Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Реагирование с помощью Check Point NGFW

Развернуть все | Свернуть все

Check Point NGFW – это решение, которое действует как фильтр для интернет-трафика в корпоративных сетях. Интеграция с Check Point NGFW позволяет блокировать IP-адреса и URL, обнаруженные Open Single Management Platform.

Check Point NGFW включает в себя функции унифицированных решений по управлению угрозами и предоставляет следующие средства защиты корпоративных сетей:

  • Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
  • Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
  • Антивирусное сканирование трафика – защита от вредоносных приложений и их действий.
  • Контроль приложений – блокирование или ограничение выполнения неавторизованных приложений.
  • Веб-фильтрация – ограничение доступа пользователей к сайтам, которые вы считаете нежелательными.

Поддерживается Check Point NGFW версии R81.20 или выше.

Вы можете реагировать на алерты и инциденты с помощью Check Point NGFW, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. Чтобы разблокировать IP-адреса или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

Для запуска скриптов требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Check Point NGFW, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Вы можете скачать скрипты для реагирования по следующей ссылке:

Загрузить скрипт

Учетная запись и пароль для доступа к Check Point NGFW хранятся в файле .envSample.

Чтобы использовать скрипт:

  1. Установите скрипт одним из следующих способов:
    • С помощью pip, например:

      pip install -r requirements.txt

    • Автономная установка.

      Если у вас нет доступа в интернет, вы можете установить скрипт автономно. В этом случае сделайте следующее:

      1. Загрузите зависимости на устройство с доступом в интернет, выполнив следующую команду:

        pip download -r requirements.txt

      2. Переместите загруженные зависимости на устройство, на котором вы будете запускать скрипт.
      3. Установите зависимости с помощью команды:

        pip install --no-index --find-links <путь_к_папке_с_загруженными_зависимостям> -r requirements.txt

  2. Настройте скрипт одним из следующих способов:
    • С помощью ENV-файла, например:

      cp .env.sample .env

      nano .env

    • В теле скрипта (main.py) измените параметры в следующих строках:

      BASE_IP: str = getenv("BASE_IP", "your-ip")

      BASE_PORT: str = getenv("BASE_PORT", "your-port")

      LOGIN: str = getenv("LOGIN", "your-login")

      PASSWORD: str = getenv("PASSWORD", "your-password")

  3. Добавьте правила запрета для IP-адресов, обнаруженных Open Single Management Platform, и для вредоносных веб-адресов.

Чтобы добавить правило сетевого экрана, которое будет блокировать IP-адреса:

  1. Запустите скрипт с помощью команды add_firewall_rule.

    Команда имеет следующую логику:

    1. Проверяет, существуют ли IP-адреса в списке объектов Check Point NGFW.

      Если они существуют, текущий IP-адрес не добавляется.

      Если они не существуют, добавляется текущий IP-адрес.

    2. Проверяет, существует ли список IP-адресов с именем XDR.

      Если список существует, он используется повторно, и к нему добавляются IP-адреса.

      Если он не существует, создается список, в который добавляются IP-адреса.

    3. Проверяет, существует ли правило для сетевого экрана с именем XDR.

      Если правило сетевого экрана существует, оно используется повторно и к нему добавляется список IP-адресов из шага 2.

      Если оно не существует, создается правило сетевого экрана, и к нему добавляется список IP-адресов из шага 2.

  2. Укажите IP-адреса, которые вы хотите заблокировать.

    По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в предыдущей инструкции на шаге 2 Настройка скрипта.

    Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

    python main.py add_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных IPv4-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/main_add_firewall_rule.gif)

Чтобы удалить правило сетевого экрана, которое блокирует IP-адреса:

  1. Запустите скрипт с помощью команды delete_firewall_rule.

    Команда имеет следующую логику:

    1. Проверяет, существуют ли IP-адреса в списке объектов Check Point NGFW.

      Если они существуют, текущий IP-адрес не добавляется.

      Если они не существуют, добавляется текущий IP-адрес.

    2. Проверяет, существует ли список IP-адресов с именем XDR.

      Если список существует, он используется повторно, и к нему добавляются IP-адреса.

      Если он не существует, создается список, в который добавляются IP-адреса.

    3. Проверяет, существует ли правило для сетевого экрана с именем XDR.

      Если правило сетевого экрана существует, оно используется повторно и к нему добавляется список IP-адресов из шага 2.

      Если оно не существует, создается правило сетевого экрана, и к нему добавляется список IP-адресов из шага 2.

  2. Укажите IP-адреса, которые вы хотите заблокировать.

    По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в предыдущей инструкции на шаге 2 Настройка скрипта.

    Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

    python main.py delete_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных IPv4-адресов удалено.

Чтобы добавить правило фильтрации, которое будет блокировать вредоносные веб-адреса:

  1. Запустите скрипт с помощью команды add_content_filter_file command.

    Команда имеет следующую логику:

    1. Проверяет, существует ли категория с именем XDR.

      Если она существует, веб-адреса добавляются в эту категорию.

      Если она не существует, создается категория, а затем к ней добавляются веб-адреса.

    2. Проверяет, существует ли правило фильтрации содержимого с именем XDR.

      Если правило фильтрации содержимого существует, к нему добавляется категория из шага 1.

      Если оно не существует, создается правило фильтрации содержимого, а затем к нему добавляется категория из шага 1.

  2. Укажите веб-адреса, которые вы хотите заблокировать.

    Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

    python main.py add_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/main_add_content_filtering_rule.gif)

Чтобы удалить правило фильтрации, которое блокирует вредоносные веб-адреса:

  1. Запустите скрипт с помощью команды delete_content_filter_file.

    Команда имеет следующую логику:

    1. Проверяет, существует ли категория с именем XDR.

      Если она существует, веб-адреса добавляются в эту категорию.

      Если она не существует, создается категория, а затем к ней добавляются веб-адреса.

    2. Проверяет, существует ли правило фильтрации содержимого с именем XDR.

      Если правило фильтрации содержимого существует, к нему добавляется категория из шага 1.

      Если оно не существует, создается правило фильтрации содержимого, а затем к нему добавляется категория из шага 1.

  2. Укажите веб-адреса, которые вы хотите заблокировать.

    Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

    python main.py delete_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов удалено.

Чтобы запустить скрипт для реагирования с помощью Check Point NGFW:

  1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
  2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Check Point NGFW.
  3. Нажмите на кнопку Запустить.

    Выбранный плейбук запустит скрипт для реагирования с помощью Check Point NGFW.

    Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

В начало
[Topic 290556]