Créer une liste de blocs pour l’intégration Check Point NGTP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Créer une liste de blocs dans votre instance Now Platform. Une fois approuvées et activées, vous pouvez créer des entrées pour ces listes de blocs à partir d’observables jugés malveillants sur les incidents de Réponse aux incidents de sécurité (SIR) de Now Platform et demander l’approbation pour les bloquer.

    Avant de commencer

    Rôle requis : Administrateur d’incidents de sécurité (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Créez la liste de blocs sur votre instance Now Platform afin que Check Point puisse importer des objets (adresses IP, URL, domaines) inclus dans la liste. Le flux d’intelligence personnalisé est configuré sur la passerelle Check Point qui extrait les adresses IP, les URL et les domaines de la Now Platform à un intervalle préconfiguré. Pour garantir le blocage des observables, la politique de prévention des menaces doit être configurée avec les lames antibot et antivirus activées.
    Remarque :
    Les figures de cette rubrique sont affichées avec les formulaires à onglets effacés dans Paramètres système.
    Paramètres système > formulaires

    Procédure

    1. Une fois l’installation de l’application terminée, accédez à Intégrations > Configurations d'intégration.
    2. Localisez la carte Check Point Next Generation Threat Prevention et cliquez sur Configurer.
      Carte d’intégration Check Point NGTP
      Remarque :
      Contenu privilégié et propriétaire utilisé avec l’autorisation de Check Point Software Technologies, Ltd.
    3. Cliquez sur Créer une nouvelle liste de blocs.
      Configuration Check Point NGTP
    4. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom de la liste de demandes de blocs Check Point.

      Incluez le type d’observable (URL, IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de la liste de blocs par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets de liste de blocs sont mappés. Voici quelques exemples de noms de liste de blocage : IP de programme malveillant sortant ou URL de hameçonnage sortant.
      Actif Cette case est décochée par défaut pour indiquer que la liste de blocs est inactive.

      Lorsqu’elle est inactive, la liste de blocs ne peut pas recevoir d’entrées supplémentaires.

      Lorsque la case à cocher est sélectionnée (lorsque la demande de changement est fermée ou que la demande de changement n’est pas générée), la liste de blocs est activée et disponible pour les entrées de liste de blocs.
      Balise d'affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur la liste de blocage. Lorsque cette option est sélectionnée, le champ « Balise pour les observables » est disponible sur le formulaire.
      Remarque :
      Un nom de balise est créé par défaut à partir de la valeur que vous entrez dans le champ Nom avec un préfixe Check Point, par exemple, Check Point-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Le nom de la balise est affiché dans le champ « Balise pour les observables », une fois la liste de blocs enregistrée.

      Lorsque la case est décochée, aucune balise n’est créée et le champ « Balise pour les observables » n’est pas disponible sur le formulaire.
      Type d'observable Sélectionnez un type d’observable que cette liste de blocs accepte dans la liste : adresse IP (y compris CIDR pour la liste d’autorisation), URL ou domaine.
      Type de balise Balises disponibles dans la liste.

      Une liste de blocs est une liste d’observables que vous souhaitez que Check Point Next Generation Threat Prevention bloque.

      Une liste d’autorisation est une liste d’observables que vous ne souhaitez en aucun cas bloquer dans Check Point Next Generation Threat Prevention.

      Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur.
      Créer une demande de changement Cette case à cocher est sélectionnée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre instance Now Platform, qui sont jointes à l’enregistrement de la liste de blocs.

      La demande de changement est utilisée pour configurer l’URL de récupération de la liste de blocs dans la passerelle de pare-feu Check Point Next Generation.

      Cette option est recommandée si votre administrateur de pare-feu utilise également Now Platform pour modifier les politiques ou les règles de pare-feu. Si vous créez une demande, une fois qu’elle est fermée, la liste de blocs est automatiquement activée.

      Décochez la case pour activer manuellement la liste de blocs après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que le flux de renseignements personnalisé a été configuré sur toutes les passerelles Check Point.

      Lorsque la case Créer une demande de changement est décochée, le champ Demande de changement n’est pas disponible.
      Demander l'approbation Cette case à cocher est sélectionnée par défaut pour demander des approbations pour activer/supprimer des entrées de liste de blocs des listes de blocs. L’approbation est demandée aux utilisateurs ayant le rôle d’administrateur d’incidents de sécurité (sn_si.admin). La demande d’approbation sera envoyée par e-mail aux approbateurs.

      Une fois l’approbation acceptée, l’entrée sera activée sur cette liste de blocage.

      Si la case n’est pas cochée, les entrées de cette liste de blocs ne suivent pas le workflow d’approbation et sont directement activées sur la liste de blocs.
      Balise pour observable ce champ n’est affiché que si la case Afficher la balise est cochée. Le champ est automatiquement renseigné une fois la liste de blocs enregistrée avec une valeur par défaut du champ Nom. Si la liste de blocage est créée avec le nom « URL du programme malveillant », le nom de la balise dérivé est « Liste de blocage – URL du programme malveillant »
      Demande de changement Lorsque la case Créer une demande de changement est cochée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois la liste de blocs enregistrée.

      Lorsque la case à cocher Créer une demande de changement est désactivée, ce champ n’apparaît pas.
      Description Description de la liste de blocs Check Point. Le nom contient généralement les types de sites et d’observables que vous vous attendez à voir figurer sur cette liste bloquée, et vous pouvez utiliser ce champ pour plus de détails.
      Période d'expiration (jours) Période d’expiration de la liste bloquée.

      0 (valeur par défaut) indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez saisir une valeur minimale de 1, soit 24 heures, mais il n’y a pas de valeur maximale.
      URL de récupération L’URL de récupération sera générée automatiquement, une fois la liste de blocs enregistrée. Pour configurer cette liste de blocs sur les passerelles Check Point, vous devez utiliser cette URL. Une fois cette URL configurée, Check Point extrait les observables à bloquer au format CSV.
      Liste de demandes de liste de blocs
    5. Cliquez sur Envoyer.
    6. Si la liste de demandes de blocs Check Point n’est pas affichée, accédez à Intégration Check Point NGTP > Listes de demandes de blocs.
      Liste de blocs Listes de demandes
      La nouvelle liste de blocs s’affiche. L’état de la liste de blocs est toujours inactif (faux), ce qui signifie que la liste de blocs n’est pas disponible pour accepter des entrées. Si la création d’une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et des tâches ont été créées dans votre instance Now Platform.
      Entrées de demande de liste de blocs
    7. Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
      L’enregistrement de la liste de blocs s’affiche. Cet exemple montre une liste de blocage d’adresses IP sortantes de programmes malveillants. Les champs, options et liens suivants sont affichés dans le nouvel enregistrement après soumission et décrits dans le tableau suivant.
      URL récupérée
      Champ Description
      URL de récupération d’e-mail Envoie par e-mail un avis indiquant que le lien de bloc est disponible pour configuration à l’administrateur du pare-feu Check Point.
      URL de récupération Cette URL est utilisée pour configurer le flux de renseignements personnalisé sur les passerelles Check Point.
      Remarque :
      Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations de récupération de la liste de blocs au bas de l’enregistrement.
      Demande de changement Now Platform Un lien vers l’enregistrement de la demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement.
      Mettre à jour Modifiez les données et mettez à jour les champs modifiables.
      Supprimer Supprimez l’enregistrement.
    8. Créez et ajoutez d’autres listes de blocs selon vos besoins.
      Les listes de blocs sont affichées sur la page des listes de demandes de blocs Check Point.

    Que faire ensuite

    Activez la liste de demandes de blocs manuellement ou avec une demande de changement Now Platform.