Check Point Next Generation Threat Prevention integração
Este documento descreve as etapas necessárias para integrar os recursos de prevenção de ameaças de última geração (NGTP) do Check Point com ServiceNow® Resposta a incidentes de segurança (SIR) para que as aplicações funcionem corretamente juntas.
Depois de instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP, URLs e domínios mal-intencionados usando recursos da Lista de solicitações de bloqueio com os produtos ServiceNow Resposta a incidentes de segurança (SIR). Esta Lista de Solicitação de Bloqueio está configurada nos Gateways do Check Point como um Feed de Inteligência Personalizado. O recurso Feeds de inteligência personalizados permite adicionar feeds de inteligência cibernética personalizados ao mecanismo de prevenção de ameaças de última geração. Ele permite a busca de feeds de um servidor de terceiros, neste caso, a aplicação ServiceNow Resposta a incidentes de segurança, diretamente para o Gateway de Próxima Geração do Check Point a ser aplicado por blades Antivírus e Antibot. O analista de resposta a incidentes de segurança cria entradas para a Lista de bloqueios do Check Point a partir de observáveis determinados como mal-intencionados em ServiceNow incidentes de segurança SIR.
Para a maioria das implementações, uma Lista de Solicitação de Bloqueio é um arquivo CSV hospedado em um servidor Web externo. Para esta integração, este servidor web é sua instância da Now Platform, o que permite que o Mecanismo de prevenção de ameaças de última geração do Check Point busque a lista de endereços IP, URLs e domínios a serem bloqueados.
Para impor os observáveis de bloqueio no Gateway do Check Point, certifique-se de que a Política de prevenção de ameaças esteja configurada com os Blades Anti-Bot e Anti-Virus ativados. Conforme as entradas da Lista de bloqueios são modificadas, o Mecanismo de prevenção contra ameaças importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou uma confirmação no firewall. Para esta integração, a Now Platform criou uma tabela que contém entradas da Lista de bloqueios que são recuperadas pelo Gateway de próxima geração do Check Point autorizado nos intervalos de recuperação configurados.
- Flexibilidade para criar várias listas de bloqueios que se aplicam a vários gateways do Check Point.
- Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e sites permitidos).
- Marcação de incidentes de segurança da Now Platform com entradas da Lista de bloqueios pelo tipo de observável (URL, domínio, endereço IP).
- Configurar períodos de expiração da Lista de bloqueios para manter o tamanho da Lista de bloqueios expirando automaticamente ou removendo entradas mais antigas.
- Pesquisando entradas da Lista de bloqueios entre diferentes Listas de bloqueios.
- Vinculando entradas da Lista de bloqueios a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.
Diagrama de arquitetura de integração
Abaixo está o diagrama de arquitetura de alto nível que descreve os componentes envolvidos e os pontos de integração entre a NOW Platform e a Check Point Systems.
Plug-ins
A integração requer que o plug-in Resposta a incidentes de segurança (com.snc.security_incident) esteja ativado.
- Faça login na sua instância com suas credenciais HI.
- Verifique se você tem a função de administrador (admin).
- Navegue até Definição do sistema>plug-ins em sua instância.
- Selecione e clique em Security Incident Response.
Depois que esses plug-ins forem instalados, você poderá carregar o novo plug-in de integração do Check Point na ServiceNow Store e seguir as instruções de configuração a seguir.
Versões compatíveis do SO do Check Point
Esta integração requer o Feed de inteligência personalizado do Check Point e as blades Anti-Bot e Anti-Virus. Eles são compatíveis com R80.20 e superior. Instale o hotfix do Recurso de Inteligência Personalizada conhecido como Check Point R80.10 Jumbo HF, versão 121 e superior. Consulte a seção Instalação da documentação do feed de inteligência personalizada do Check Point para obter mais informações sobre a matriz de compatibilidade do produto.
Depois de instalar o hotfix, certifique-se de que os comandos abaixo estejam acessíveis no Check Point Gateway. SSH para o gateway e login no modo especialista.
Versões compatíveis da ServiceNow
A versão de lançamento San Diego ou posterior é compatível.
Referências
- Recurso de feeds de inteligência personalizados - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk132193
- Para configurar os blades Anti-Bot e Anti-Virus, consulte o Guia do usuário do Check Point. http://downloads.checkpoint.com/dc/download.htm?ID=46534
- Para configurar a Inspeção de HTTPS no Check Point, siga o link abaixo. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108202
Permissões e funções
- Administrador (admin) para instalação do plug-in da aplicação de integração
- Administrador de incidentes de segurança (sn_si.admin) para criar listas de bloqueios na ServiceNow e aprovar solicitações para adicionar e desativar entradas da lista de bloqueios.
- Analista de segurança (também conhecido aqui como Analista de SOC, sn_si.analyst) para criar e manter registros de Entrada da Lista de Bloqueios.
Para obter mais informações sobre como atribuir a função de analista de segurança, no site de documentação da ServiceNow, navegue até Operações de segurança>Security Incident Response> Atribuição de analistas de segurança.