Check Point Next Generation Threat Prevention integration
Ce document décrit les étapes nécessaires pour intégrer les fonctionnalités de Check Point Next Generation Threat Prevention (NGTP) avec ServiceNow® Réponse aux incidents de sécurité (SIR) afin que les applications fonctionnent correctement ensemble.
Une fois l’installation et la configuration effectuées, l’analyste d’incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste de demandes de blocs avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). Cette liste de demandes de blocs est configurée sur les passerelles Check Point en tant que flux de renseignements personnalisé. La fonctionnalité Flux de renseignements personnalisés permet d’ajouter des flux de cyber-intelligence personnalisés dans le moteur de prévention des menaces de nouvelle génération. Il permet d’extraire les flux d’un serveur tiers, en l’occurrence l’application ServiceNow Réponse aux incidents de sécurité , directement vers la passerelle Check Point Next Generation Gateway à appliquer par des lames antivirus et anti-bot. L’analyste de Security Incident Response crée des entrées pour la liste de blocs Check Point à partir d’observables déterminés comme malveillants sur ServiceNow les incidents de sécurité SIR.
Pour la plupart des implémentations, une liste de demandes de blocs est un fichier csv hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre instance Now Platform, qui permet au moteur de prévention des menaces de nouvelle génération Check Point d’extraire la liste des adresses IP, des URL et des domaines à bloquer.
Pour appliquer les observables bloquants sur Check Point Gateway, assurez-vous que la politique de prévention des menaces est configurée avec les lames anti-bot et anti-virus activées. Au fur et à mesure que les entrées de la liste de blocs sont modifiées, le moteur de prévention des menaces importe dynamiquement la liste à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées de la liste de blocs qui sont récupérées par la passerelle Check Point de nouvelle génération autorisée aux intervalles de récupération configurés.
- Flexibilité pour créer plusieurs listes de blocs qui s’appliquent à plusieurs passerelles Check Point.
- Rapports détaillés sur les types de sites bloqués (hameçonnage, programmes malveillants et sites sur liste d’autorisation).
- Balisage des incidents de sécurité Now Platform avec des entrées de liste de blocs par type d’observable (URL, domaine, adresse IP).
- Configurer les périodes d’expiration de la liste de blocs pour conserver la taille de la liste de blocs en faisant automatiquement expirer ou en supprimant les entrées les plus anciennes.
- Recherche d’entrées de liste de blocs entre différentes listes de blocs.
- Liaison des entrées de la liste de blocs aux enregistrements d’observables et aux incidents de sécurité qui incluent des résultats de Threat Intelligence et des détails sur les raisons pour lesquelles une entrée est bloquée.
Diagramme d’architecture d’intégration
Vous trouverez ci-dessous le diagramme d’architecture de haut niveau décrivant les composants impliqués et les points d’intégration entre NOW Platform et Check Point Systems.
Modules d'extension
L’intégration nécessite que le module d’extension Réponse aux incidents de sécurité (com.snc.security_incident) soit activé.
- Connectez-vous à votre instance avec vos informations d’identification HI.
- Vérifiez que vous disposez du rôle d’administrateur (admin).
- Accédez à Définition du système>plugins dans votre instance.
- Sélectionnez et cliquez sur Réponse aux incidents de sécurité.
Une fois ces modules d’extension installés, vous pouvez charger le nouveau module d’extension d’intégration Check Point à partir du ServiceNow Store et suivre les instructions de configuration suivantes.
Versions du système d’exploitation Check Point prises en charge
Cette intégration nécessite le flux de renseignements personnalisé des lames Check Point et Anti-bot et Anti-virus. Ceux-ci sont pris en charge à partir de R80.20 et plus. Installez le correctif de la fonctionnalité d’intelligence personnalisée connue sous le nom de Check Point R80.10 Jumbo HF take 121 et versions ultérieures. Reportez-vous à la section Installation de la documentation du flux de renseignements personnalisé Check Point pour plus d’informations sur la matrice de compatibilité des produits.
Après avoir installé le correctif chaud, assurez-vous que les commandes ci-dessous sont accessibles sur Check Point Gateway. Connectez-vous à la passerelle et connectez-vous en mode expert.
Versions de ServiceNow prises en charge
La version San Diego ou ultérieure est prise en charge.
Références
- Fonctionnalité des flux de renseignements personnalisés https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Pour configurer les lames Anti-bot et Anti-Virus, reportez-vous au Guide de l’utilisateur Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Pour configurer l’inspection HTTPS sur Check Point, suivez le lien ci-dessous. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Autorisations et rôles
- Administrateur (admin) pour l’installation du module d’extension de l’application d’intégration
- Administrateur d’incident de sécurité (sn_si.admin) pour créer des listes de blocs dans ServiceNow et approuver les demandes d’ajout et de désactivation d’entrées de liste de blocage.
- Analyste de sécurité (également appelé ici analyste SOC, sn_si.analyst) pour la création et la gestion des enregistrements d’entrée de la liste de blocs.
Pour plus d’informations sur l’affectation du rôle d’analyste de sécurité, sur le site Web de la documentation ServiceNow, naviguez vers Opérations de sécurité>Réponse aux incidents de sécurité> Affectation d’analystes de sécurité.