Check Point NGTP 統合のブロックリストの作成
Now Platform インスタンスでブロックリストを作成します。承認されてアクティブ化されると、Now Platform セキュリティインシデントレスポンス (SIR) インシデントで悪意のあると判断された観測事象からこれらのブロックリストのエントリを作成し、それらをブロックするための承認を要求できます。
始める前に
必要なロール:セキュリティインシデントアドミニストレーター (sn_si_admin)
このタスクについて
手順
-
[チェックポイント次世代の脅威防止] カードを探し、[構成] をクリックします。
注:特権が付与された専有コンテンツは、Check Point Software Technology, Ltd. の許可を得て使用しています。
-
[新しいブロックリストを作成 (Create new Block List)] をクリックします。
-
フォームのフィールドに入力します。
フィールド 説明 名前 チェックポイントブロック要求リストの名前。 セキュリティアナリストが名前でブロックリストの意図を簡単に認識できるように、このフィールドに観測事象タイプ (URL、IP、ドメイン) を含めます。また、これらのブロックリストオブジェクトがマッピングされているファイアウォールポリシーを明確に示す名前である必要があります。ブロックリスト名の例としては、「Outbound Malware IP」、「Outbound Phishing URL」などが挙げられます。
アクティブ デフォルトではこのチェックボックスはオフになっており、ブロックリストが非アクティブであることを示します。 非アクティブの場合、ブロックリストは追加のエントリを受け取ることができません。
チェックボックスがオンになっている場合 (変更要求がクローズされている場合、または変更要求が生成されていない場合)、ブロックリストはアクティブになり、ブロックリストエントリで使用できます。
タグを表示 このチェックボックスはデフォルトでオンになっており、観測事象がブロックリストでブロックされた場合に、観測事象と関連するセキュリティインシデントレコードに自動的にタグが付きます。オンにした場合、フォームで [観測事象のタグ] フィールドを使用できます。 注:デフォルトでは、[名前] フィールドに入力した値にプリフィックス「Check Point」を付けて作成されます (例:Check Point-Malware OutBound IP)。タグ名と色は変更できます。ブロックリストが保存されると、[観測事象のタグ] フィールドにタグ名が表示されます。チェックボックスをオフにすると、タグは作成されず、[観測事象のタグ] フィールドはフォームで使用できません。
観測事象タイプ リストからこのブロックリストが受け入れる観測事象タイプ (IP アドレス (許可リストの CIDR を含む)、URL、またはドメイン) を選択します。 タグタイプ リストから利用可能なタグ。 ブロックリストは、チェックポイント次世代の脅威防止でブロックする観測事象のリストです。
許可リストは、いかなる場合もチェックポイント次世代の脅威防止でブロックしない観測事象のリストです。
デフォルトでは、ブロックリストのタグの色は黒で、許可リストのタグの色は灰色です。色は変更できます。
変更要求の作成 このチェックボックスはデフォルトでオンになっており、Now Platform インスタンスで変更要求と変更タスクを自動的に作成し、ブロックリストレコードに添付します。 変更要求は、チェックポイント次世代ファイアウォールゲートウェイでブロックリスト取得 URL を設定するために使用されます。
ファイアウォールアドミニストレーターがファイアウォールポリシーまたはルールの変更に Now Platform も使用している場合は、このオプションをお勧めします。要求を作成した場合、ブロックリストは要求がクローズされると自動的にアクティブになります。
すべてのチェックポイントゲートウェイでカスタムインテリジェンスフィードが設定されたというメール通知をファイアウォールアドミンから受信した後、チェックボックスをオフにしてブロックリストを手動で有効にします。
[変更要求を作成] チェックボックスをオフにすると、[変更要求] フィールドは使用できません。
承認リクエスト このチェックボックスは、ブロックリストのブロックリストエントリをアクティブ化/削除するための承認を要求するために、デフォルトでオンになっています。承認は、Security Incident Management者 (sn_si.admin) ロールを持つユーザーから要求されます。承認リクエストはメールで承認者に送信されます。 承認されると、そのブロックリストでエントリがアクティブになります。
チェックボックスがオンになっていない場合、そのブロックリストのエントリは承認ワークフローに従わず、ブロックリストで直接アクティブ化されます。
観測事象のタグ このフィールドは、[タグを表示] チェックボックスがオンになっている場合にのみ表示されます。ブロックリストが保存されると、このフィールドに [名前] フィールドのデフォルト値が自動的に入力されます。ブロックリストが「Malware URL」という名前で作成されている場合、派生するタグ名は「Block List – Malware URL」となります。 変更要求 [変更要求を作成] チェックボックスをオンにした場合、ブロックリストが保存されると、変更の要求番号が Now Platform インスタンスに表示されます。 [変更要求を作成] チェックボックスをオフにすると、このフィールドは表示されません。
説明 チェックポイントブロックリストの説明。名前には通常、このブロックリストにあると予想されるサイトと観測事象のタイプが含まれており、このフィールドを使用して詳細を確認できます。 有効期間 (日数) ブロックリストの有効期間。 0 (デフォルト) は、ブロックリストエントリが無期限であることを示します。
この値を変更すると、このエントリは入力した日数の間有効になります。入力できる最小値は 1 (24 時間) で、最大値はありません。
取得 URL ブロックリストが保存されると、取得 URL が自動的に生成されます。チェックポイントゲートウェイでこのブロックリストを設定するには、この URL を使用する必要があります。この URL を設定すると、チェックポイントは csv 形式でブロックする観測事象をフェッチします。 -
チェックポイントブロック要求リストが表示されない場合は、 .
新しいブロックリストが表示されます。[ブロックリスト] ステータスがまだ非アクティブ (false) です。これは、ブロックリストがエントリを受け入れることができないことを意味します。[変更要求を作成] が設定されている場合は、Now Platform インスタンスに変更要求とタスクが作成されたことを示すメッセージが表示されます。
-
[名前] 列でアイテムをクリックしてレコードを開きます。
ブロックリストレコードが表示されます。この例は「Malware Outbound IP」ブロックリストを示しています。次のフィールド、オプション、リンクが送信後に新しいレコードに表示されます。詳細は次の表を参照してください。
フィールド 説明 メール取得 URL (Email Retrieval URL) チェックポイントのファイアウォールアドミニストレーターに、ブロックリンクが設定可能であることを通知するメールを送信します。 取得 URL この URL は、チェックポイントゲートウェイでカスタムインテリジェンスフィードを設定するのに使用されます。 注:[システムの設定] を [タブ付きフォーム] に設定している場合、このリンクがレコードの下部にある [ブロックリスト取得情報 (Block List Retrieval Info)] タブに表示されます。Now Platform 変更要求 設定時に変更要求レコードへのリンクが [変更要求] セクションに表示され、要求番号が [変更要求] フィールドに表示されます。 更新 データを変更し、編集可能なフィールドを更新します。 削除 レコードを削除します。
次のタスク
手動で、または Now Platform 変更要求を使用して、ブロック要求リストをアクティブにします。