Guide Check Point

Utilisez ce guide pour integrer Cybora dans Check Point via les External IoC feeds de SmartConsole. Ce workflow natif permet au Security Gateway de recuperer directement les observables depuis votre URL de flux et de les appliquer via Threat Prevention.

Ce que Check Point peut faire avec un flux Cybora

  • Check Point peut importer des flux externes contenant des IPs, des domains, des URLs et d’autres observables pris en charge.
  • Le flux importe peut etre applique via les moteurs Threat Prevention documentes par Check Point.
  • Vous pouvez commencer en mode detect ou basculer directement en mode prevent pour un blocage actif.
  • Les gateways recuperent les flux externes a intervalle regulier et appliquent automatiquement les mises a jour une fois le flux en place.

Avant de commencer

  • Utilisez des Security Gateways en version R81 ou ulterieure pour les External IoC feeds ajoutes dans SmartConsole.
  • Assurez-vous que Threat Prevention est active et que Indicator Scanning est active dans le profile concerne avant de creer le flux.
  • Assurez-vous que les gateways concernes peuvent atteindre l’URL du flux Cybora via HTTP ou HTTPS.
  • Decide a l’avance si vous souhaitez demarrer en mode detect-only ou passer directement en prevention.

Creer l’external IoC feed

  1. Dans SmartConsole, allez dans Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. Cliquez sur New et selectionnez New IoC Feed ou External IoC Feed selon votre version.
  3. Saisissez un nom d’objet clair.
  4. Definissez l’action. Detect est utile pour une premiere phase de validation. Prevent est un meilleur choix si vous voulez que le flux bloque activement les indicateurs correspondants des le depart.
  5. Collez l’URL complete du flux Cybora dans Feed URL.
  6. Selectionnez le format de flux correspondant a votre flux et a votre workflow de parsing Check Point.
  7. Configurez l’authentification uniquement si votre flux l’exige.
  8. Utilisez Test Feed ou Test Connectivity avec une gateway appropriee pour confirmer que la gateway peut atteindre le flux.
  9. Enregistrez l’objet et installez la Threat Prevention Policy.

Comportement de rafraichissement et usage dans la policy

  • Check Point documente que les gateways recuperent les external feeds configures toutes les 30 minutes par defaut.
  • Vous pouvez modifier cet intervalle dans Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed.
  • Definissez cet intervalle de maniere a respecter votre plan Cybora. Une seule requete est permise dans l’intervalle autorise. Des interrogations trop frequentes peuvent entrainer le blocage du flux.
  • Une fois le flux configure, les gateways appliquent les mises a jour immediatement sans necessiter une nouvelle installation de Threat Prevention Policy pour chaque rafraichissement.

Validation

  1. Confirmez que le test du flux reussit depuis la gateway cible.
  2. Verifiez que Indicator Scanning est active dans le Threat Prevention Profile applicable.
  3. Consultez les Threat Prevention logs pour confirmer les actions detect ou prevent sur les observables correspondants.
  4. Si une gateway ne peut pas recuperer le flux, examinez les control logs et le chemin de connectivite vers l’URL du flux.

Liens utiles

Retour à l'accueil