Docs durchsuchen

Firewalls

Check Point einrichten

Integrieren Sie Cybora in Check Point über External IoC Feeds in SmartConsole, damit Gateways Observables abrufen und Threat Prevention nutzen.

Zuletzt aktualisiert: 15. Juni 2026

Auf dieser Seite

Verwenden Sie diese Anleitung, um Cybora in Check Point über External IoC feeds in SmartConsole einzubinden. Dieser native Workflow ermöglicht es dem Security Gateway, Observables direkt über Ihre Feed-URL abzurufen und über Threat Prevention durchzusetzen.

Was Check Point mit einem Cybora-Feed machen kann

  • Check Point kann externe Feeds mit IPs, Domains, URLs und anderen unterstützten Observables importieren.
  • Der importierte Feed kann über die von Check Point dokumentierten Threat-Prevention-Engines durchgesetzt werden.
  • Sie können den Feed zunächst im Detect-Modus betreiben oder direkt auf Prevent umstellen, um aktiv zu blockieren.
  • Gateways laden externe Feeds in einem regelmässigen Intervall und setzen Aktualisierungen automatisch durch, sobald der Feed eingerichtet ist.

Bevor Sie beginnen

  • Verwenden Sie Security Gateways ab R81 oder neuer für External IoC feeds in SmartConsole.
  • Stellen Sie sicher, dass Threat Prevention aktiviert ist und dass Indicator Scanning im verwendeten Profil eingeschaltet ist, bevor Sie den Feed erstellen.
  • Stellen Sie sicher, dass die relevanten Gateways die Cybora-Feed-URL über HTTP oder HTTPS erreichen können.
  • Entscheiden Sie vorab, ob Sie mit Detect-only starten oder direkt auf Prevention gehen möchten.

External IoC feed erstellen

  1. Gehen Sie in SmartConsole zu Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. Klicken Sie auf New und wählen Sie, je nach Version, New IoC Feed oder External IoC Feed.
  3. Geben Sie einen klaren Objektnamen ein.
  4. Setzen Sie die Aktion. Detect eignet sich für eine erste Validierungsphase. Prevent ist die bessere Wahl, wenn der Feed von Beginn an passende Indikatoren aktiv blockieren soll.
  5. Fügen Sie die vollständige Cybora-Feed-URL in Feed URL ein.
  6. Wählen Sie das Feed-Format, das zu Ihrem Feed und Ihrem Check-Point-Parsing-Workflow passt.
  7. Konfigurieren Sie Authentifizierung nur dann, wenn Ihr Feed dies verlangt.
  8. Verwenden Sie Test Feed oder Test Connectivity mit einem passenden Gateway, um zu bestätigen, dass das Gateway den Feed erreichen kann.
  9. Speichern Sie das Objekt und installieren Sie die Threat Prevention Policy.

Refresh-Verhalten und Policy-Nutzung

  • Check Point dokumentiert, dass Gateways konfigurierte External Feeds standardmässig alle 30 Minuten abrufen.
  • Sie können das Fetching-Intervall unter Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed ändern.
  • Stellen Sie das Intervall so ein, dass es innerhalb Ihres Cybora-Plans bleibt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulässig. Zu häufiges Polling kann dazu führen, dass der Feed blockiert wird.
  • Nachdem der Feed konfiguriert ist, setzen Gateways Aktualisierungen sofort durch, ohne dass für jede Feed-Aktualisierung erneut eine Threat Prevention Policy installiert werden muss.

Validierung

  1. Bestätigen Sie, dass der Feed-Test vom vorgesehenen Gateway erfolgreich durchgeführt wird.
  2. Prüfen Sie, ob Indicator Scanning im verwendeten Threat Prevention Profile aktiviert ist.
  3. Prüfen Sie Threat Prevention Logs, um Detect- oder Prevent-Aktionen auf passende Observables zu bestätigen.
  4. Wenn ein Gateway den Feed nicht abrufen kann, prüfen Sie die Control Logs und den Verbindungsweg zur Feed-URL.