez la carte Check Point Next Generation Threat Prevention et cliquez sur Configurer.
      Carte d’intégration Check Point NGTP
      Remarque :
      Contenu privilégié et propriétaire utilisé avec l’autorisation de Check Point Software Technologies, Ltd.
    3. Cliquez sur Créer une nouvelle liste de blocs.
      Configuration Check Point NGTP
    4. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom de la liste de demandes de blocs Check Point.

      Incluez le type d’observable (URL, IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de la liste de blocs par son nom. Le nom doit également indiquer clairement à quelle politique de pare-feu ces objets de liste de blocs sont mappés. Voici quelques exemples de noms de liste de blocs : adresse IP de programme malveillant sortante ou URL de hameçonnage sortante.
      Actif Cette case est décochée par défaut pour indiquer que la liste de blocs est inactive.

      Lorsqu’elle est inactive, la liste de blocs ne peut pas recevoir d’entrées supplémentaires.

      Lorsque la case est cochée (lorsque la demande de changement est fermée ou que la demande de changement n’est pas générée), la liste de blocs est activée et disponible pour les entrées de liste de blocs.
      Balise d'affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur la liste de blocs. Lorsque cette option est cochée, le champ « Marquer pour les observables » est disponible sur le formulaire.
      Remarque :
      Un nom de balise est créé par défaut à partir de la valeur que vous saisissez dans le champ Nom avec un préfixe Check Point, par exemple, Check Point-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Le nom de la balise est affiché dans le champ « Balise pour les observables », une fois la liste de blocs enregistrée.

      Lorsque la case est décochée, aucune balise n’est créée et le champ « Balise pour les observables » n’est pas disponible sur le formulaire.
      Type d'observable Sélectionnez un type d’observable accepté par cette liste de blocs dans la liste : adresse IP (y compris CIDR pour la liste d’autorisation), URL ou domaine.
      Type de balise Balises disponibles dans la liste.

      Une liste de blocs est une liste d’observables que vous souhaitez que Check Point Next Generation Threat Prevention bloque.

      Une liste d’autorisation est une liste d’observables que vous ne souhaitez en aucun cas bloquer dans Check Point Next Generation Threat Prevention.

      Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur.
      Créer une demande de changement Cette case à cocher est sélectionnée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre instance Now Platform, qui sont jointes à l’enregistrement de liste de blocs.

      La demande de changement est utilisée pour configurer l’URL de récupération de la liste de blocs dans la passerelle de pare-feu de nouvelle génération Check Point.

      Cette option est recommandée si votre administrateur de pare-feu utilise également Now Platform pour les modifications de politique ou de règle de pare-feu. Si vous créez une demande, une fois qu’elle est fermée, la liste de blocs est automatiquement activée.

      Décochez la case pour activer manuellement la liste de blocs après avoir reçu un avis par e-mail de l’administrateur du pare-feu indiquant que le flux d’intelligence personnalisé a été configuré sur toutes les passerelles Check Point.

      Lorsque la case à cocher Créer une demande de changement est désactivée, le champ Demande de changement n’est plus disponible.
      Demander l'approbation Cette case à cocher est sélectionnée par défaut pour demander des approbations pour l’activation/la suppression d’entrées de liste de blocs des listes de blocs. L’approbation est demandée aux utilisateurs ayant le rôle Administrateur d’incident de sécurité (sn_si.admin). La demande d’approbation sera envoyée par e-mail aux approbateurs.

      Une fois l’approbation acceptée, l’entrée sera activée sur cette liste de blocage.

      Lorsque la case n’est pas cochée, les entrées de cette liste de blocs ne suivent pas le workflow d’approbation et sont directement activées sur la liste de blocs.
      Balise pour l’observable Ce champ n’est affiché que si la case Balise d’affichage est cochée. Le champ est automatiquement renseigné après l’enregistrement de la liste de blocs avec une valeur par défaut dans le champ Nom. Si la liste de blocs est créée avec le nom « URL de programme malveillant », le nom de balise dérivé est « Liste de blocs – URL de programme malveillant »
      Demande de changement Lorsque la case à cocher Créer une demande de changement est sélectionnée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois la liste de blocs enregistrée.

      Lorsque la case à cocher Créer une demande de changement est désactivée, ce champ n’est pas affiché.
      Description Description de la liste de blocs Check Point. Le nom contient généralement les types de sites et d’observables que vous vous attendez à voir sur cette liste de blocs, et vous pouvez utiliser ce champ pour plus de détails.
      Période d'expiration (jours) Période d’expiration de la liste de blocs.

      0 (la valeur par défaut) indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous entrez. Vous pouvez entrer une valeur minimale de 1, soit 24 heures, et il n’y a pas de valeur maximale.
      URL de récupération L’URL de récupération sera générée automatiquement, une fois la liste de blocs enregistrée. Pour configurer cette liste de blocs sur les passerelles Check Point, vous devez utiliser cette URL. Une fois cette URL configurée, Check Point extrait les observables à bloquer au format CSV.
      Liste de blocs Liste de demandes
    5. Cliquez sur Envoyer.
    6. Si la liste de demandes de blocs Check Point n’est pas affichée, accédez à Intégration Check Point NGTP > Listes de demandes de blocs.
      Liste de blocs Listes de demandes
      La nouvelle liste de blocs s’affiche. Le statut de la liste de blocs est toujours inactif (faux), ce qui signifie que la liste de blocs n’est pas disponible pour accepter des entrées. Si l’option Créer une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et des tâches ont été créées dans votre instance Now Platform.
      Entrées de demande de liste de blocs
    7. Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
      L’enregistrement de la liste de blocs s’affiche. Cet exemple montre une liste de blocage d’adresses IP sortantes de programme malveillant. Les champs, options et liens suivants sont affichés dans le nouvel enregistrement après soumission et décrits dans la table suivante.
      URL récupérée
      Champ Description
      URL de récupération d’e-mail Envoie par e-mail un message indiquant que le lien de blocage est disponible pour configuration à l’administrateur de pare-feu Check Point.
      URL de récupération Cette URL est utilisée pour configurer un flux de renseignements personnalisé sur les passerelles Check Point.
      Remarque :
      Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations de récupération de la liste de blocs au bas de l’enregistrement.
      Demande de changement de Now Platform Un lien vers l’enregistrement de demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement.
      Mettre à jour Modifiez les données et mettez à jour les champs modifiables.
      Supprimer Supprimer l’enregistrement.
    8. Créez et ajoutez d’autres listes de blocs selon vos besoins.
      Les listes de blocs sont affichées sur la page Listes de demandes de blocs Check Point.

    Que faire ensuite

    Activez la liste de demandes de blocs manuellement ou avec une demande de changement Now Platform.