Integration „Check Point Next Generation Threat Prevention“
Dieses Dokument beschreibt die Schritte, die erforderlich sind, um die Fähigkeiten von Check Point Next Generation Threat Prevention (NGTP) mit ServiceNow® Security Incident Response (SIR) zu integrieren, damit -Anwendungen ordnungsgemäß zusammen funktionieren.
Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe von Sperranforderungslistenfunktionen mit den ServiceNow Security Incident Response (SIR)-Produkten zu blockieren. Diese Sperranforderungsliste wird auf Prüfpunkt-Gateways als benutzerdefinierter Intelligenz-Feed konfiguriert. Die Funktion „Custom Intelligence Feeds“ bietet die Möglichkeit, der Next Generation Threat Prevention-Engine benutzerdefinierte Cyber Intelligence-Feeds hinzuzufügen. Ermöglicht das Abrufen von Feeds von einem Drittanbieterserver, in diesem Fall die Anwendung ServiceNow Security Incident Response, direkt an das Check Point Next Generation Gateway, um von Anti-Virus- und Anti-Bot-Blades erzwungen zu werden. Der Security Incident Response-Analyst erstellt Einträge für die Check Point-Sperrliste aus erkennbaren Elementen, die bei ServiceNow SIR-Security Incidents als böswillig eingestuft wurden.
Bei den meisten Implementierungen ist eine Sperranforderungsliste eine CSV-Datei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihre Now Platform-Instanz, die es der Check Point Threat Prevention Engine der nächsten Generation ermöglicht, die Liste der zu blockierenden IP-Adressen, URLs und Domänen abzurufen.
Um die blockierenden erkennbaren Elemente auf dem Prüfpunkt-Gateway zu erzwingen, stellen Sie sicher, dass die Bedrohungsabwehrrichtlinie mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert ist. Wenn die Sperrlisteneinträge geändert werden, importiert die Threat Prevention Engine die Liste dynamisch im konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit für die Firewall. Für diese Integration hat Now Platform eine Tabelle mit Sperrlisteneinträgen erstellt, die vom autorisierten Check Point Next-Gen-Gateway in den konfigurierten Abrufintervallen abgerufen werden.
- Flexibilität beim Erstellen mehrerer Sperrlisten, die für mehrere Prüfpunkt-Gateways gelten.
- Detaillierte Berichte über die Arten von Websites, die blockiert werden (Phishing, Malware und auf Allow-Listen aufgeführte Websites).
- Kennzeichnung von Now Platform-Security Incidents mit Sperrlisteneinträgen nach erkennbarem Typ (URL, Domäne, IP-Adresse).
- Konfigurieren der Ablaufzeiträume für Sperrlisten, um die Größe der Sperrliste beizubehalten, indem ältere Einträge automatisch ablaufen oder entfernt werden.
- Durchsuchen von Sperrlisteneinträgen zwischen verschiedenen Sperrlisten.
- Verknüpfen von Sperrlisteneinträgen mit Datensätzen erkennbarer Elemente und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert ist.
Diagramm der Integrationsarchitektur
Nachfolgend finden Sie das allgemeine Architekturdiagramm, das die beteiligten Komponenten und Integrationspunkte zwischen NOW Platform und Check Point Systems darstellt.
Plugins
Die Integration erfordert die Aktivierung des Plugins Security Incident Response (com.snc.security_incident).
- Melden Sie sich mit Ihren HI-Anmeldeinformationen bei Ihrer Instanz an.
- Vergewissern Sie sich, dass Sie über die Administratorrolle (admin) verfügen.
- Navigieren Sie in Ihrer Instanz zu Systemdefinition>Plugins.
- Wählen und klicken Sie auf Security Incident Response.
Sobald diese Plugins installiert wurden, können Sie das neue Check Point-Integrations-Plugin aus dem ServiceNow Store hochladen und die folgenden Konfigurationsanweisungen befolgen.
Unterstützte Versionen des Prüfpunkt-Betriebssystems
Diese Integration erfordert den benutzerdefinierten Intelligenz-Feed von Check Point. Installieren Sie den Hotfix der benutzerdefinierten Intelligenzfunktion, bekannt als Check Point R80.10 Jumbo HF, Version 121 und höher. Weitere Informationen zur Produktkompatibilitätsmatrix finden Sie im Installationsabschnitt der Check Point Custom Intelligence-Feed-Dokumentation.
Stellen Sie nach der Installation des Hotfixes sicher, dass die folgenden Befehle auf dem Check Point Gateway zugänglich sind. Stellen Sie eine SSH-Verbindung zum Gateway her, und melden Sie sich im Expertenmodus an.
Unterstützte ServiceNow-Versionen
Release-Version San Diego oder höher wird unterstützt.
Referenzen
- Funktion für benutzerdefinierte Intelligenz-Feeds: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Informationen zum Einrichten von Anti-Bot- und Anti-Virus-Blades finden Sie im Check Point-Benutzerhandbuch. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Um die HTTPS-Inspektion für Check Point einzurichten, klicken Sie auf den folgenden Link. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Berechtigungen und Rollen
- Administrator (admin) für die Installation des Integrationsanwendungs-Plugins
- Security Incident-Administrator (sn_si.admin) für die Erstellung von Sperrlisten in ServiceNow und die Genehmigung von Anforderungen zum Hinzufügen und Deaktivieren von Sperrlisteneinträgen.
- Sicherheitsanalyst (hier auch als SOC-Analyst bezeichnet, sn_si.analyst) für die Erstellung und Verwaltung von Sperrlisteneintragsdatensätzen.
Um weitere Informationen zum Zuweisen der Rolle „Sicherheitsanalyst“ zu erhalten, navigieren Sie auf der ServiceNow-Dokumentationswebsitezu Security Operations>Security Incident Response> Sicherheitsanalysten zuweisen.