Guida Check Point

Utilizza questa guida per integrare Cybora in Check Point tramite External IoC feeds in SmartConsole. Questo workflow nativo consente al Security Gateway di recuperare gli observables direttamente dalla URL del feed e di applicarli tramite Threat Prevention.

Cosa puo fare Check Point con un feed Cybora

  • Check Point puo importare feed esterni contenenti IPs, domains, URLs e altri observables supportati.
  • Il feed importato puo essere applicato tramite i motori Threat Prevention documentati da Check Point.
  • Puoi iniziare con il feed in modalita detect oppure passare direttamente a prevent per un blocco attivo.
  • I gateway recuperano gli external feeds a intervalli regolari e applicano automaticamente gli aggiornamenti una volta configurato il feed.

Prima di iniziare

  • Usa Security Gateways con versione R81 o successiva per gli external IoC feeds aggiunti in SmartConsole.
  • Assicurati che Threat Prevention sia abilitato e che Indicator Scanning sia attivo nel profile pertinente prima di creare il feed.
  • Assicurati che i gateway rilevanti possano raggiungere la URL del feed Cybora tramite HTTP o HTTPS.
  • Decidi in anticipo se vuoi partire con un rollout detect-only o passare subito a prevention.

Creare l’external IoC feed

  1. In SmartConsole, vai su Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators.
  2. Fai clic su New e seleziona New IoC Feed o External IoC Feed, a seconda della versione.
  3. Inserisci un nome oggetto chiaro.
  4. Imposta l’azione. Detect e utile per una fase iniziale di validazione. Prevent e la scelta migliore se vuoi che il feed blocchi attivamente gli indicatori corrispondenti fin dall’inizio.
  5. Incolla la URL completa del feed Cybora in Feed URL.
  6. Seleziona il formato del feed che corrisponde al tuo feed e al tuo workflow di parsing in Check Point.
  7. Configura l’autenticazione solo se il feed la richiede.
  8. Usa Test Feed o Test Connectivity con un gateway appropriato per confermare che il gateway possa raggiungere il feed.
  9. Salva l’oggetto e installa la Threat Prevention Policy.

Comportamento del refresh e uso nella policy

  • Check Point documenta che i gateway recuperano gli external feeds configurati ogni 30 minuti per impostazione predefinita.
  • Puoi modificare l’intervallo in Manage & Settings > Blades > Threat Prevention > Advanced Settings > External Feed.
  • Imposta l’intervallo in modo che resti entro il tuo piano Cybora. E consentita una sola richiesta nell’intervallo permesso. Un polling eccessivo puo causare il blocco del feed.
  • Una volta configurato il feed, i gateway applicano gli aggiornamenti immediatamente senza richiedere una nuova installazione della Threat Prevention Policy per ogni refresh del feed.

Verifica

  1. Conferma che il test del feed riesca dal gateway previsto.
  2. Verifica che Indicator Scanning sia abilitato nel Threat Prevention Profile applicabile.
  3. Controlla i Threat Prevention logs per confermare azioni detect o prevent sugli observables corrispondenti.
  4. Se un gateway non riesce a recuperare il feed, controlla i control logs e il percorso di connettivita verso la URL del feed.

Ulteriori letture

Torna alla home