Check Point Next Generation Threat Prevention の統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • このドキュメントでは、チェックポイント次世代の脅威防止 (NGTP) 機能を ServiceNow® セキュリティインシデントレスポンス (SIR) と統合して、アプリケーションが適切に連携するようにするために必要な手順について説明します。

    インストールと設定が完了すると、セキュリティインシデントアナリストは ServiceNow セキュリティインシデントレスポンス (SIR) 製品のブロック要求リスト機能を使用して、悪意のある IP アドレス、URL、およびドメインをブロックします。このブロック要求リストは、チェックポイントゲートウェイでカスタムインテリジェンスフィードとして設定されます。カスタムインテリジェンスフィード機能には、カスタムサイバーインテリジェンスフィードを次世代の脅威防止エンジンに追加する機能があります。これにより、サードパーティサーバー (この場合は ServiceNow セキュリティインシデントレスポンス アプリケーション) から、アンチウイルスおよびアンチボットブレードによって強制されたチェックポイント次世代ゲートウェイに直接フィードを取得できます。セキュリティインシデントレスポンスアナリストは、ServiceNow SIR セキュリティインシデントで悪意があると判断された観測事象からチェックポイントブロックリストのエントリを作成します。

    ほとんどの実装では、ブロック要求リストは外部 Web サーバーでホストされている csv ファイルです。この統合では、この Web サーバーが ServiceNow AI Platform インスタンスとなり、チェックポイント次世代の脅威防止エンジンがブロックする IP アドレス、URL、およびドメインのリストをフェッチできるようにします。

    チェックポイントゲートウェイで観測事象のブロックを強制するには、アンチボットブレードおよびアンチウイルスブレードを有効にして脅威防止ポリシーを設定してください。ブロックリストのエントリが変更されると、脅威防止エンジンは設定された間隔でリストを動的にインポートし、設定の変更やファイアウォールへのコミットを行うことなくポリシーを適用します。この統合では、 ServiceNow AI Platform は、設定された取得間隔で認可されたチェックポイント次世代ゲートウェイによって取得されるブロックリストエントリを含むテーブルを作成しました。

    この統合には次の機能が含まれています。
    • 複数のチェックポイントゲートウェイに適用される複数のブロックリストを作成できる柔軟性
    • ブロックされているサイトのタイプ (フィッシング、マルウェア、許可リストサイト) に関する詳細なレポート
    • 観測可能タイプ (URL、ドメイン、IP アドレス) 別のブロックリストエントリによる ServiceNow AI Platform セキュリティインシデントのタグ付け。
    • 古いエントリを自動的に期限切れにするか削除することでブロックリストのサイズを維持するためのブロックリストの有効期間の設定
    • 異なるブロックリスト間のブロックリストエントリの検索
    • 脅威インテリジェンスの結果とエントリがブロックされた理由の詳細を含む、観測事象レコードとセキュリティインシデントへのブロックリストエントリのリンク

    統合アーキテクチャ図

    以下は、関連するコンポーネントおよび Now Platform と Check Point Systems 間の統合ポイントを示すアーキテクチャの全体図です。

    統合アーキテクチャ
    注:
    Check Point Systems のロゴ、アンチウイルスブレード画像、およびアンチボットブレード画像は、Check Point Systems © のものです。これらは Check Point Systems に帰属します。

    プラグイン

    統合する際は、セキュリティインシデントレスポンス (com.snc.security_incident) プラグインを有効にする必要があります。

    セキュリティインシデントレスポンス プラグインをインストールするには:
    1. HI 認証情報を使用してインスタンスにログインします。
    2. アドミン (admin) ロールがあることを確認します。
    3. インスタンスで [システム定義] > [プラグイン] に移動します。
    4. セキュリティインシデントレスポンスを選択してクリックします。

    これらのプラグインをインストールすると、ServiceNow Store から新しい Check Point Integration プラグインをアップロードできるようになります。次の構成手順に従ってください。

    サポートされている Check Point OS バージョン

    この統合には、Check Point のカスタムインテリジェンスフィードとアンチボットブレードおよびアンチウイルスブレードが必要です。これらは R80.20 以降でサポートされています。Check Point R80.10 Jumbo HF Take 121 以降と呼ばれるカスタムインテリジェンス機能のホットフィックスをインストールします。製品互換性マトリクスの詳細については、チェックポイントカスタムインテリジェンスフィードのドキュメントの「Installation (インストール)」セクションを参照してください。

    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193

    ホットフィックスをインストールした後、チェックポイントゲートウェイで以下のコマンドにアクセスできることを確認してください。ゲートウェイに SSH で接続し、エキスパートモードでログインします。

    チェックポイントゲートウェイで利用可能なコマンド

    サポートされている ServiceNow バージョン

    San Diego リリースバージョン以降がサポートされています。

    参照

    前提条件の設定に役立つ Check Point の参考文献の一部を以下に示します。
    1. カスタムインテリジェンスフィード機能 - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
    2. アンチボットブレードおよびアンチウイルスブレードを設定するには、『Check Point User Guide (Check Point ユーザーガイド)』(http://downloads.checkpoint.com/dc/download.htm?ID=46534) を参照してください。
    3. Check Point で HTTPS インスペクションを設定するには、https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202 のリンク先を参照してください。

    権限とロール

    次の ServiceNow ロールが必要です。
    • 統合アプリケーションプラグインをインストールするためのアドミンロール (admin)
    • ServiceNow でブロックリストを作成し、ブロックリストエントリを追加および非アクティブ化するための要求を承認するSecurity Incident Management者ロール (sn_si.admin)
    • ブロックリストエントリレコードを作成および管理するセキュリティアナリスト (ここでは SOC アナリストとも呼ばれます) ロール (sn_si.analyst)

    セキュリティアナリストロールのアサインの詳細については、ServiceNow ドキュメント Web サイトで、[Security Operations] > [セキュリティインシデントレスポンス] > [セキュリティアナリストのアサイン (Assigning security analysts)] に移動してください。