This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
WiliRGasparetto
MVP Diamond
MVP Diamond
‎2026-04-17 05:25 AM

Como controlar e implementar atualizações de IPS no Check Point sem impactos indesejados

 

Como controlar e implementar atualizações de IPS no Check Point sem impactos indesejados

Runbook TAC-grade para evitar falsos positivos, interrupções e “exceções eternas”

Tese (vida real)

Atualizações de IPS são essenciais para reduzir exposição a ameaças emergentes, mas o risco operacional quase nunca está no “download do update” — está em ativar automaticamente proteções novas/alteradas em Prevent, sem validação, sem baseline e sem governança.
O objetivo deste runbook é garantir controle de mudança, rollout previsível e prova por evidência antes de endurecer enforcement.

0) Modelo mental TAC: o que muda quando o IPS é atualizado

Quando você atualiza o IPS, você está lidando com pelo menos três variáveis operacionais:

  1. Conteúdo (protections/signatures): novas proteções, ajustes de proteções existentes, correções e tuning.

  2. Política (Threat Prevention Policy): a policy define o que aplicar, com que ação (Detect/Prevent/Inactive) e em que gateways.

  3. Comportamento em produção: tráfego real pode expor falsos positivos e efeitos colaterais (bloqueio de app, reset de sessão, degradação de performance).

Regra TAC: update sem instalação de policy = nada muda no enforcement. Update + policy sem validação = risco de produção.

 

1) Preparação: antes de qualquer update (controle de mudança)

1.1 Defina seu “anel” de rollout (rings)

Evite aplicar em tudo ao mesmo tempo. Um modelo simples que funciona:

  • Ring 0 / Pilot: 1 gateway menos crítico ou uma janela controlada

  • Ring 1: perímetro secundário / site de menor impacto

  • Ring 2: produção ampla

Critérios para avançar ring (Go/No-Go):

  • zero incidentes críticos de aplicação

  • volume de detecções “nova proteção” dentro do esperado

  • sem aumento material de CPU/throughput drops

1.2 Checklist mínimo de segurança operacional

  • Janela de manutenção (quando aplicável)

  • Plano de rollback (procedimento e responsáveis)

  • Definição do “período de observação” em Detect (ex.: 7–14 dias)

 

2) Controle de novas proteções: “Follow Up / Staging” (ponto mais importante)

A forma mais segura de evitar impacto é garantir que proteções recém-adicionadas ou recém-atualizadas não entrem direto em Prevent sem revisão.

2.1 Onde configurar isso (no SmartConsole)

Caminho:Security Policies → Threat Prevention → [seu Threat Prevention Profile] → IPS → Updates

 
 

ips print 1.png

 


[PRINT]: Tela do perfil com a seção IPS Updates / Newly Updated Protections / Follow Up / Staging.


Aqui você define o comportamento padrão para novas proteções:

  • entrar como staging / follow up (recomendado)

  • herdar action do profile (mais arriscado)

  • ficar inativo (pode criar gap de cobertura)

Recomendação TAC: “novas/atualizadas” devem entrar em staging/Follow Up para triagem e validação, antes de Prevent.

 

3) Workflow recomendado (TAC-grade) para atualizações de IPS

Passo 1 — Atualize as proteções de IPS no Management

  • Faça o update conforme o processo do seu ambiente (manual/agendado).

  • O ponto aqui é: o update atualiza o conteúdo no Management, não garante enforcement até instalar a policy.

Passo 2 — Instale a Threat Prevention Policy (aplicação controlada)

Caminho 
Install Policy → Threat Prevention Policy → selecionar gateways/cluster do Ring 0

ips print 2.png
[PRINT]: Tela de “Install Policy” com seleção dos gateways e opção de instalar Threat Prevention.

O que explicar:
A policy é o “commit” do enforcement. Instale primeiro no Ring 0 para reduzir blast radius.

Passo 3 — Observe em Detect (staging) e valide impacto

Caminho : Logs & Monitor → SmartLog → filtro de Threat Prevention / IPS

ips print 3.png

O que você valida (checklist):

  • Quais proteções novas estão disparando?

  • Disparam em tráfego legítimo? (falso positivo)

  • O volume é anormal? (ruído)

  • Existe impacto de aplicação correlacionado no mesmo timestamp?

Regra TAC: “sem timestamp e correlação com tráfego/app” você não prova falso positivo — só suspeita.

 

4) Como promover para Prevent sem criar “tempestade de tickets”

4.1 Promoção guiada por risco (prioridade técnica)

Em geral, a ordem mais segura para endurecer é:

  1. Proteções de alta severidade / alta confiança (quando aplicável)

  2. Proteções com baixa taxa de disparo e alta precisão

  3. Proteções que exigem exceções bem definidas (por app/segmento)

Caminho para print: Threat Prevention → Protections → IPS Protections → filtro: Follow Up / Newly Updated

ips print 4.png

ips print 4.2.png

[PRINT]: Lista de proteções “Follow Up” com coluna de Action e severidade.

O que explicar:
O objetivo é reduzir risco de bloquear tráfego legítimo ao mesmo tempo em que você ganha cobertura incremental.

4.2 Padrão de decisão (TAC-grade)

Para cada proteção nova/alterada:

  • Se é relevante e não gera FP: mover para Prevent

  • Se gera FP: manter em Detect e criar exceção granular (não desativar globalmente)

  • Se é irrelevante para seu ambiente: avaliar manter inativo, mas com justificativa documentada

 

5) Exceções e governança (onde a maturidade se perde)

O erro clássico: “desativar proteção global porque um app quebrou”.

Padrão TAC de exceção:

  • Escopo mínimo (host/subnet/app/serviço)

  • Justificativa

  • Owner

  • Data de revisão/expiração

  • Evidência anexada (log + timestamp + teste reproduzível)

 

6) Observabilidade: como provar que seu rollout está saudável

6.1 KPIs simples que funcionam (checklist)

  • Volume de eventos IPS por gateway (antes/depois)

  • Top proteções disparando após update

  • Incidentes por aplicação (correlação com timestamps)

  • CPU/throughput e drops (principalmente se gateways já trabalham alto)

Critério Go/No-Go entre rings: sem incidentes críticos + ruído controlado + performance estável.

 

7) Troubleshooting rápido (quando alguém diz “IPS quebrou tudo”)

  1. Identifique o timestamp do problema

  2. Filtre logs IPS nesse intervalo

  3. Identifique a proteção que disparou

  4. Valide se a ação foi Prevent (bloqueio) ou Detect (só log)

  5. Se for FP: crie exceção granular e revalide

  6. Reinstale Threat Prevention policy no Ring afetado

 

8) Resumo visual (para finalizar o post)

[PRINT] : diagrama simples do fluxo abaixo.

 

 

  1. Update IPS (Management)

  2. Novas proteções entram em Follow Up/Staging (Detect)

  3. Instala policy no Ring 0

  4. Observa logs e valida impacto

  5. Promove para Prevent somente o que foi validado

  6. Escala para Ring 1 → Ring 2

  7. Exceções sempre com governança (owner/expiry/evidência)

 

Referência oficial

 

  1. R81 Threat Prevention Administration Guide - Configuring-IPS-Profile-Settings
  2. R82 Threat Prevention Administration Guide - Configuring-IPS-Profile-Settings
  3. R80.40 Threat Prevention Administration Guide - Creating_Threat_Prevention_Rules
  4. R82 Threat Prevention Administration Guide - IPS_Protections_for_Custom_Threat_Prevention
0 Kudos
0 Replies
Upcoming Events

    Sort by:
    CheckMates Events