Guia de Check Point

Utilice esta guia para integrar Cybora en Check Point mediante External IoC feeds en SmartConsole. Este flujo nativo permite que el Security Gateway obtenga observables directamente desde la URL del feed y los aplique mediante Threat Prevention.

Lo que Check Point puede hacer con un feed de Cybora

  • Check Point puede importar feeds externos que contengan IPs, domains, URLs y otros observables compatibles.
  • El feed importado puede aplicarse mediante los motores de Threat Prevention documentados por Check Point.
  • Puede empezar con el feed en modo detect o cambiar directamente a prevent para bloquear activamente.
  • Los gateways obtienen los external feeds a intervalos regulares y aplican las actualizaciones automaticamente una vez que el feed esta configurado.

Antes de empezar

  • Utilice Security Gateways con R81 o superior para external IoC feeds anadidos en SmartConsole.
  • Asegurese de que Threat Prevention esta habilitado y de que Indicator Scanning esta activado en el profile correspondiente antes de crear el feed.
  • Asegurese de que los gateways relevantes pueden acceder a la URL del feed de Cybora mediante HTTP o HTTPS.
  • Decida de antemano si desea un despliegue inicial solo en detect o pasar directamente a prevention.

Crear el external IoC feed

  1. En SmartConsole, vaya a Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. Haga clic en New y seleccione New IoC Feed o External IoC Feed, segun la version.
  3. Introduzca un nombre claro para el objeto.
  4. Configure la accion. Detect es util para una fase inicial de validacion. Prevent es la mejor opcion si quiere que el feed bloquee activamente los indicadores coincidentes desde el principio.
  5. Pegue la URL completa del feed de Cybora en Feed URL.
  6. Seleccione el formato de feed que coincida con su feed y con su flujo de parsing en Check Point.
  7. Configure autenticacion solo si su feed la requiere.
  8. Use Test Feed o Test Connectivity con un gateway adecuado para confirmar que el gateway puede acceder al feed.
  9. Guarde el objeto e instale la Threat Prevention Policy.

Comportamiento de refresco y uso en policy

  • Check Point documenta que los gateways obtienen los external feeds configurados cada 30 minutos por defecto.
  • Puede cambiar el intervalo en Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed.
  • Configure el intervalo para que se mantenga dentro de su plan de Cybora. Solo se permite una solicitud dentro del intervalo autorizado. Un polling excesivo puede hacer que el feed sea bloqueado.
  • Una vez configurado el feed, los gateways aplican las actualizaciones inmediatamente sin necesidad de instalar otra Threat Prevention Policy por cada refresco del feed.

Validacion

  1. Confirme que la prueba del feed se realiza correctamente desde el gateway previsto.
  2. Verifique que Indicator Scanning esta habilitado en el Threat Prevention Profile correspondiente.
  3. Revise los Threat Prevention logs para confirmar acciones de detect o prevent sobre observables coincidentes.
  4. Si un gateway no puede obtener el feed, revise los control logs y la ruta de conectividad hacia la URL del feed.

Lecturas adicionales

Volver al inicio