Check Point Anleitung

Verwenden Sie diese Anleitung, um Cybora in Check Point ueber External IoC feeds in SmartConsole einzubinden. Dieser native Workflow ermoeglicht es dem Security Gateway, Observables direkt ueber Ihre Feed-URL abzurufen und ueber Threat Prevention durchzusetzen.

Was Check Point mit einem Cybora-Feed machen kann

  • Check Point kann externe Feeds mit IPs, Domains, URLs und anderen unterstuetzten Observables importieren.
  • Der importierte Feed kann ueber die von Check Point dokumentierten Threat-Prevention-Engines durchgesetzt werden.
  • Sie koennen den Feed zunaechst im Detect-Modus betreiben oder direkt auf Prevent umstellen, um aktiv zu blockieren.
  • Gateways laden externe Feeds in einem regelmaessigen Intervall und setzen Aktualisierungen automatisch durch, sobald der Feed eingerichtet ist.

Bevor Sie beginnen

  • Verwenden Sie Security Gateways ab R81 oder neuer fuer External IoC feeds in SmartConsole.
  • Stellen Sie sicher, dass Threat Prevention aktiviert ist und dass Indicator Scanning im verwendeten Profil eingeschaltet ist, bevor Sie den Feed erstellen.
  • Stellen Sie sicher, dass die relevanten Gateways die Cybora-Feed-URL ueber HTTP oder HTTPS erreichen koennen.
  • Entscheiden Sie vorab, ob Sie mit Detect-only starten oder direkt auf Prevention gehen moechten.

External IoC feed erstellen

  1. Gehen Sie in SmartConsole zu Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. Klicken Sie auf New und waehlen Sie, je nach Version, New IoC Feed oder External IoC Feed.
  3. Geben Sie einen klaren Objektnamen ein.
  4. Setzen Sie die Aktion. Detect eignet sich fuer eine erste Validierungsphase. Prevent ist die bessere Wahl, wenn der Feed von Beginn an passende Indikatoren aktiv blockieren soll.
  5. Fuegen Sie die vollstaendige Cybora-Feed-URL in Feed URL ein.
  6. Waehlen Sie das Feed-Format, das zu Ihrem Feed und Ihrem Check-Point-Parsing-Workflow passt.
  7. Konfigurieren Sie Authentifizierung nur dann, wenn Ihr Feed dies verlangt.
  8. Verwenden Sie Test Feed oder Test Connectivity mit einem passenden Gateway, um zu bestaetigen, dass das Gateway den Feed erreichen kann.
  9. Speichern Sie das Objekt und installieren Sie die Threat Prevention Policy.

Refresh-Verhalten und Policy-Nutzung

  • Check Point dokumentiert, dass Gateways konfigurierte External Feeds standardmaessig alle 30 Minuten abrufen.
  • Sie koennen das Fetching-Intervall unter Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed aendern.
  • Stellen Sie das Intervall so ein, dass es innerhalb Ihres Cybora-Plans bleibt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Zu haeufiges Polling kann dazu fuehren, dass der Feed blockiert wird.
  • Nachdem der Feed konfiguriert ist, setzen Gateways Aktualisierungen sofort durch, ohne dass fuer jede Feed-Aktualisierung erneut eine Threat Prevention Policy installiert werden muss.

Validierung

  1. Bestaetigen Sie, dass der Feed-Test vom vorgesehenen Gateway erfolgreich durchgefuehrt wird.
  2. Pruefen Sie, ob Indicator Scanning im verwendeten Threat Prevention Profile aktiviert ist.
  3. Pruefen Sie Threat Prevention Logs, um Detect- oder Prevent-Aktionen auf passende Observables zu bestaetigen.
  4. Wenn ein Gateway den Feed nicht abrufen kann, pruefen Sie die Control Logs und den Verbindungsweg zur Feed-URL.
Zurück zur Startseite