Criar uma lista de bloqueios para a integração Check Point NGTP

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 7 min. de leitura

    • Crie uma lista de bloqueios em sua instância da Now Platform. Depois de aprovado e ativado, você pode criar entradas para essas listas de bloqueios a partir de observáveis determinados como mal-intencionados em incidentes do Now Platform Security Incident Response (SIR) e solicitar aprovação para bloqueá-los.

    Antes de Iniciar

    Função necessária: administrador de incidentes de segurança (sn_si.admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Crie a lista de bloqueios em sua instância da Now Platform para que o Check Point possa importar objetos (endereços IP, URLs, domínios) incluídos na lista. O feed de inteligência personalizado é configurado no Check Point Gateway, que extrai os endereços IP, URLs e domínios da plataforma Now em intervalos pré-configurados. Para garantir o bloqueio dos observáveis, a Política de prevenção de ameaças deve ser configurada com os Blades Anti-Bot e Anti-Virus ativados.
    Nota:
    As imagens neste tópico são mostradas com os Formulários com guia limpos em Configurações do sistema.
    Configurações do sistema > Formulários

    Procedimento

    1. Depois que a instalação da aplicação estiver concluída, navegue até Integrações > Configurações de Integração.
    2. Localize o cartão de prevenção de ameaças de última geração do Check Point e clique em Configurar.
      Cartão de integração de NGTP do Check Point
      Nota:
      Conteúdo privilegiado e proprietário usado com permissão da Check Point Software Tecnologias, Ltd.
    3. Clique em Criar nova lista de bloqueios.
      Configuração de NGTP do Check Point
    4. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome da lista de solicitações de bloqueio do Check Point.

      Inclua o tipo de observável (URL, IP, domínio) neste campo para que o analista de segurança possa reconhecer facilmente a intenção da Lista de Bloqueios pelo nome. O nome também deve indicar claramente para qual política de firewall esses objetos da Lista de bloqueios estão mapeados. Alguns exemplos de nomes de lista de bloqueios são IP de malware de saída ou URL de phishing de saída.
      Ativo Esta caixa de seleção está desmarcada por padrão para indicar que a Lista de bloqueios está inativa.

      Quando inativa, a Lista de Bloqueios não pode receber entradas adicionais.

      Quando a caixa de seleção está marcada (quando a solicitação de mudança é fechada ou a solicitação de mudança não é gerada), a lista de bloqueios é ativada e fica disponível para entradas da lista de bloqueios.
      Marcador de exibição A caixa de seleção é marcada por padrão para marcar automaticamente o observável e o registro de incidente de segurança associado se o observável estiver bloqueado na Lista de bloqueios. Quando selecionado, o campo "Marcador para observáveis" fica disponível no formulário.
      Nota:
      Um nome de marcador é criado por padrão a partir do valor inserido no campo Nome com um prefixo de Check Point, por exemplo, Check Point-Malware OutBound IP. Você pode mudar o nome e a cor do marcador. O nome do marcador é exibido no campo "Marcador para observáveis" quando a lista de bloqueios é salva.

      Quando a caixa de seleção está desmarcada, nenhum marcador é criado e o campo "Marcador para observáveis" não está disponível no formulário.
      Tipo de Observável Selecione um tipo de observável que esta Lista de Bloqueios aceita na lista: Endereço IP (incluindo CIDR para lista de permissões), URL ou domínio.
      Tipo de marcador Marcadores que estão disponíveis na lista.

      Uma Lista de bloqueios é uma lista de observáveis que você deseja que a Prevenção contra ameaças de última geração do Check Point bloqueie.

      Uma lista de permissões é uma lista de observáveis que você não deseja bloquear na Prevenção contra ameaças de última geração do Check Point.

      Por padrão, a cor do marcador da Lista de bloqueios é preta e a cor do marcador da lista de permissões é Cinza. Você pode mudar a cor.
      Criar solicitação de mudança Esta caixa de seleção é marcada por padrão para criar automaticamente uma solicitação de mudança e tarefas de mudança em sua instância da Now Platform, que estão anexadas ao registro da Lista de bloqueios.

      A solicitação de mudança é usada para configurar a URL de recuperação da Lista de Bloqueios no gateway de firewall do Check Point Next Geração.

      Esta opção é recomendada se o administrador do firewall também estiver usando a Now Platform para mudanças de política ou regra de firewall. Se você criar uma solicitação, depois que ela for fechada, a Lista de bloqueios será ativada automaticamente.

      Desmarque a caixa de seleção para ativar manualmente a Lista de bloqueios após receber um aviso por e-mail do administrador do firewall de que o Feed de inteligência personalizado foi configurado em todos os gateways do Check Point.

      Quando a caixa de seleção de Criar solicitação de mudança está desmarcada, o campo Solicitação de mudança fica indisponível.
      Solicitar Aprovação Esta caixa de seleção é marcada por padrão para solicitar aprovações para ativar/remover entradas da Lista de bloqueios das Listas de bloqueios. A aprovação é solicitada aos usuários com a função de Administrador de incidentes de segurança (sn_si.admin). A solicitação de aprovação será enviada por e-mail para os aprovadores.

      Depois que a aprovação for aceita, a entrada será ativada nessa Lista de Bloqueios.

      Quando a caixa de seleção não estiver marcada, as entradas dessa lista de bloqueios não seguirão o fluxo de trabalho de aprovação e serão ativadas diretamente na lista de bloqueios.
      Marcador para observável Este campo será exibido somente se a caixa de seleção Exibir marcador estiver marcada. O campo é preenchido automaticamente depois que a Lista de bloqueios é salva com um valor padrão do campo Nome. Se a Lista de bloqueios for criada com o nome "URL do malware", o nome do marcador derivado será "Lista de bloqueios - URL do malware"
      Solicitação de mudança Quando a caixa de seleção Criar solicitação de mudança está marcada, o número da solicitação de mudança é exibido na instância da Now Platform depois que a Lista de bloqueios é salva.

      Quando a caixa de seleção de Criar solicitação de mudança está desmarcada, este campo não é exibido.
      Descrição Descrição da lista de blocos do Check Point. O nome geralmente contém os tipos de sites e observáveis que você espera que estejam nesta Lista de Bloqueios e você pode usar este campo para obter mais detalhes.
      Período de Expiração (dias) Período de expiração da lista de bloqueios.

      0 (o padrão) indica que a entrada da Lista de bloqueios nunca expira.

      Se você alterar este valor, esta entrada ficará ativa pelo número de dias inserido. Você pode inserir um valor mínimo de 1, que corresponde a 24 horas, e não há valor máximo.
      URL de recuperação A URL de Recuperação será gerada automaticamente, depois que a Lista de Bloqueios for salva. Para configurar esta Lista de Bloqueios em Gateways do Check Point, você deve usar este URL. Depois que este URL é configurado, o Check Point busca os observáveis a serem bloqueados no formato csv.
      Lista de solicitação da lista de bloqueios
    5. Clique em Enviar.
    6. Se a Lista de Solicitação de Bloqueio do Check Point não for exibida, navegue até Integração de NGTP do Ponto de Verificação > Listas de solicitações de bloqueio.
      Listas de solicitação da lista de bloqueios
      A nova lista de bloqueios é exibida. O status da Lista de bloqueios ainda está inativo (falso), o que significa que a Lista de bloqueios não está disponível para aceitar entradas. Se Criar solicitação de mudança tiver sido configurado, uma mensagem será exibida indicando que uma solicitação de mudança e tarefas foram criadas em sua instância da Now Platform.
      Entradas de solicitação da lista de bloqueios
    7. Na coluna Nome, clique em um item para abrir o registro.
      O registro da Lista de bloqueios é exibido. Este exemplo mostra uma Lista de Bloqueios de IP de Saída de Malware. Os campos, opções e links a seguir são exibidos no novo registro após o envio e descritos na tabela a seguir.
      URL recuperado
      Campo Descrição
      URL de Recuperação de E-mail Envia por e-mail um aviso de que o link do bloco está disponível para configuração para o administrador do firewall do Check Point.
      URL de recuperação Este URL é usado para configurar o feed de inteligência personalizado em gateways do Check Point.
      Nota:
      Se você tiver as Configurações do sistema definidas como Formulários com guias, este link será exibido na guia Informações de recuperação da lista de bloqueios na parte inferior do registro.
      Solicitação de mudança da Now Platform Um link para o registro de solicitação de mudança é exibido na seção Solicitações de mudança quando configurado, e o número da solicitação é exibido no campo Solicitação de mudança.
      Atualizar Modifique os dados e atualize os campos editáveis.
      Excluir Exclua o registro.
    8. Crie e adicione mais listas de bloqueios conforme necessário.
      As Listas de Bloqueio são exibidas na Página de Listas de Solicitação de Bloqueio do Check Point.

    O que Fazer Depois

    Ative a lista de solicitação de bloqueio manualmente ou com uma solicitação de mudança da Now Platform.