통합에 Check Point NGTP 대한 차단 목록 생성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기5분

Now Platform 인스턴스에서 차단 목록을 생성합니다. 승인 및 활성화되면 Now Platform SIR(Security Incident Response) 인시던트에서 악성으로 확인된 옵저버블에서 이러한 차단 목록에 대한 항목을 생성하고 차단 승인을 요청할 수 있습니다.

시작하기 전에

필요한 역할: 보안 인시던트 관리자(sn_si.admin)

이 태스크 정보

Check Point에서 목록에 포함된 객체(IP 주소, URL, 도메인)를 임포트할 수 있도록 Now Platform 인스턴스에 차단 목록을 생성합니다. 사용자 지정 인텔리전스 피드는 사전 구성된 간격으로 Now Platform에서 IP 주소, URL, 도메인을 끌어오는 Check Point Gateway에 구성됩니다. 옵저버블을 차단하려면 안티봇 및 안티바이러스 블레이드가 활성화된 위협 예방 정책을 구성해야 합니다.

주:

이 항목의 그림은 시스템 설정에서 선택 취소된 탭 양식 으로 표시됩니다.

프로시저

애플리케이션 설치가 완료되면 통합 > 통합 구성.
Check Point Next Generation Threat Prevention 카드를 찾아 Configure(구성)를 클릭합니다.

주:
Check Point Software Technologies, Ltd.의 허가를 받아 사용되는 특권 및 독점 콘텐츠
새 차단 목록 만들기를 클릭합니다.

양식의 필드에 내용을 입력합니다.


필드	설명
이름	체크 포인트 차단 요청 목록 이름입니다. 보안 분석가가 차단 목록의 의도를 이름으로 쉽게 인식할 수 있도록 이 필드에 옵저버블 유형(URL, IP, 도메인)을 포함합니다. 또한 이름은 이러한 차단 목록 개체가 매핑되는 방화벽 정책을 명확하게 나타내야 합니다. 차단 목록 이름의 예로는 아웃바운드 맬웨어 IP 또는 아웃바운드 피싱 URL이 있습니다.
활성	이 확인란은 차단 목록이 비활성 상태임을 나타내기 위해 기본적으로 선택이 취소되어 있습니다. 비활성화되면 차단 목록에서 추가 항목을 받을 수 없습니다. 이 확인란을 선택하면(변경 요청이 종결되거나 변경 요청이 생성되지 않은 경우) 차단 목록이 활성화되고 차단 목록 항목에 사용할 수 있습니다.
태그 표시	옵저버블이 차단 목록에서 차단된 경우 옵저버블 및 관련 보안 인시던트 기록에 자동으로 태그를 지정하려면 확인란이 기본적으로 선택되어 있습니다. 선택하면 양식에서 "옵저버블에 대한 태그" 필드를 사용할 수 있습니다. 주: 태그 이름은 기본적으로 Check Point-Prefix (예: Check Point-Malware OutBound IP)를 사용하여 Name 필드에 입력한 값에서 생성됩니다. 태그 이름과 색상을 변경할 수 있습니다. 차단 목록이 저장되면 태그 이름이 "옵저버블에 대한 태그" 필드에 표시됩니다. 확인란의 선택을 취소하면 태그가 생성되지 않으며 양식에서 "옵저버블에 대한 태그" 필드를 사용할 수 없습니다.
관찰 대상 유형	이 차단 목록이 목록에서 허용하는 옵저버블 유형(IP 주소(허용 목록의 CIDR 포함), URL 또는 도메인)을 선택합니다.
태그 유형	목록에서 사용할 수 있는 태그입니다. 차단 목록은 Check Point Next Generation Threat Prevention에서 차단하려는 옵저버블 목록입니다. 허용 목록은 어떤 경우에도 Check Point 차세대 위협 방지에서 차단하지 않으려는 옵저버블 목록입니다. 기본적으로 차단 목록 태그 색은 검은색이고 허용 목록 태그 색은 회색입니다. 색상을 변경할 수 있습니다.
변경 요청 작성	이 확인란은 기본적으로 선택되어 있으며, Now Platform 인스턴스에서 차단 목록 기록에 연결된 변경 요청 및 변경 작업을 자동으로 생성합니다. 변경 요청은 Check Point 차세대 방화벽 게이트웨이에서 차단 목록 검색 URL을 구성하는 데 사용됩니다. 방화벽 관리자가 방화벽 정책 또는 규칙 변경을 위해 Now Platform을 사용하는 경우에도 이 옵션을 사용하는 것이 좋습니다. 요청을 생성한 경우 요청이 종결되면 차단 목록이 자동으로 활성화됩니다. 방화벽 관리자로부터 사용자 지정 인텔리전스 피드가 모든 체크 포인트 게이트웨이에 구성되었다는 전자 메일을 통해 알림을 받은 후 차단 목록을 수동으로 활성화하려면 확인란의 선택을 취소합니다. 변경 요청 생성 확인란의 선택을 취소하면 변경 요청 필드를 사용할 수 없습니다.
승인 요청	이 확인란은 차단 목록에서 차단 목록 항목을 활성화/제거하기 위한 승인을 요청하기 위해 기본적으로 선택됩니다. 보안 인시던트 관리자(sn_si.admin) 역할을 가진 사용자가 승인을 요청합니다. 승인 요청은 이메일을 통해 승인자에게 전송됩니다. 승인이 수락되면 해당 차단 목록에서 항목이 활성화됩니다. 이 확인란을 선택하지 않으면 해당 차단 목록에 대한 항목이 승인 워크플로우를 따르지 않고 차단 목록에서 직접 활성화됩니다.
옵저버블 태그	이 필드는 태그 표시 확인란이 선택된 경우에만 표시됩니다. 이름 필드의 기본값으로 차단 목록을 저장하면 필드가 자동으로 채워집니다. "맬웨어 URL"이라는 이름으로 차단 목록이 생성된 경우 파생된 태그 이름은 "차단 목록 – 맬웨어 URL"입니다.
변경 요청	변경 요청 생성 확인란을 선택하면 차단 목록이 저장되면 Now Platform 인스턴스에 변경 요청 번호가 표시됩니다. 변경 요청 생성 확인란의 선택을 취소하면 이 필드가 표시되지 않습니다.
설명	체크 포인트 차단 목록에 대한 설명입니다. 이름에는 일반적으로 이 차단 목록에 포함될 것으로 예상되는 사이트 및 옵저버블 유형이 포함되며 이 필드를 사용하여 자세한 내용을 확인할 수 있습니다.
만료 기간(일)	차단 목록의 만료 기간입니다. 0(기본값)은 차단 목록 항목이 만료되지 않음을 나타냅니다. 이 값을 변경하면 입력한 일수 동안 이 항목이 활성화됩니다. 최솟값 1, 즉 24시간을 입력할 수 있으며 최댓값은 없습니다.
검색 URL	차단 목록이 저장되면 검색 URL이 자동으로 생성됩니다. Check Point 게이트웨이에서 이 차단 목록을 구성하려면 이 URL을 사용해야 합니다. 이 URL이 구성되면 Check Point는 차단할 옵저버블을 csv 형식으로 가져옵니다.

제출을 클릭합니다.
체크 포인트 차단 요청 목록이 표시되지 않으면 체크 포인트 NGTP 통합 > 요청 목록 차단.

새 차단 목록이 표시됩니다. 차단 목록 상태가 여전히 비활성(false)이며, 이는 차단 목록에 항목을 수락할 수 없음을 의미합니다. 변경 요청 생성이 구성된 경우 Now Platform 인스턴스에 변경 요청과 작업이 생성되었음을 나타내는 메시지가 표시됩니다.

이름 열에서 항목을 클릭하여 기록을 엽니다.

차단 목록 기록이 표시됩니다. 이 예에서는 맬웨어 아웃바운드 IP 차단 목록을 보여 줍니다. 다음 필드, 옵션 및 링크는 제출 후 새 기록에 표시되고 다음 테이블에 설명되어 있습니다.


필드	설명
이메일 검색 URL	Check Point 방화벽 관리자에게 차단 링크를 구성에 사용할 수 있다는 알림을 이메일로 전송합니다.
검색 URL	이 URL은 Check Point 게이트웨이에서 사용자 지정 인텔리전스 피드를 구성하는 데 사용됩니다. 주: 시스템 설정이 탭 유형 양식으로 설정되어 있는 경우 이 링크는 기록 하단의 차단 목록 검색 정보 탭에 표시됩니다.
Now Platform 변경 요청	구성되면 변경 요청 기록에 대한 링크가 변경 요청 섹션에 표시되고, 요청 번호는 변경 요청 필드에 표시됩니다.
업데이트	데이터를 수정하고 편집 가능한 필드를 업데이트합니다.
삭제	기록을 삭제합니다.

필요에 따라 차단 목록을 더 만들고 추가합니다.
차단 목록은 체크 포인트 차단 요청 목록 페이지에 표시됩니다.

다음에 수행할 작업

차단 요청 목록을 수동으로 활성화하거나 Now Platform 변경 요청과 함께 활성화합니다.