دليل Check Point

استخدم هذا الدليل لدمج Cybora في Check Point عبر External IoC feeds داخل SmartConsole. يتيح هذا المسار الأصلي لـ Security Gateway جلب observables مباشرةً من عنوان URL الخاص بالموجز وفرضها عبر Threat Prevention.

ما الذي يمكن لـ Check Point فعله بموجز Cybora

  • يمكن لـ Check Point استيراد موجزات خارجية تحتوي على IPs وdomains وURLs وغيرها من observables المدعومة.
  • يمكن فرض الموجز المستورد عبر محركات Threat Prevention التي توثقها Check Point.
  • يمكنك البدء بالموجز في وضع detect أولًا أو التحول مباشرةً إلى prevent من أجل الحظر الفعلي.
  • تقوم الـ gateways بجلب external feeds على فترات منتظمة وتطبيق التحديثات تلقائيًا بعد إعداد الموجز.

قبل أن تبدأ

  • استخدم Security Gateways بإصدار R81 أو أحدث من أجل external IoC feeds المضافة في SmartConsole.
  • تأكد من أن Threat Prevention مفعّلة وأن Indicator Scanning مفعّلة داخل الـ profile المعني قبل إنشاء الموجز.
  • تأكد من أن الـ gateways المعنية تستطيع الوصول إلى عنوان URL الخاص بموجز Cybora عبر HTTP أو HTTPS.
  • قرر مسبقًا ما إذا كنت تريد rollout أوليًا بنمط detect-only أو الانتقال مباشرةً إلى prevention.

إنشاء external IoC feed

  1. في SmartConsole انتقل إلى Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. اضغط New ثم اختر New IoC Feed أو External IoC Feed بحسب الإصدار.
  3. أدخل اسمًا واضحًا للكائن.
  4. اضبط الإجراء. يعد Detect مناسبًا لمرحلة تحقق أولية. أما Prevent فهو الخيار الأفضل إذا كنت تريد أن يحظر الموجز المؤشرات المطابقة فعليًا منذ البداية.
  5. الصق عنوان URL الكامل الخاص بموجز Cybora في Feed URL.
  6. اختر تنسيق الموجز الذي يطابق موجزك ومسار parsing في Check Point.
  7. قم بإعداد المصادقة فقط إذا كان الموجز يتطلب ذلك.
  8. استخدم Test Feed أو Test Connectivity مع gateway مناسبة للتأكد من أن gateway تستطيع الوصول إلى الموجز.
  9. احفظ الكائن ثم ثبّت Threat Prevention Policy.

سلوك التحديث واستخدام policy

  • توثق Check Point أن الـ gateways تجلب external feeds المهيأة كل 30 دقيقة افتراضيًا.
  • يمكنك تغيير هذا الفاصل من Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed.
  • اضبط الفاصل بحيث يبقى ضمن حدود خطة Cybora الخاصة بك. يُسمح بطلب واحد فقط ضمن الفترة المسموح بها. وقد يؤدي الاستعلام المفرط إلى حظر الموجز.
  • بعد إعداد الموجز، تطبق الـ gateways التحديثات مباشرةً دون الحاجة إلى تثبيت Threat Prevention Policy جديدة مع كل refresh.

التحقق

  1. أكد أن اختبار الموجز ينجح من الـ gateway المقصودة.
  2. تحقق من أن Indicator Scanning مفعّلة في Threat Prevention Profile المعني.
  3. راجع Threat Prevention logs لتأكيد إجراءات detect أو prevent على الـ observables المطابقة.
  4. إذا تعذر على gateway جلب الموجز، فراجع control logs ومسار الاتصال إلى عنوان URL الخاص بالموجز.

روابط إضافية

العودة إلى الصفحة الرئيسية