PARECER Nº

59/2023/GTLC/GEST/SAF

PROCESSO Nº

00058.017849/2023-51

INTERESSADO:

Gerência de Infraestrutura Tecnológica

ASSUNTO:

Pregão eletrônico nº 30/2023 -  Licitação para contratação de solução de tecnologia da informação e comunicação visando à aquisição de equipamentos de firewall de próxima geração (NGFW), compreendendo gerência centralizada, instalação e configuração da solução, com garantia e suporte técnico pelo período de 60 (sessenta) meses, e o fornecimento de atualização de licenças de uso, garantia e suporte técnico para a solução BIG-IP F5 implantada no ambiente tecnológico da ANAC conforme   condições, quantidades e exigências estabelecidas no Edital e seus anexos.

Recurso interposto por empresa concorrente - Manifestação da decisão do Pregoeiro.

f)

Debugging; e

a página fala sobre as entradas de registro e

mostragem de todas as entradas que o log inicia após o carimbo de data e hora. não sobre debbuging

Este item trata-se de uma funcionalidade referente ao modulo de gerência, desta maneira, se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma análise é o minimo de zelo e conhecimento técnico da solução. Vejamos: "fwm Description.

Performs various management operations and shows various management information.

Notes:

For debug instructions, see the description of the fwm process in sk97638. Runs the command in debug mode. Use only if you troubleshoot the command itself."

g)

Captura de pacotes.

não se fala sobre captura de pacotes e sim sobre log

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. O item foi comprovado por meio do seguinte texto:"Description

Fetches the IPS packet capture data from the specified Security Gateway.

This command only works with IPS packet captures stored on the Security Gateway in the $FWDIR/log/captures_repository/ directory"

13.2.10.

Deve permitir usar palavras chaves e cores para

facilitar identificação

de regras;

não tem especificando que é permitido a utilização de cores para facilitar o

encontro das regras, somente

especifica o das palavras chaves.

Para tal item, trata-se de um erro meramente material.  A recorrente induz uma forma de comprovação do item, consideranto apenas um cenário, contudo, é claro que o funcionamento de diferentes soluções são particulares e entregam o mesmo resultado, neste caso, analisando a página 570, do mesmo manual, lê-se: " Description: Modifies the value of specified attribute in the specified object in the specified table (for example, "network_objects", "services", "users") in the management database: Examples: Modify the color to red in the object My_Service in the table services:"

13.2.12.

Deve suportar também o monitoramento dos seguintes recursos:

IP fragmentation, TCP state e dropped packets;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica. De qualquer modo, afim de deixar ainda mais específica a documentação comprobatória, incluimos mais informações quanto ao item, não trazendo qualquer impacto relacionado ao preço ou ao objeto especificado no termo de referência, no manual, Performance Tuning R81.20 Administration Guide, podemos verificar a seguinte informação na página 104: "Description

The fwaccel stats and fwaccel6 stats commands show acceleration statistics for IPv4 on the local Security Gateway, or Cluster Member: " Além disso, a página 115 complementa tais informaçãoes.

13.2.13.

Bloqueio de alterações, no caso acesso simultâneo de dois ou mais administradores;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica. As paginas informadas na documentação explicitam possíveis cenários de multiplos administradores, deixando clara a possibilidaade de multiplos administradores com o bloquei de sessões de edição: "If there are locked objects in SmartConsole by administrators with inactive sessions, but the relevant administrators are currently unavailable to log back in to SmartConsole and remove the lock, you can take over their sessions." Este texto retrata um dos possíveis cenários.

13.2.18.

Deve atribuir sequencialmente um número a cada regra de firewall,

NAT e QOS;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica. As páginas citadas na documentação indicam vários exemplos de organização de políticas. De todo modo, na página 195, do mesmo documento, verificamos o seguinte texto: "These are the columns of the rules in the Access Control policy. Not all of these are shown by default. To select a column that does not show, right-click on the header of the Rule Base, and select it."

13.2.21.

Backup das configurações e Rollback de configuraçãopara a última configuração salva;

não fala sobre backup na página citada

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: As paginas 363 à 364 detalham a funcionalidade conchecida como Database Revisions, neste caso, o texto explica a que se aplica tal funcionalidade "The Security Management architecture has built-in revisions. Each publish operation creates a new revisionwhich contains only the changes from the previous revisions." Além disso, detalha todos os benefícios "Benefits of the revision architecture: Safe recovery from a crisis, restoring a database to a good known revision. Fast policy verification, based on the differences between installed versions More efficient Management High Availability"Neste sentido, o database revision control permite salvar as configuração atuais e reaplicalas, sobreescrevendo uma configuração nova, atendendo a necessidade do item.

13.2.29.

Validação das políticas, avisando quando houver regras que ofusquem ou conflitem com

outras (shadowing);

a página especifica apenas atributos de perfil de usuário.

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, vejamos:

No documento Quantum Security Management R81.20 Administration Guide, na página 186, temos tal informação:

"Runs a heuristic verification on rules to make sure they are consistent and that there are no redundant rules. If there are verification errors, the policy is not installed. If there are verification warnings (for example, if antispoofing is not enabled for a Security Gateway with multiple interfaces), the policy package is installed with a warning."

13.2.31.

Deve possibilitar a visualização e comparação de configurações atuais, configuração anterior e configurações antigas ou possibilitar auditar todas as

alterações realizadas nas configurações através do nome do administrador, assim criando um relatório. Também deve ser opcional a comparação de

políticas

atuais com políticas anteriores;

a página especifica apenas atributos de logs de alteração de senhas.

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

As paginas 363 à 364 detalham a funcionalidade conchecida como Database Revisions, neste caso, o texto explica a que se aplica tal funcionalidade "The Security Management architecture has built-in revisions. Each publish operation creates a new revision

which contains only the changes from the previous revisions." 

Além disso, detalha todos os benefícios "Benefits of the revision architecture:  Safe recovery from a crisis, restoring a database to a good known revision.

 Fast policy verification, based on the differences between installed versions  More efficient Management High Availability"

Neste sentido, o database revision control permite salvar as configuração atuais e reaplicalas, sobreescrevendo uma configuração nova, atendendo a necessidade do item.

13.2.33.

Geração de logs de auditoria detalhados, informando a configuração realizada, o administrador que a realizou e o horário da alteração;

informação inexistente no conteúdo informado

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, vejamos:

No documento Logging and Monitoring R81.20 Administration Guide, na página 27, temos a informação referente ao item "Security Gateways / Cluster Members generate network logs, and the Management Server generates audit logs, which are a record of actions taken by administrators. The Security Policy that is installed on each Security Gateway / Cluster determines which rules generate logs."

13.2.35.

Geração de relatórios com informações geográficas em tempo real para a visualização de origens e destinos do tráfego gerado na instituição;

página não trata de geolocalização

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos:

A documentação indicada descreve quanto a criação de plíticas baseadas por geolocalização: "Geo Policy Description

For more information, see the R81.20 Security Management Administration Guide.

Creates a policy for traffic to or from specific geographical or political locations.

How to get there:

Connect with SmartConsole to the Management Server.

From the left navigation panel, click Security Policies.

In the Access Control section, click Policy.

Follow sk126172 to use Updatable Objects in the Source and Destination columns." 

De qualquer maneira, no documento Logging and Monitoring R81.20 Administration Guide, na página 95, temos um exemplo de logs, one na sessão 5 "Results pane - Shows log entries for the most recent query" há a um exemplo de log com as informações de destino e origem, incluindo paises. 

13.2.38.

O gerenciamento da solução deve possibilitar acoleta de estatísticas de todo o tráfego que passarpelos dispositivos de segurança;

a página trata apenas de sintaxe básica da commandline interface.

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos:A documentação indicada descreve quanto a capacidade de configuração de logs para monitoramento de e efetividade de políticas : "This chapter shows you how configure rules to create logs for specified conditions. You can use the powerful Logs & Monitor features in SmartConsole to see logs and to monitor the effectiveness of QoS Policies."De todo modo, mostrando boa fé, indicamos a pagina 171, do documento CLI R81.20 Reference Guide,: "CPView is a text based built-in utility on a Check Point computer. CPView Utility shows statistical data that contain both general system information (CPU, Memory, Disk space) and information for different Software Blades (only on a Security Gateway / ClusterXL / Scalable Platform Security Group)"Neste caso, com o CPVIEW Utilities atendemos a necessidade do item.

13.2.48.

Deve permitir fazer o envio de logs para soluções externas de forma granular, podendo selecionar quais campos dos logs serão enviados incluindo, mas não limitado a: tipo de ameaça, usuário, aplicação etc.;

a página

especifica um comando que permite a exportação de logs para soluções externas porém não

especifica se esses logs são exportados de forma granular, como é pedido.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A Pagina referida explica quanto ao funcionamento do Log_Exporter, alem disso, indica a quais são os padrões e formatos suportados:

Log Exporter supports:

Multiple SIEM applications that can run a Syslog agent.

Syslog over TCP or UDP.

Multiple formats (Syslog, CEF, LEEF, JSON, and so on).

Mutual authentication based on TLS 1.2.

Export of Security logs, Audit logs, or both.

Export of links to the relevant log card in SmartView and the log attachment (such as Forensics / Threat Emulation report).

Filtering of logs

Além disso, indica o hiperlink das flags possíveis configuravel para serem filtradas e idexadas ao log enviado:

https://support.checkpoint.com/results/sk/sk144192

13.2.49.

Exibição das seguintes informações de forma histórica e em tempo real (atualizado de

forma automática e contínua a cada 1 minuto):

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

a)

Situação do dispositivo e do cluster;

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

b)

Principais aplicações;

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

c)

Principais aplicações por risco;

a página não trata de exibição de informações, apenasde regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respondquickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns orsecurity activities."Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

d)

Administradores autenticados na gerência da plataforma de segurança;

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

e)

Número de sessões simultâneas;

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

f)

Status das interfaces;

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

g)

Uso de CPU.

a página não trata de exibição de informações, apenas de regras de detecção de atividades suspeitas.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Esta se quer deu-se ao trabalho de ler a documentação, Vejamos:

A página 157 deixa claro quanto à funcionalidade do Smart View Monitor: "SmartView Monitor gives you a complete picture of network and security performance. Use it to respond

quickly and efficiently to changes in Security Gateways, tunnels, remote users and traffic flow patterns or security activities."

Além disto, nas paginas seguintes, 158 à 159, é possível entender que a solu monitora todas as informações socititadas nos itens subsequentes em tempo real: "The Device and License information window opens and shows: Device Status, License Status, System Counters, Traffic"

d)

Principais hosts por

número de ameaças identificadas;

as páginas não deixam essa funcionalidade explicita

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito, as vezes por falta de zêlo durante a análise, ou por falta de conhecimento técnico, de modo que as paginas indicadas explicitam os procedimentos para a configuração de visualizações de maneira customizada, além de tais informações, na página 88 existe um exemplo de vizualização, o qual atende tal item.

13.2.52.

Em cada critério de pesquisa do log deve

ser possível incluir múltiplas entradas (ex. 10 redes e IP’s distintos; serviços HTTP, HTTPS e SMTP), exceto no campo horário, onde deve ser possível definir uma faixa de tempo como critério de pesquisa;

a página não trata de múltiplos critérios de pesquisa, apenas de redundancia de servidores de log.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito, as vezes por falta de zêlo durante a análise, ou por falta de conhecimento técnico, vejamos:

O item é comprovado pelo seguinte texto: "A powerful query language lets you show only selected records from the log files, according to your criteria.

To create complex queries, use Boolean operators, wildcards, fields, and ranges. This section refers in detail to the query language"

13.2.53.

Gerar alertas automáticos via Email e Syslog;

as páginas não informam se

os alertas

podem serconfigurado s para serem enviados por email

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito, as vezes por falta de zêlo durante a análise, ou por falta de conhecimento técnico, vejamos:A pagina 142 explicita o procedimento de criação de alertas por e-mail "Creating a Mail Reaction".

13.2.55.

Licenciamentos e Atualizações

a página não trata de licenciamentos e atualizações

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito, as vezes por falta de zêlo durante a análise, ou por falta de conhecimento técnico, de todo modo a comprovação se dá no seguinte trecho:

"Click Monitor.

The Device and License information window opens and shows:  Device Status

 License Status"

De Maneira que, em device status são apresentadas todas as informações do equipamento, inclusive versões de patches e SO.

13.2.65.

Deve permitir o controle sobre todos os

equipamentos de firewall em uma única console, com administração de privilégios e funções;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio do Seguinte trecho:

"Check Point offers effective Security Management solutions to help you keep up with constantly growing needs and challenges of your organizational network. This Administration Guide focuses on the basic Security Management Server deployment."

Além disso, afim de complementar a iformação, no documento Gaia R81.20 Administration Guide, na página 15, temos a seguinte informação:

"Gaia is the Check Point next generation operating system for security applications. In Greek mythology,

Gaia is the mother of all, which represents closely integrated parts to form one efficient system. The Gaia Operating System supports the full portfolio of Check Point Software Blades"

13.2.76.

Deve implementar a criação de perfis de usuários com acesso a solução de gerenciamento com definição exata de quais informações e de quais equipamento de

firewalls e grupos de

equipamentos de firewalls o usuário terá acesso referente a logs e relatórios;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio do Seguinte trecho:

"A permission profile is a predefined set of Security Management Server and SmartConsole administrative permissions that you can assign to administrators. You can assign a permission profile to more than one administrator. Only Security Management Server administrators with the Manage Administrators permission in the profile can create and manage permission profiles"

13.2.80.

Deve permitir que a configuração dos firewalls seja importada de forma automática na solução de gerenciamento centralizado e que possa ser usada em outros firewalls e grupos de firewalls;

informação inexistente no conteúdo informado

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, segue:

No documento Gaia R81.20 Administration Guide, e na página 518, vemos que é possível automatizar por meio de shell script os porcedimentos de export e import automático dos arquivos de configuração dos gateways: "You can save your Gaia configuration settings as a ready-to-run CLI shell script. This feature lets you quickly restore your system configuration after a system failure or migration."

13.2.89.

Deverá utilizar comunicação segura criptografada entre a solução de gerência e os equipamentos gerenciados.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio do Seguinte trecho:

"SIC creates trusted connections between Security Gateways, management servers and other Check Point components. Trust is required to install polices on Security Gateways and to send logs between Security Gateways and management servers."

13.2.91.

Deve permitir distribuição centralizada de pacotes de atualização.

informação inexistente no conteúdo informado

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, vejamos:

No documento Installation and Upgrade Guide R81.20, página 169 temos o seguinte texto: " You can install Software Packages in these ways on Gaia R81.20:

Installing Software Packages centrally on Security Gateways and Cluster Members These options are available on an R81.20 Management Server: 

Use the Central Deployment in SmartConsole to deploy the applicable software packages to the managed Security Gateways and Cluster Members."

13.2.98.

A plataforma de segurança deve permitir através de API (Application Program Interface) a integração com sistemas existentes no ambiente da contratante de forma a possibilitar que aplicações desenvolvidas na contratante possam

interagir em RealTime com a

solução, possibilitando assim que regras e políticas de segurança possam ser modificadas por estas aplicações com a utilização de scripts em linguagens de programação como Perl ou PHP.

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos:

O Titulo da sessão referente a página da documentação é o seguinte: "Managing Security through API"

De todo modo, o conteudo introdutorio é auexplicativo: "You can configure and control the Management Server through API Requests you send to the API Server that runs on the Management Server. The API Server runs scripts that automate daily tasks and integrate the Check Point solutions with third party systems, such as virtualization servers, ticketing systems, and change management systems."

13.3.17.

Suportar no mínimo 2000 (dois mil) clientes de VPNSSL simultâneos, devidamente licenciados;

não especifica conexão simultanea ssl.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Este item é um item determinativo, não sendo uma caracteristica do objeto ou da solução, a intenção da Contratante é estipular a entrega de tais inssumos, não havendo o que se comprovar. Fica clara a falta de zêlo ou conhecimento necessário para entender o termo de referência da contratante pela recorrente.

13.3.18.

Deve suportar, no mínimo, 2.000 (dois mil) tuneis de VPN IPSEC simultaneamente estando, caso necessário, devidamente licenciado para este fim;

não especifica conexão simultanea ipsec.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Este item é um item determinativo, não sendo uma caracteristica do objeto ou da solução, a intenção da Contratante é estipular a entrega de tais inssumos, não havendo o que se comprovar. Fica clara a falta de zêlo ou conhecimento necessário para entender o termo de referência da contratante pela recorrente.

13.3.19.

A solução deve possuir mecanismo para dedicar processamento no equipamento de segurança para funções / ações de gerenciamento, mesmo que o equipamento esteja com alto processamento de CPU.

Assim evitando a falta de acesso do administrador para qualquer mitigação de problema e aplicação de política para solução de problema. Entre as funções, deve suportar no mínimo: acesso SSH, FTP, acesso

WEB, alterações de política, comunicação SNMP.

informação inexistente no conteúdo informado

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, segue:

"Management Data Plane Separation (MDPS) allows a Security Gateway to have isolated Management and Data networks.

The network system of each domain (plane) is independent and includes interfaces, routes, sockets, and processes.

The Management Plane is a domain that accesses, provisions, and monitors the Security Gateway. This includes:

Access: SSH, FTP, and more, see Best Practices for details about DNS and NTP services.

Provisioning: Policy installation, Gaia Portal, REST API, see List of default tasks. Monitoring: Logs, SNMP, see List of default tasks."

https://support.checkpoint.com/results/sk/sk138672

13.4.1.

Deverá ser do tipo appliance, novo, de primeiro uso e acondicionado adequadamente em

caixa lacrada de fábrica, de forma a propiciar completa segurança durante o transporte;

item não

especificado no documento informado, pois o item trata-se do estado do quipamento, o item pede que seja um equipamento novo, logo no documento fornecido não detem a informação que o equipamento

a ser instalado será novo ou usado.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Este item é um item determinativo, não sendo uma caracteristica do objeto ou da solução, a intenção da Contratante é estipular a entrega de tais inssumos, não havendo o que se comprovar. Fica clara a falta de zêlo ou conhecimento necessário para entender o termo de referência da contratante pela recorrente.

13.4.11.

Deve possuir no mínimo, por appliance, 4 portas 1/10 GbE SFP/SFP+, que permita fazer agregação das interfaces para comunicação com switches, incluindo todos os respectivos transceivers;

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos:

Na pagina 2, em seu rodapé destaca-se as capacidades de interface e memória de cada versão do equipamento:  "Base model

Plus model 

Max capacity"

Além disso, na pagina 3,  temos a seguinte informação: "802.3ad passive and active link aggregation"

13.4.12.

Todas as 4 portas de fibra, por appliance, referenciadas no

item anterior devem

vir

acompanhadas dos respectivos

transceivers e de 02 (dois) cordões ópticos padrão lc/lc de no mínimo 5 metros multimodo e 02 (dois) cordões ópticos

padrão lc /lc de no mínimo 10 metros multimodo;

o item informado não condiz com o item

solicitado, pois no item pede que o os

transceivers

acompanhem o

item, logo o documento informado não dá a garantia da entrega do item solicitado no edital.

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. Este item é um item determinativo, não sendo uma caracteristica do objeto ou da solução, a intenção da Contratante é estipular a entrega de tais inssumos, não havendo o que se comprovar. Fica clara a falta de zêlo ou conhecimento necessário para entender o termo de referência da contratante pela recorrente.

13.4.16.

A solução deve possuir mecanismo para dedicar processamento no equipamento de segurança para funções / ações de gerenciamento, mesmo que o equipamento esteja com alto processamento de CPU.

Assim evitando a falta de acesso do administrador para qualquer mitigação de problema e aplicação de política para solução, solução de problema. Entre as funções, deve suportar no mínimo:

acesso SSH, FTP, acesso WEB, alterações de política,

comunicação SNMP.

nenhuma das pagina referidas define a reserva de cpu para acesso via ssh ou web.

Para este item, trata-se apenas de um erro matérial, que pode ser corrigido sem qualquer impacto ao processo, seja ele por funcionalidade ou preço, segue:

"Management Data Plane Separation (MDPS) allows a Security Gateway to have isolated Management and Data networks.

The network system of each domain (plane) is independent and includes interfaces, routes, sockets, and processes.

The Management Plane is a domain that accesses, provisions, and monitors the Security Gateway. This includes:

Access: SSH, FTP, and more, see Best Practices for details about DNS and NTP services.

Provisioning: Policy installation, Gaia Portal, REST API, see List of default tasks. Monitoring: Logs, SNMP, see List of default tasks."

https://support.checkpoint.com/results/sk/sk138672

13.5.9.

Deverá suportar os seguintes tipos de NAT:

pagina 254 fala sobre best practices for access control rules

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 254 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre como criar politicas de NAT na solução ofertada, mostrando e comprovando o atendimento aos itens do edital,  segue o titulo da pagina 254 "Configuring the NAT Policy".

Se faz necessário a leitura do documento para que se encontre a informação, junto disso observa-se que a recorrente não fez leitura dos documentos enviados, pois cita que na pagina 254 existe informações destoantes do requisito do edtial. 

a.

Nat dinâmico (Many-

to-1),

pagina 254 fala sobre best practices for access controlrules

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o

minimo de zelo. Vejamos: Na pagina 254 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre como criar politicas de NAT na solução ofertada, mostrando e comprovando o atendimento aos itens do edital,  segue o titulo da pagina 254 "Configuring the NAT Policy". A pagina ainda relata as

possibilidades de alteração via NAT no pacote. Segue o trecho do texto:"The Security Gateway can change: *  The source IP address in a packet. *  The destination IP address in a packet. *  The TCP / UDP port in a packet."O documento continua decorrendo sobre NAT e cita exemplos de configurações e combinações para a tradução de endereços e portas.Observa-se que a recorrente não fez leitura dos documentos enviados, pois cita que na pagina 254 existe informações destoantes do requisito do edtial. 

b.

Nat estático (1-to-1),

pagina 254 fala sobre best practices for access control rules

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 254 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre como criar politicas de NAT na solução ofertada, mostrando e comprovando o atendimento

aos itens do edital,  segue o titulo da pagina 254 "Configuring the NAT Policy". A pagina ainda relata as possibilidades de alteração via NAT no pacote. Segue o trecho do texto:

"The Security Gateway can change:

The source IP address in a packet.

The destination IP address in a packet.

The TCP / UDP port in a packet."

O documento continua decorrendo sobre NAT e cita exemplos de configurações e combinações para a tradução de endereços e portas.

Observa-se que a recorrente não fez leitura dos documentos enviados, pois cita que na pagina 254 existe informações destoantes do requisito do edtial. 

c.

Tradução de porta (PAT),

pagina 254 fala sobre best practices for access control rules

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 254 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre como criar politicas de NAT na solução ofertada, mostrando e comprovando o atendimento

aos itens do edital,  segue o titulo da pagina 254 "Configuring the NAT Policy". A pagina ainda relata as possibilidades de alteração via NAT no pacote. Segue o trecho do texto:

"The Security Gateway can change:

The source IP address in a packet.

The destination IP address in a packet.

The TCP / UDP port in a packet."

O documento continua decorrendo sobre NAT e cita exemplos de configurações e combinações para a tradução de endereços e portas.

Observa-se que a recorrente não fez leitura dos documentos enviados, pois cita que na pagina 254 existe informações destoantes do requisito do edtial. 

d.

NAT de Origem, NAT

de Destino e suportar NAT de Origem e NAT de Destino simultaneamente;

pagina 254 fala sobre best practices for access control rules

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 254 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre como criar politicas de NAT na solução ofertada, mostrando e comprovando o atendimento

aos itens do edital,  segue o titulo da pagina 254 "Configuring the NAT Policy". A pagina ainda relata as possibilidades de alteração via NAT no pacote. Segue o trecho do texto:

"The Security Gateway can change:

The source IP address in a packet.

The destination IP address in a packet.

The TCP / UDP port in a packet."

O documento continua decorrendo sobre NAT e cita exemplos de configurações e combinações para a tradução de endereços e portas.

Observa-se que a recorrente não fez leitura dos documentos enviados, pois cita que na pagina 254 existe informações destoantes do requisito do edtial. 

13.5.10.

Deverá enviar logs para sistemas de monitoraçãoexterno s, sem interferência na funcionalidade deFirewall;

pagina 132 fala sobre ldap managing administrator anduser accounts

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o

minimo de zelo. Vejamos: Na pagina132  do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado é sobre o protocolo SIC, utilizado para comunição segura da gerencia de firewalls e envio de logs de forma segura, de maneira que não interfere a funcionalidade de firewall.  contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:- https://support.checkpoint.com/results/sk/sk122323 - referente a funcionalidade de encaminhamento de logs, Log Exporter - Check Point Log Export, conforme segue trecho do documento:"Check Point "Log Exporter" is an easy and secure method for exporting Check Point logs over the syslog protocol.Exporting can be done in few standard protocols and formats.Log Exporter supports:* SIEM applications: Splunk, LogRhythm, Arcsight, RSA, QRadar, McAfee, rsyslog, ng-syslog, and any other SIEM application that can run a Syslog agent.* Protocols: Syslog over TCP, Syslog over UDP.* Formats: Syslog, Splunk, CEF, LEEF, Generic, JSON, LogRhythm, RSA.* Security: Mutual authentication TLS 1.2.* Log Types: The ability to export Security logs, Audit logs, or both.* Note: Audit logs exist on both the Management Server and the Log Server.* Filtering: Choose what to export based on field values. Filter out (do not export) Security Gateway connection logs.* Links to Logs and Log Attachments: Export links to the relevant log card in SmartView and to the log attachments.

13.5.11.

Deverá possuir Proteção antispoofing;

pagina 132 fala sobre ldap managing administrator and user accounts

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. O item foi comprovado por meio da  pagina 131 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde em um dos titulos o titulo da pagina informa  o atendimento ao item, conforme trecho da pagina abaixo:

"Dynamic Anti-Spoofing

When Anti-Spoofing is selected and you click Get interfaces, the Security Gateway generates a list of valid IP addresses based on the IP address and netmask of the interface and the routes assigned to the interface."

13.5.15.

Deverá suportar Autenticação integrada via Kerberos;

pagina não fala sobre kerberos

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. O item foi comprovado por meio da  pagina 90 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui uma das possiveis configurações para ativar a autenticação via o protocolo Kerberos, conforme o trecho da pagina:

* Active Directory SSO configuration - Click to configure Kerberos SSO for Active Directory - Domain Name, Account Name, Password, and Ticket encryption method

13.5.17.

Todo o gerenciamento da Funcionalidade de Firewall deverá ser realizado de forma integrada no Módulo de Gerência.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica. O item foi comprovado por meio da  pagina 22 do documento citado para comprovação, sendo ele o documento CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui a explicação de como funciona a arquitetura a solução proposta, ficando evidente a falta de zelo e comprometimento da recorrente. 

Contudo segue o trecho, do documento, que demonstra a capacidade da gerenciamento de firewall ser realizado em intregação no módulo de gerência.

"Security Management Server - Manages Security Gateways with defined security policies and monitors security events on the network."

13.6.16.

Deverá suportar múltiplos métodos de identificação e classificação das aplicações, por, no

mínimo, checagem de assinaturas, decodificação de protocolos ou análise heurística;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica. O item foi comprovado por meio da  pagina 198 do documento citado para comprovação, sendo ele o documento CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui texto explicativo como a solução faz a identificação e classificação de aplicações, conforme segue trecho do documento citado:

"To make it possible for the Security Gateway to match services by protocol signature, you must enable Application & URL Filtering on the Security Gateway and on the Ordered Layer (see "Enabling Access Control Features on page 225 ). 

You can configure TCP and UDP services to be matched by source port."

13.6.18.

Deverá possibilitar que o controle de portas sejaaplicado para todas as aplicações;

página não fala nada sobre portas

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o

minimo de zelo. Vejamos: Na pagina 215 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado relata como criar politicas de Controle de aplicação e URL Filtering na solução ofertada e as possiveis customizações , de forma que a pagina mostra e comprova o atendimento aos itens do edital,  segue o titulo da pagina 215 "Creating Application Control and URL Filtering Rules".  Na pagina é citado um exemplo para monitorar o trafeggo do Facebook, onde é explicado como criar tal polica e fica evidente a possibilidade de criar-

se politicas com portas(Services) ou assinaturas (Applications), conforme trecho do texto:" Services & Applications - Click the plus sign to open the Application viewer."

13.6.21.

Deverá ser possível a criação de políticas por

Usuários, Grupos de

Usuários, IPs e

Redes;

a página não especifica nada

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 215 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado relata como criar politicas de Controle de aplicação e URL Filtering na solução ofertada e as possiveis customizações , de forma que a pagina mostra e comprova o atendimento aos itens do edital,  segue o titulo da pagina 215 "Creating Application Control and URL Filtering Rules". Na pagina é citado um exemplo para monitorar o trafeggo do Facebook, onde é explicado como criar tal polica e fica evidente a possibilidade de criar-se politicas com Usuarios, grupos de usuarios IPs e redes, conforme trecho do texto:

" Services & Applications - Click the plus sign to open the Application viewer."

Adicionalmente a pagina ainda relata as possibilidades, conforme texto abaixo:

"Create and manage the Policy for Application Control and URL Filtering in the Access Control Policy, in the Access Control view of SmartConsole. Application Control and URL Filtering rules define which users can use specified applications and sites from within your organization and what application and site usage is recorded in the logs."

13.6.23.

Deverá suportar a capacidade de criação de políticas baseadas no controle por URL e Categoria de URL;

não há referência sobre url

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 215 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, o titulo da pagina informa que o conteudo referenciado relata como criar politicas de Controle de aplicação e URL Filtering na solução ofertada e as possiveis customizações , de forma que a pagina mostra e comprova o atendimento aos itens do edital,  segue o titulo da pagina 215 "Creating Application Control and URL Filtering Rules". Na pagina é citado um exemplo para monitorar o trafeggo do Facebook, onde é explicado como criar tal polica e fica evidente a possibilidade de criar-se politicas baseadas em URL e categorias de URL, conforme trecho do texto:

"Create and manage the Policy for Application Control and URL Filtering in the Access Control Policy, in the Access Control view of SmartConsole. Application Control and URL Filtering rules define which users can use specified applications and sites from within your organization and what application and site usage is recorded in the logs."

13.6.26.

Deverá suportar a criação de categorias

de URLs customizadas;

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 219 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, a pagina informada relata como criar categorias de URL customizadas, conforme trecho do texto:

"To create a custom group

In the Object Explorer, click New > More > Custom Application/Site > Application/Site Group.

Give the group a name. For example, Liability_Sites.

Click + to add the group members:

Search for and add the custom application FreeMovies.

Select Categories, and add the ones you want to block (for example Anonymizer, Critical Risk, and Gambling) *Click Close 4. Click OK.

You can now use the Liability_Sites group in the Access Control Rule Base."

13.6.27.

Deverá suportar a exclusão de URLs do bloqueio, porcategoria;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica. O item foi comprovado por meio da  pagina 219 do documento citado para comprovação, sendo ele o documento CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de como criar uma politica de exclusão/inclusão de URL de bloqueio, por categoria.

Conforme trecho do texto: "In the Rule Base, add a rule similar to thisIn the Security Policies view of

SmartConsole, go to the Access Control Policy.* Source - The Identified_Users access role* Destination - Internet* Services & Applications - Liability_Sites* Action - Drop"

13.6.29.

Deverá realizar a filtragem de conteúdo por blacklist e whitelist ou por meio de categorias customizadas pelo administrador da solução;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica. O item foi comprovado por meio da  pagina 219 do documento citado para comprovação, sendo ele o documento CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de como criar uma politica de exclusão/inclusão de URL, para bloqueio, por categoria e de forma customizada. 

Conforme trecho do texto: 

"To create a custom group

In the Object Explorer, click New > More > Custom Application/Site > Application/Site Group.

Give the group a name. For example, Liability_Sites.

Click + to add the group members:

Search for and add the custom application FreeMovies.

Select Categories, and add the ones you want to block (for example Anonymizer, Critical Risk, and Gambling) *Click Close 4. Click OK.

You can now use the Liability_Sites group in the Access Control Rule Base."

"In the Rule Base, add a rule similar to this

In the Security Policies view of SmartConsole, go to the Access Control Policy. * Source - The Identified_Users access role

Destination - Internet

Services & Applications - Liability_Sites * Action - Drop"

13.6.31.

Deverá suportar o recebimento de eventos de autenticação de controladoras wireless, dispositivos 802.1x e soluções

NAC via RADIUS ou Syslog, para a identificação de endereços IP e usuários;

não especifica sobre o 802.1x

Se faz necessário a leitura do item e do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

O item especifica sobre a identificação de usuarios e endereços IP via radius paras os eventos de autenticação de controladoras wireless, dispositivos

802.1x e soluções NAC. Sendo assim item foi comprovado por meio de link eletronico, https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_IdentityAwareness_AdminGuide/To pics-IDAG/Identity-Sources-RADIUS-Accounting.htm , que trata da funcionalidade de identificação de usuarios por meio de RADIUS accounting, conforme solicitado pelo item. Conforme trecho abaixo da pagina web:

"You can configure an Identity Awareness Gateway to use RADIUS Accounting (RFC 2866) to get user and computer identities directly from a RADIUS Accounting Client."

13.6.32.

Deverá permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a Internet para que

antes de iniciar a navegação, expanda-se um portal de autenticação residente no Firewall (Captive Portal).

a página não especifica nada sobre o captive portal

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 202 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, a pagina informada relata como habilitar a funcionalidade de Captive Portal em um politica de segurança, conforme trecho do texto:

"Redirects HTTP traffic to an authentication (captive) portal. After the user is

authenticated, new connections from this source are inspected without requiring authentication."

13.7.5.

Deve sincronizar as assinaturas de IPS,

Antivírus,

AntiSpyware quando

implementado em

alta

disponibilidade ativo

/ativo e ativo/passivo;

não cita nada sobre a sincronização

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos CP_R81.20_ClusterXL_AdminGuide e CP_R81.20_ThreatPrevention_AdminGuide, nas respectivaas paginas e referencias:

Documentos CP_R81.20_ClusterXL_AdminGuide

Pag. 60 "How a Recovered Cluster Member Obtains the Security Policy" Pag. 75 "Synchronizing Connections in the Cluster"

Documento CP_R81.20_ThreatPrevention_AdminGuide

Pag 297 "Threat Prevention Scheduled Updates"

13.7.6.

Deve implementar os seguintes tipos de ações paraameaças detectadas pelo IPS e Antispyware:

permitir,permitir e gerar log, bloquear, bloquear IP doatacante por um intervalo de tempo e enviar TCPreset;

a página em questão não cita nada sobre as ações

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos CP_R81.20_ThreatPrevention_AdminGuide e CP_R81_LoggingAndMonitoring_AdminGuide.pdf, nas respectivaas paginas e referencias:Documento CP_R81.20_ThreatPrevention_AdminGuide:Pag. 59 "Tracking options and their description", opção "Alert"Pag 62  "Prevent / Detect"Documento

CP_R81.20_LoggingAndMonitoring_AdminGuide:Pag. 123 "Automatic Reactions" e "Block Source - Instruct the

Security Gateway to block the source IP address from which this event was detected for a configurable timeframe . Select a timeframe from one minute to more than three weeks"

13.7.7.

As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;

não especifica se pode ou não deixar apenas

enviando logs

Não foi encontrado devido a erro material, contudo a comprovação do item se encontra no documento CP_R81.20_ThreatPrevention_AdminGuide na pagina 51, no trecho:

"You can add more exceptions that prevent or detect specified protections or have different tracking settings."

13.7.8.

Exceções por IP de origem ou de destino devem ser possíveis nas regras, de forma geral e assinatura a assinatura;

na página não diz nada sobre as exceções

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 96  do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como exceções nas politicas de segurança, conforme trecho do texto:

"Exception Rules

If necessary, you can add an exception directly to a rule. An exception sets a different Action to an object in the Protected Scope from the Action specified Threat Prevention rule. In general, exceptions are designed to give you the option to reduce the level of enforcement of a specific protection and not to increase it.

For example

The Research and Development (R&D) network protections are included in a profile with the Prevent action. You can define an exception which sets the specific R&D network to Detect. For some Anti-Bot and IPS signatures only, you can define exceptions which are stricter than the profile action. "

13.7.11.1.

Análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos links abaixo assim como suas respectivas pagina e referencia:

Link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf - Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

Link https://blog.checkpoint.com/wp-content/uploads/2016/10/Next-Generation-Intrusion-Prevention-SystemNGIPS_Test-Report_Check-Point_Recommended-Policy.pdf  , - referencia - Pag. 9 ""Figure 7 – Resistance to

Evasion Results"

Link https://www.checkpoint.com/downloads/products/IPS_Engine_Architecture.pdf - Referencia - Pag. 7 "Passive Streaming Library" e "PSL is an infrastructure layer, which provides stream reassembly for TCP connections. This layer handles packet reordering, congestion handling and is responsible for various security aspects of the TCP layer such as handling  payload overlaps, some DoS attacks, and others."

Link  https://advisories.checkpoint.com/advisory/cpai-2012-1295/ - referente a DNS ANY Request Malformed

Payload Denial of Service

13.7.12.1.

Possuir tecnologia de detecção e prevenção de ataques e intrusões baseada em assinatura;

nada é citado na fonte

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 31  do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como exceções nas politicas de segurança, conforme trecho do texto:

"The IPS protection delivers complete and proactive intrusion prevention. It delivers 1,000s of signatures, behavioral and preemptive protections. It gives another layer of security on top of Check Point Firewall technology. IPS protects both clients and servers, and lets you control the network usage of certain applications. The hybrid IPS detection engine provides multiple defense layers, which allows it excellent detection and prevention capabilities of known threats and in many cases future attacks as well. It also allows unparalleled deployment and configuration flexibility and excellent performance."

13.7.12.4.

Detectar protocolos independentemente da portautilizada, identificando aplicações conhecidas emportas nãopadrão;

não deixa claro na página

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link abaixo assim como sua respectiva referencia:link -

https://sc1.checkpoint.com/documents/R81.10/SmartConsole_OLH/EN/Topics-

OLH/7NORTzJoee6PhQPrm9EZ3A2.htm?cshid=7NORTzJoee6PhQPrm9EZ3A2 referente a "Protocol Signature - A unique signature created by Check Point for each protocol and stored on the gateway. The signature identifies the protocol as genuine. Select this option to limit the port to the specified protocol."

13.7.12.5.

Detectar e Proteger contra, no mínimo, ataques de RPC (Remote

Procedure Call),

Windows ou

NetBios,

SMTP (Simple

Message Transfer

Protocol), IMAP

(Internet Message

Access Protocol),

Sendmail ou POP

(Post Office

Protocol), DNS

(Domain Name

System),

FTP, SSH , Telnet,

ICMP (Internet

Control Message

Protocol), SIP, SNMP,

SSDP ou CHARGEN,

RDP (

Remote Desktop

Protocol), DoS

(Denial of Service) e ataques com assinaturas

complexas, tais como ataques TCP hijacking.

pagina 33 é o glossário

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no links abaixo assim as respectivas referencias:

Observando que o link faz referencia a um ataque onde a solução possui uma proteção disponivel sendo um exemplo para comprovar o atendimento, pois a solução possui uma diversidade de assinaturas para ataques.

RPC - link https://advisories.checkpoint.com/advisory/cpai-2006-0147/ - referente a "MS-RPC Programs Lookup (CVE-2006-1314)"

NetBios - Link https://www.checkpoint.com/advisory/cpai-2017-0596/ - Referente a "Microsoft Windows SMB SMBLoris Denial of Service"

SMTP - Link https://advisories.checkpoint.com/defense/advisories/public/2011/cpai-2015-0172.html/  - Referente a "Repetitive SMTP Login Failures"

IMAP - Link https://advisories.checkpoint.com/defense/advisories/public/2023/cpai-2023-1018.html - Referente a "MailEnable IMAP Service APPEND Command Handling Buffer Overflow"

POP - Link https://advisories.checkpoint.com/advisory/cpai-2006-156/ Referente a "Preemptive Protection against MailEnable POP3 Remote Code Execution Vulnerability"

DNS - Link https://advisories.checkpoint.com/advisory/cpai-2020-0658/ Referente a "Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)"

FTP - Link https://advisories.checkpoint.com/advisory/cpai-2006-040/ Referente a "FTP Patterns (CVE-2005-0696; CVE-2005-3683)"

SSH - Link https://advisories.checkpoint.com/defense/advisories/public/2020/cpai-2020-0078.html/ Referente a "SSH Brute Force Login Attempt"

Telnet - Link https://www.checkpoint.com/advisory/cpai-2016-0698/  Referente a "Command Injection Over

Telnet"

ICMP  - Link https://advisories.checkpoint.com/defense/advisories/public/2010/cpai-2005-357.html/ referente a

"Multiple Vendor ICMP Source Quench Denial of Service (CVE-2004-0791)"

SIP - Link https://advisories.checkpoint.com/defense/advisories/public/2015/cpai-2015-0675.html/ referente a "Shodan Scanner SIP Request"

SNMP - Link https://advisories.checkpoint.com/advisory/cpai-2018-1795/ referente a "NET-SNMP Memory Corruption (CVE-2018-1000116)"

SSDP - Link https://advisories.checkpoint.com/advisory/cpai-2013-1311/ referente a "Portable SDK for UPnP

Devices libupnp Device Service Name Stack Buffer Overflow (CVE-2012-5958)"

RDP  - Link https://advisories.checkpoint.com/advisory/cpai-2017-0741/ Referente a "Microsoft Windows Remote Desktop Protocol Scanning Attempt"

DoS - Link https://advisories.checkpoint.com/advisory/cpai-2021-0955/ referente a "Apache Log4j Denial Of Service (CVE-2021-45105)"

TCP hijacking - Link - https://advisories.checkpoint.com/defense/advisories/public/2013/cpai-15-sep2.html/ referente a "TCP Off Path Sequence Number Inference"

a)

Ataques de Worm,

Trojan, Backdoors,

Portscans,

IPSpoofing, DoS, Spywares, Botnets e malwares emgeral;

glossário

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento para que se que se observe que as paginas citadas não fazem parte do glossário.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de funcionamento da enginhe de IPS que prove proteção contra ataques, contundo entendemos que para maior esclarecimento e claresa adicionaremos a pagina 30 do documento

CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde alem do IPS referencia outras funcionalidades de segurança para prover proteação as ameaças citadas pelo item:Conforme trecho do texto da pagina 30: "These Threat Prevention protections are available:*Anti-BotPost-infection detection of bots on hosts. Prevents bot damages by blocking bot C&C (Command and Control) communications. The Anti-Bot protection is continuously updated from ThreatCloud, a collaborative network to fight cybercrime. Anti-Bot discovers infections by correlating multiple detection methods.*Anti-VirusPre-infection detection and blocking of malware at the gateway. The Anti-Virus protection is continuously updated from ThreatCloud. It detects and blocks malware by correlating multiple detection engines before users are affected."Ainda com o objetivo de prover  maior esclarecimento e claresa adicionaremos o link:https://threatwiki.checkpoint.com/threatwiki/public.htm - referente a base de ameaças da Check Point ThreatWiki, nesse link podemos observar vacinas e proteções para as ameaças citadas no item.

b)

Ataques e utilização de tecnologia P2P;

glossário

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento para que se que se observe que as paginas citadas não fazem parte do glossário.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de funcionamento da enginhe de IPS que prove proteção contra ataques, contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:

-  https://advisories.checkpoint.com/advisory/cpai-2022-0426/ - referente a BitTorrent Protocol

 Que relata um exemplo de proteção para os firewalls da Check Point contra ataques que utilizem a tecnologia P2P, é importante observar que a solução possui outras proteções para tal tipo de ataque, de forma que o link enviado apenas exemplifica um deles.

c)

Ataques de estouro de pilha (buffer overflow);

glossário

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento para que se que se observe que as paginas citadas não fazem parte do glossário.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de funcionamento da enginhe de IPS que prove proteção contra ataques, contundo entendemos que para maior esclarecimento e claresa adicionaremos os links:

https://advisories.checkpoint.com/defense/advisories/public/2023/cpai-2023-0916.html referente ao ataque (cURL libcurl Heap Buffer Overflow (CVE-2023-38545))

https://advisories.checkpoint.com/advisory/cpai-2021-0538/ referente ao ataque (Realtek Jungle SDK Buffer Overflow (CVE-2021-35392; CVE-2021-35393; CVE-2021-35395))

https://advisories.checkpoint.com/advisory/cpai-2021-1148/ referente ao ataque (Tenda AX3 Router Buffer Overflow (CVE-2021-46393; CVE-2021-46394))

 Que relata exemplos de proteções para os firewalls da Check Point contra ataques que utilizem buffer overflow, é importante observar que a sollução possui outras proteções para tal tipo de ataque, de forma que os links enviados apenas exemplifica alguns deles.

b)

Análise de decodificação de protocolo;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na respectivas pagina e referencia:

Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

c)

Análise para detecção de anomalias de protocolo;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na

respectivas pagina e referencia:Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

d)

d) Análise heurística;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na respectivas pagina e referencia:

Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

e)

IP Defragmentation;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://blog.checkpoint.com/wp-content/uploads/2016/10/Next-Generation-Intrusion-Prevention-SystemNGIPS_Test-Report_Check-Point_Recommended-Policy.pdf, na respectivas pagina e referencia:

Pag. 9 "Figure 7 – Resistance to Evasion Results"

f)

Remontagem de pacotes de TCP; e

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/IPS_Engine_Architecture.pdf, na respectivas pagina e referencia:

Pag. 7 "Passive Streaming Library" e "PSL is an infrastructure layer, which provides stream reassembly for TCP connections. This layer handles packet reordering, congestion handling and is responsible for various security aspects of the TCP layer such as handling  payload overlaps, some DoS attacks, and others."

g)

Bloqueio de pacotes malformados.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento para que se que se observe que as paginas citadas não fazem parte do glossário.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de funcionamento da enginhe de IPS que prove proteção contra ataques, contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:

-  https://advisories.checkpoint.com/advisory/cpai-2012-1295/ - referente a DNS ANY Request Malformed

Payload Denial of Service

 Que relata um exemplo de proteção para os firewalls da Check Point contra ataques que utilizem pacotes malformados, é importante observar que a solução possui outras proteções para tal tipo de ataque, de forma que o link enviado apenas exemplifica um deles.

13.7.19.

Ser imune e capaz de impedir ataques básicos como: Synflood, ICMPflood,

UDPflood e etc.;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://support.checkpoint.com/results/sk/sk112454 com a respectiva  referencia:

"Rate limiting is a defense against DoS (Denial of Service) attacks. This document describes the DoS/Rate Limiting system as implemented in R80.20 and higher, including the following features:

Policy Rules

IP deny list

Block IP Fragments

Block IP Options

Penalty Box

DoS allow list

Penalty Box Allow list"

13.7.22.

Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos links https://threatwiki.checkpoint.com/threatwiki/public.htm , https://www.checkpoint.com/defense/advisories/public/2014/CPAI-2014-2186.html ,  https://advisories.checkpoint.com/advisory/cpai-2013-1814/  com as respectivaas  referencias:

https://threatwiki.checkpoint.com/threatwiki/public.htm referente a pesquisar termo "Denial of service" ou filtrar pela categoria "DDoS"

https://www.checkpoint.com/defense/advisories/public/2014/CPAI-2014-2186.html referente a "Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)"

https://advisories.checkpoint.com/advisory/cpai-2013-1814/ referente a "3S Smart Software Solutions CoDeSys Gateway Server Denial Of Service (CVE-2012-4707)"

13.7.28.

Suportar bloqueio de arquivos por tipo;

pagina não mostra tipos de arquivos para bloqueio

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: Na pagina 83  do documento citado para comprovação, sendo ele

CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como configurar os tipos de arquivo para inspeção e como ver os tipos de arquivos suportados. De forma atender o item, conforme trecho do texto:"File TypesHere you can configure the Threat Emulation Action and Emulation Location for each file type scanned by the Threat Emulation Software Blade."

13.7.30.

Deve suportar várias técnicas de prevenção, incluindo Drop e TCP-rst (Cliente,

Servidor e ambos);

não especifica o tcp-rst

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos CP_R81.20_ThreatPrevention_AdminGuide e CP_R81_LoggingAndMonitoring_AdminGuide.pdf, nas respectivaas paginas e referencias:

Documento CP_R81.20_ThreatPrevention_AdminGuide:

Pag. 59 "Tracking options and their description", opção "Alert" Pag 62  "Prevent / Detect"

Documento CP_R81.20_LoggingAndMonitoring_AdminGuide:

Pag. 123 "Automatic Reactions" e "Block Source - Instruct the Security Gateway to block the source IP address from which this event was detected for a configurable timeframe . Select a timeframe from one minute to more than three weeks"

13.7.31.

Deve suportar referência cruzada

com CVE (Common

Vulnerabilties and

Exposures);

não especifica cve na pagina

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 111  do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata sobre as assinaturas de IPS e as informações uteis encontradas em tais, incluindo a referencia do CVE, conforme trecho do texto:

"Industry Reference - International CVE or CVE candidate name for attack."

13.7.33.

Deve suportar a captura de pacotes

(PCAP), por assinatura de IPS e Anti-Malware, através da console de gerência centralizada;

página não fala sobre captura de pacotes

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina185  do documento citado para comprovação, sendo eleCP_R81.20_ThreatPrevention_AdminGuide, o titulo da pagina informa que o conteudo da pagina é sobre captura de pacotes, mostrando e comprovando o atendimento aos itens do edital,  conforme trecho da pagina 185:

"Packet Capture

You can capture network traffic. The content of the packet capture provides a greater insight into the traffic which generated the log. With this feature activated, the Security Gateway sends a packet capture file with the log to the Log Server. You can open the file, or save it to a file location to retrieve the information at a later time.

For some blades, the packet capture option is activated by default in the Threat Prevention Policy."

Contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:

- https://sc1.checkpoint.com/documents/R81.10/SmartConsole_OLH/EN/Topics-OLH/Ini8ibCWSZDXwApUEoDKA2.htm?cshid=Ini8ibCWSZDXwAp-UEoDKA2 - referente a configuração de politicas de prevenção a ameaças cutomizadas (The Custom Threat Prevention Policy), tal documento explicita como se cria uma politica de prevenção a ameaças e suas opções, sendo uma delas a possibilidade captura de pacotes para os eventos de prevenção de ameaças, sendo eles (IPS, anti-malware e anti-bot). Segue trecho do documento que demonstra a possibilidade de fazer a captura de pacotes:

" Packet capture allows the packets relevant to the connection to be captured for analysis. The packet capture can be viewed from the eventClosed in the Logs & Monitor > Logs view. This can be configured only for rules (not rule exceptions).

To configure packet capture, select any tracking action other than None and then select Packet capture."

13.7.34.

Deve permitir que na captura de pacotes porassinaturas de IPS seja definido o número de pacotesa serem capturados;

página não fala sobre captura de pacotes

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: Na pagina185  do documento citado para comprovação, sendo eleCP_R81.20_ThreatPrevention_AdminGuide, o titulo da pagina informa que o conteudo da pagina é sobre captura de pacotes, mostrando e comprovando o atendimento aos itens do edital,  conforme trecho da pagina 185:"Packet CaptureYou can capture network traffic. The content of the packet capture provides a greater insight into the traffic which generated the log. With this feature activated, the Security Gateway sends a packet capture file with the log to the Log Server. You can open the file, or save it to a file location to retrieve the information at

a later time.For some blades, the packet capture option is activated by default in the Threat Prevention Policy."Contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:- https://sc1.checkpoint.com/documents/R81.10/SmartConsole_OLH/EN/Topics-OLH/Ini8ibCWSZDXwApUEoDKA2.htm?cshid=Ini8ibCWSZDXwAp-UEoDKA2 - referente a configuração de politicas de prevenção a ameaças cutomizadas (The Custom Threat Prevention Policy), tal documento explicita como se cria uma politica de prevenção a ameaças e suas opções, sendo uma delas a possibilidade captura de pacotes para os eventos de prevenção de ameaças, sendo eles (IPS, anti-malware e anti-bot). Segue trecho do documento que demonstra a possibilidade de fazer a captura de pacotes:" Packet capture allows the packets relevant to the connection to be captured for analysis. The packet capture can be viewed from the eventClosed in the Logs & Monitor > Logs view. This can be configured only for rules (not rule exceptions).To configure packet capture, select any tracking action other than None and then select Packet capture."

13.7.36.

Os eventos devem

identificar o país de onde partiu a ameaça;

página não fala sobre identificação de ameças por paises

A recorrente induz uma forma de comprovação do item sobre seu próprio preceito. O item foi comprovado por meio da  pagina 176 do documento citado para comprovação, sendo ele

CP_R81.20_Quantum_SecurityManagement_AdminGuide.pdf, onde na pagina referida possui a informação do que são os Updatable Objects conforme o trecho da pagina:

"An Updatable Object is a network object that represents an external service, such as Office 365, AWS, GEO locations, and more"

De forma que tais objetos podem ser utilziados para a construção da politica de segurança, e na ocorrencia de eventos o país de origem da ameaça é identificado. contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:

https://support.checkpoint.com/results/sk/sk144192 - referente a descrição dos campos possiveis nos eventos gerados pelo firewall Check Point (Description of Fields in Check Point Logs), segue trecho que comprova e demonstra atendimento:

src_country Source Country string Country name, derived from connection source IP address

13.7.39.

Rastreamento de vírus em pdf;

página não fala sobre pdf

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento. De todo modo, as informações estão nas páginas seguintes, páginas 33 e 34:

"Threat Emulation runs in parallel to Threat Extraction for version R80.10 and above.Examples for exploitable content in Microsoft Office Suite Applications and PDF files"

"PDF documents with:

 Actions such as launch, sound, or movie URIs

 JavaScript actions that run code in the reader's Java interpreter

 Submit actions that transmit the values of selected fields in a form to a specified URL

 Incremental updates that keep earlier versions of the document

 Document statistics that show creation and modification dates and changes to hyperlinks  Summarized lists of properties"

13.7.40.

Deve permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, rar, cab, ar, etc.);

página não fala sobre arquivos comprimidos

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no seguinte link na pagina 3:

"File Types

• over 70 file types emulated, including: Microsoft Office documents and templates, EXE, DLL, Archives (ISO, ZIP, 7Z, RAR, etc.), PDF, Flash, Java, scripts and more"

 https://www.checkpoint.com/downloads/products/sandblast-threat-emulation-appliances-datasheet.pdf

13.7.49.

A emulação dos arquivos em sandbox deverá serrealizada

em equipamento

físico instalado noambiente onpremise do órgão ou

na nuvem doabricante;

as paginas não faz refência a nada do que se pede

 A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado na pagina 40 do referido documento: "Threat Emulation Analysis LocationsYou can choose a location for the emulation analysis that best meets the requirements of your company.ThreatCloud - You can send all files to the Check Point ThreatCloud for emulation. Networkbandwidth is used to send the files and there is a minimal performance impact on the SecurityGateway.Threat Emulation Appliance in the Internal network - You can use a Threat Emulation appliance torun emulation on the files, whether locally or on a remote appliance."

13.7.50.

A solução deve fornecer a capacidade de emular ataques em diferentes sistemas operacionais, dentre eles: Windows 10, Office 2019 e versões mais recentes desses sistemas.

a solução de sanbox não suporta as extensões que podem ser geradas pelo office 2021 em diante, que são

os arquivos do

formato odf

1.3, as extensões desses arquivos são:

.odt .ods e

.odp

Item já esta exemplificado e repondido por meio de oficio de contrarrazão

13.7.51.

A tecnologia de máquina virtual deverá possuir diferentes sistemas operacionais, de modo a permiti a análise completa do comportamento do malware ou código malicioso sem utilização de assinaturas

informação inexistente no conteúdo informado

Item já esta exemplificado e repondido por meio de oficio de contrarrazão

antes de entregar este arquivo para o cliente;

13.7.52.

Todas as máquinas virtuais (Windows e pacote

Office) utilizadas na solução e solicitadas neste edita devem estar integralmente instaladas e licenciadas, sem a necessidade de intervenções por parte do administrador do sistema. As atualizações deverão ser providas pelo fabricante;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no seguinte link na pagina 5:

"SandBlast TE2000XN-28VM Appliance, delivers SandBlast zero-day service to gateways covered by

SNBT license (includes Microsoft Windows and Office license for 28 Virtual Machines)"

 https://www.checkpoint.com/downloads/products/sandblast-threat-emulation-appliances-datasheet.pdf

13.7.54.

Implementar a emulação, detecção e bloqueio de qualquer malware e/ou código malicioso detectado como desconhecido. A solução deve permitir a análise e bloqueio dos seguintes tipos de arquivos caso tenham malware desconhecido: pdf,

tar, zip,

rar, seven-z, exe rƞ, csv, scr, xls, xlsx, xlt,

xlm, xltx, xlsm, xltm, xlsb, xlam, ppt, pptx, pps, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, doc, docx,dot, docm, dotx, dotm

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no seguinte link na pagina 3:

"File Types

• over 70 file types emulated, including: Microsoft Office documents and templates, EXE, DLL, Archives (ISO, ZIP, 7Z, RAR, etc.), PDF, Flash, Java, scripts and more"

 https://www.checkpoint.com/downloads/products/sandblast-threat-emulation-appliances-datasheet.pdf

13.7.56.

Deve atualizar a base de assinaturas para bloqueio dos malwares identificados no ambiente controlado sandbox) dentro de, no máximo, 5 (cinco) minutos;

informação inexistente no conteúdo informado

 A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado na pagina 3 do referido documento:

"For each new threat discovered by Threat Emulation, a new signature is created and sent to Check Point

ThreatCloud, where it is distributed to other Check Point products. Threat Emulation converts newly identified unknown attacks into known signatures, making it possible to block these threats before they have a chance to become widespread. This constant collaboration makes

the ThreatCloud ecosystem the most advanced and up-to-date threat network available."

13.7.58.1.

Número de arquivos não maliciosos ou arquivos scaneados;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento Threat Prevention R81.20 Administration Guide, contudo, na página 336:

"tecli show commands show data and statistics about the Threat Emulation Software Blade. You can also use abbreviated parameters to run tecli show commands. These are some useful command combinations:"

13.7.58.2.

Número de arquivos maliciosos;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento Threat Prevention R81.20 Administration Guide, contudo, na página 336:

"tecli show commands show data and statistics about the Threat Emulation Software Blade. You can also use abbreviated parameters to run tecli show commands. These are some useful command combinations:"

13.7.59.

Deve resistir a técnicas de evasão ou

ataquesdirecionados

ao próprio equipamento, suportando,no mínimo, as técnicas:

IP Packet

Fragmentation,Strea m Segmentation, RPC Fragmentation,

URLObfuscation,

HTML Obfuscation,

Payload

Encoding,FTP

Evasion e Layered

Evasions;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no seguinte link:https://sc1.checkpoint.com/documents/R81.20/WebAdminGuides/EN/CP_R81.20_Gaia_Hardening/Content/ Topics-GAH/Gaia_Hardening.htm?tocpath=_____3 "This document describes the hardening of the Check Point Gaia operating system.Components that are not necessary for a network security device, or that could cause security vulnerabilities, were removed.Check Point Gaia R81.20 is based on Red Hat 7.9 version and the Linux kernel 3.10.0-1160.The applications removed from the Red Hat operating system include X Windows, Office applications, games, and many other applications that are irrelevant to Firewall operations.This document describes the remaining packages and modifications to the system.Important NotesRPMs not needed for network security services were removed.The RPMs listed in this document refer to Check Point Gaia R81.20 version.The list of RPMs does not include Check Point application packages that are installed on the Gaia system. The list only applies to the Gaia operating system hardening.Gaia OS is derived from a Red Hat Linux distribution. The source code for these modified packages is available for review, as described in the License.txt file on the Gaia distribution media.The hardening of some Gaia components, such as those requiring external network communications, was audited by Check Point staff and by an independent security consulting organization."

13.7.61.

Deve ser capaz de identificar as aplicações mesmo que não estejam utilizando sua porta default.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento, vejamos:

Na pagina informada, temos a seguinte informação: "This Software Blade detects or blocks traffic for applications: n Granular Application Control: Identifies, allows, or blocks thousands of applications. This providesprotection against the increasing threat vectors and malware introduced by internet applications. Largest application library with AppWiki: Comprehensive application control that uses the industry's largest application library. It scans for and detects more than 4,500 applications and more than 100,000 Web 2.0 widgets. Check Point database is updated frequently with worldwide Apps and Widgets."

13.7.62.

Deve ser capaz de identificar aplicações encapsuladas dentro de protocolos, como HTTP e

HTTPS.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento, vejamos:

Na pagina informada, temos a seguinte informação: "The HTTPS Inspection rules define how the Security Gateways inspect HTTPS traffic. The HTTPS

Inspection rules can use the URL Filtering categories to identify traffic for different websites and applications. For example, to protect the privacy of your users, you can use a rule to ignore HTTPS traffic to banks and financial institutions.

For HTTPS Inspection to be enforced on a gateway on a specific blade, you must:

Enable HTTPS Inspection on the gateway.

Create a rule in the HTTPS Inspection policy with the required blade.

Enable the required blade on the gateway.

These are the Software Blades that support HTTPS Inspection:

n Access Control:

l Application Control l URL Filtering l Content Awareness n Threat Prevention:

l IPS l Anti-Virus l Anti-Bot l Threat Emulation n Data Loss Prevention

Starting from R81.20, the HTTPS Inspection policy is in SmartConsole > the Security Policies view > HTTPS Inspection. Starting from R80.40 you can create different HTTPS Inspection layers per different policy packages. When you create a new policy package, you can use the pre-defined HTTPS Inspection layer, or customize the HTTPS Inspection layer to fit your security needs. You can share an HTTPS Inspection layer across multiple policy packages."

13.7.63.

Deve ser capaz de identificar aplicações que

utilizamcomunicação criptografada através de SSL.

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento Quantum Security Management R81.20 Administration Guide, contudo, na página 344: "HTTPS Internet traffic uses the TLS (Transport Layer Security) protocol and is encrypted to give data privacy and integrity. However, HTTPS traffic has a possible security risk and can hide illegal user activity and malicious traffic. Security Gateways cannot inspect HTTPS traffic because it is encrypted. You can enable the HTTPS Inspection feature to let the Security Gateways create new TLS connections with the external site or server.

The Security Gateways are then able to decrypt and inspect HTTPS traffic that usesthe new TLS connections."

13.7.64.

Permitir o agrupamento de aplicações em grupos personalizados;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento Quantum Security Management R81.20 Administration Guide, contudo, na página 219:

"To create a custom group

1. In the Object Explorer, click New > More > Custom Application/Site > Application/Site Group"

13.7.65.

Garantir que as atualizações regulares do produto sejam realizadas de forma transparente, sem parada perceptíveis dos serviços;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento, vejamos:

Na pagina informada, temos a seguinte informação: "Update the Application & URL Filtering database, schedule updates, and configure updates."

13.7.66.

Identificar aplicações e permitir ou bloquear sua

utilização,

independentemente das portas e protocolos utilizados para conexão

(inclusive tráfego criptografado), assim como possuir categorias para classificação das aplicações, bem como das técnicas de evasões utilizadas;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento, vejamos:

Na pagina informada, temos a seguinte informação: "The HTTPS Inspection rules define how the Security Gateways inspect HTTPS traffic. The HTTPS

Inspection rules can use the URL Filtering categories to identify traffic for different websites and applications. For example, to protect the privacy of your users, you can use a rule to ignore HTTPS traffic to banks and financial institutions.

For HTTPS Inspection to be enforced on a gateway on a specific blade, you must:

Enable HTTPS Inspection on the gateway.

Create a rule in the HTTPS Inspection policy with the required blade.

Enable the required blade on the gateway.

These are the Software Blades that support HTTPS Inspection: n Access Control:

l Application Control l URL Filtering l Content Awareness n Threat Prevention: l IPS l Anti-Virus l Anti-Bot l Threat Emulation n Data Loss Prevention

Starting from R81.20, the HTTPS Inspection policy is in SmartConsole > the Security Policies view > HTTPS Inspection. Starting from R80.40 you can create different HTTPS Inspection layers per different policy packages. When you create a new policy package, you can use the pre-defined HTTPS Inspection layer, or customize the HTTPS Inspection layer to fit your security needs. You can share an HTTPS Inspection layer across multiple policy packages."

13.8.6.

Deverá suportar priorização, em tempo real, de protocolos de voz sobre IP (VoIP) como

H.323, SIP,

SCCP, MGCP e aplicações como Whatsapp, Teams e

Skype;

a

documentação não fala sobre priorização

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento, vejamos:

Na pagina informada, temos a seguinte informação: "Check Point's R80.40 secures your VoIP environment. Check Point Security Gateways secure VoIP traffic in SIP, H.323, MGCP, and SCCP environments. VoIP calls involve complex protocols, each of which can carry potentially threatening information through many ports.

The Check Point Security Gateways confirm that the caller and receiver addresses are located where they are supposed to be, and that the caller and receiver are allowed to make and receive VoIP calls. The Security Gateways examine the contents of the packets and confirm that they carry only allowed information. Full stateful inspection on SIP, H.323, MGCP, and SCCP commands ensure that all VoIP packets are structurally valid, and that they arrive in a valid sequence."

13.9.6.

O agente de VPN SSL client-to-site deverá ser

compatível com, no

mínimo: Windows 10 e 11, principais distribuições Linux e MacOS X.

o único cliente disponível para linux abre um portal no navegador web.

Item já esta exemplificado e repondido por meio de oficio de contrarrazão

13.9.7.

Deverá possuir compatibilidade com cliente nativo de VPN client-to-site IPsec de, pelo menos: Linux, IOS e Android;

a solução nativa de vpn não suporta a vpn ipsec para linux:

Item já esta exemplificado e repondido por meio de oficio de contrarrazão

13.10.1.

Deverá possuir funcionamento em modo IDS(Intrusion Detecction System), de modo passivo sembloqueio, e IPS (Intrusion Prevention System), demodo ativo e com bloqueio, podendo operar em umdos modos;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos CP_R81.20_ThreatPrevention_AdminGuide, na respectiva pagina com sua referencia:Pagina 31 - Referencia"The IPS protection includes:* Detection and prevention of specific known exploits* Detection and prevention of vulnerabilities, including both known and unknown exploit tools, for example protection from specific CVEs"

13.10.2.

Deverá permitir definir políticas de prevenção de intrusão baseadas endereço IP de origem e de destino, usuário e grupo do Microsoft

Active

Directory;

não fala sobre ad

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos CP_R81.20_ThreatPrevention_AdminGuide, na respectiva pagina com sua referencia:

Pagina 55 - Referencia

"The Threat Prevention rules use the Malware database and network objects. Security Gateways that have

Identity Awareness enabled can also use Access Role objects as the Protected Scope in a rule. The Access Role objects let you easily make rules for individuals or different groups of users."

Pagina 56 - Referencia

"Protected Scope objects can be

Network objects, such as Security Gateways, clusters, servers, networks, IP ranges, and so on.

From R80.10, dynamic objects and domain objects are also supported in the Threat Prevention Policy. * Network object groups

Updatable objects (from R80.40)

IP address ranges

Roles

Zones

*Data Center"

13.10.4.

Deverá permitir inspeção de pacotes não orientados à conexão (stateless inspection);

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://support.checkpoint.com/results/sk/sk117374 com a seguinte referentcia:

" How to enable/disable Out of State inspection on a Security Gateway without performing a policy installation"

13.10.5.

Deverá permitir a criação de regras dinâmicas de assinaturas de prevenção de intrusão para protocolos não padronizados;

informação inexistente no conteúdo informado

 A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da enginhe de IPS que prove proteção contra ataques. Segue trecho:

"* Detection and prevention of vulnerabilities, including both known and unknown exploit tools, for example protection from specific CVEs

Detection and prevention of protocol misuse which in many cases indicates malicious activity orpotential threat. Examples of commonly manipulated protocols are HTTP, SMTP, POP, and IMAP*n Detection and prevention of outbound malware communications

Detection and prevention of tunneling attempts. These attempts may indicate data leakage or attempts to circumvent other security measures such as web filtering

Detection, prevention or restriction of certain applications which, in many cases, are bandwidth consuming or may cause security threats to the network, such as Peer to Peer and Instant Messaging applications

Detection and prevention of generic attack types without any pre-defined signatures, such as Malicious Code Protector "

Contundo entendemos que para maior esclarecimento e claresa adicionaremos o link do Datasheet do IPS que prove esclarecismentos sobre o funcionamento da enginee. Segue o link para validação https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na respectivas pagina e referencia:

Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

13.10.9.

Deverá possibilitar o bloqueio automático

de tráfego oriundo ou

destinado a host com comportamento malicioso, para o qual tenha sido disparada uma assinatura de ataque;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra nos documentos  CP_R81.20_LoggingAndMonitoring_AdminGuide, na respectiva pagina com sua referencia:

Documento CP_R81.20_LoggingAndMonitoring_AdminGuide:

Pag. 123 "Automatic Reactions" e "Block Source - Instruct the Security Gateway to block the source IP address from which this event was detected for a configurable timeframe . Select a timeframe from one minute to more than three weeks"

13.10.12.

Deverá permitir detecção e bloqueio de pacotes malformatados e protocolos com anomalias;

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio da  pagina 31 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da logica de funcionamento da enginhe de IPS que prove proteção contra ataques, contundo entendemos que para maior esclarecimento e claresa adicionaremos o link:-  https://advisories.checkpoint.com/advisory/cpai-2012-1295/ - referente a DNS ANY Request Malformed Payload Denial of Service Que relata um exemplo de proteção para os firewalls da Check Point contra ataques que utilizem pacotes malformados, é importante observar que a solução possui outras proteções para tal tipo de ataque, de forma que o link enviado apenas exemplifica um deles.

13.10.13.

Deverá possibilitar a identificação de serviços executados em portas não autorizados;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na respectivas pagina e referencia:

Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

13.10.14.

Deverá possibilitar a identificação de ataques com múltiplos fluxos;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf, na respectivas pagina e referencia:

Pag. 1 - "Our defense in depth approach combines signatures, protocol validation, anomaly detection, behavioral analysis, and other methods to provide the highest levels of network IPS protection"

13.10.15.

Deverá ter suporte, nativo ou por meio de implementações específicas, a assinaturas de intrusão para, no mínimo, os seguintes protocolos de aplicação: HTTP, SMTP, FTP, TFTP,

MS-RPC, POP3,

Telnet, DNS, IMAP,

DHCP, NTP, NNTP,

SNMP, Syslog,

SSH, SSL, H.323,

MGCP e SIP;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no links abaixo assim as respectivas referencias:

Observando que o link faz referencia a um ataque onde a solução possui uma proteção disponivel sendo um exemplo para comprovar o atendimento, pois a solução possui uma diversidade de assinaturas para ataques.

SMTP - Link https://advisories.checkpoint.com/defense/advisories/public/2011/cpai-2015-0172.html/  - Referente a "Repetitive SMTP Login Failures"

FTP - Link https://advisories.checkpoint.com/advisory/cpai-2006-040/ Referente a "FTP Patterns (CVE-2005-0696; CVE-2005-3683)"

TFTP -link https://advisories.checkpoint.com/defense/advisories/public/2007/cpai-2007-014.html/  Referente a

"3Com TFTP Server Transporting Mode Remote Buffer Overflow (CVE-2006-6183)"

MS-RPC - link https://advisories.checkpoint.com/advisory/cpai-2006-0147/ - referente a "MS-RPC Programs Lookup (CVE-2006-1314)"

POP3 - Link https://advisories.checkpoint.com/advisory/cpai-2006-156/ Referente a "Preemptive Protection against MailEnable POP3 Remote Code Execution Vulnerability"

Telnet - Link https://www.checkpoint.com/advisory/cpai-2016-0698/  Referente a "Command Injection Over

Telnet"

DNS - Link https://advisories.checkpoint.com/advisory/cpai-2020-0658/ Referente a "Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)"

IMAP - Link https://advisories.checkpoint.com/defense/advisories/public/2023/cpai-2023-1018.html - Referente a "MailEnable IMAP Service APPEND Command Handling Buffer Overflow"

DHCP - Link https://advisories.checkpoint.com/advisory/cpai-2019-1837/ Referente a "Microsoft Windows DHCP Server Denial of Service (CVE-2019-1206)"

NTP - Link https://advisories.checkpoint.com/defense/advisories/public/2014/cpai-2014-0750.html/ Referente a "NTP Servers Monlist Command Denial of Service (CVE-2013-5211)"

NNTP Link - https://advisories.checkpoint.com/defense/advisories/public/2023/cpai-2023-1004.html Referente a "Nagios Log Server Mail Settings Stored Cross-Site Scripting"

SNMP - Link https://advisories.checkpoint.com/advisory/cpai-2018-1795/ referente a "NET-SNMP Memory Corruption (CVE-2018-1000116)"

SYSLOG - Link https://advisories.checkpoint.com/defense/advisories/public/2006/sbp-2007-02.html/ Referente a "Syslog PRIORITY Field Enforcement"

SSH - Link https://advisories.checkpoint.com/defense/advisories/public/2020/cpai-2020-0078.html/ Referente a "SSH Brute Force Login Attempt"

SSL - Link https://advisories.checkpoint.com/defense/advisories/public/2023/cpai-2023-0093.html Referente a "SSLv3 Deprecated Version"

H.323 - Link https://advisories.checkpoint.com/defense/advisories/public/2010/cpai-2008-272.html/ Referente a

"Digium Asterisk Invalid RTP Payload Type Number Memory Corruption (CVE-2008-1289)"

MGCP -  Link https://advisories.checkpoint.com/defense/advisories/public/2010/cpai-2008-272.html/ Referente a "Digium Asterisk Invalid RTP Payload Type Number Memory Corruption (CVE-2008-1289)"

SIP - Link https://advisories.checkpoint.com/defense/advisories/public/2015/cpai-2015-0675.html/ referente a "Shodan Scanner SIP Request"

13.10.16.

Deverá garantir a proteção a ataques de DoS (Denialof Service), DDoS (Distributed Denial

of Service),

SYNFlood, UDP

Flood, Spywares, Buffer overflow, tráfegomal formatado, cabeçalhos inválidos de pacotes efragmentação de pacotes (múltiplos pacotes);

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no link https://support.checkpoint.com/results/sk/sk112454, https://threatwiki.checkpoint.com/threatwiki/public.htm, https://www.checkpoint.com/downloads/products/intrusion-prevention-system-ips-datasheet.pdf   com a respectiva  referencia:Ataques de DoS (Denial of Service), DDoS (Distributed Denial of Service), SYN Flood, UDP Flood:https://support.checkpoint.com/results/sk/sk112454"Rate limiting is a defense against DoS (Denial of Service) attacks. This document describes the DoS/Rate Limiting system as implemented in R80.20 and higher, including the following features:Policy RulesIP deny listBlock IP FragmentsBlock IP OptionsPenalty BoxDoS allow listPenalty Box Allow list" Spywares:"https://threatwiki.checkpoint.com/threatwiki/public.htm" - pesquisar por spyware Buffer overflow, tráfego mal formatado, cabeçalhos inválidos de pacotes e fragmentação de pacotes (múltiplos pacotes);pagina 1 e 2 - https://www.checkpoint.com/downloads/products/intrusion-preventionsystem-ips-datasheet.pdf  

13.11.9.

Deverá fornecer a capacidade de emular ataques em diferentes sistemas operacionais, englobando, no mínimo: Windows 10 e versões superiores, assim como Office 2013 e versões superiores;

não especifica a versão do office

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 3  do documento citado para comprovação, sendo ele sandblast-threat-emulation-appliancesdatasheet.pdf,  informa que o ambiente de emulação atende aos requistos,  conforme trecho da pagina 3:

"Windows XP or later"

13.11.13.

Toda análise deverá ser realizada de forma interna no appliance;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento CP_R81.20_ThreatPrevention_AdminGuide.pdf,  com a respectiva  referencia:

pagina 40 - 

"Threat Emulation Analysis Locations

You can choose a location for the emulation analysis that best meets the requirements of your company.

*ThreatCloud - You can send all files to the Check Point ThreatCloud for emulation. Network bandwidth is used to send the files and there is a minimal performance impact on the Security Gateway.

* Threat Emulation Appliance in the Internal network - You can use a Threat Emulation appliance to run emulation on the files, whether locally or on a remote appliance"

13.11.16.

Deverá implementar a emulação, detecção e bloqueio de qualquer malware e/ou código malicioso detectado como desconhecido.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrato, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio da  pagina 33 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da da enginhe de Sandbox (Threat Emulation) que prove proteção contra ataques do tipo zero-day, Conforme trecho da pagina 33:

"Threat Emulation

Threat Emulation gives networks the necessary protection against unknown threats in web downloads and e-mail attachments. The Threat Emulation engine picks up malware at the exploit phase, before it enters the network. It quickly quarantines and runs the files in a virtual sandbox, which imitates a standard operating system, to discover malicious behavior before hackers can apply evasion techniques to bypass the sandbox"

b.

Relatório de máquinas infectadas;

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 277do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como acessar os relatorios do tipo "View" e filtrar conforme a informação necessaria, conforme trecho da pagina:

"Views window tells administrators and other stakeholders about security and network events. A Viewwindow is an interactive dashboard made up of widgets. Each widget is the output of a query. A Widget pane can show information in different formats, for example, a chart or a table."

c.

Atividades do malware durante a execução de ummesmo arquivo para um mesmo acesso de rede, nosambientes controlados em todas as versões desistemas operacionais requisitados neste projeto;

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: Na pagina 277 do documento citado para comprovação, sendo ele

CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como acessar os relatorios do tipo "View" e filtrar conforme a informação necessaria, conforme trecho da pagina:"Views window tells administrators and other stakeholders about security and network events. A Viewwindow is an interactive dashboard made up of widgets. Each widget is the output of a query. A Widget pane can show information in different formats, for example, a chart or a table."

13.11.23.

Para melhor administração, a solução deverá possibilitar as seguintes

visualizações a nível

de monitoração:

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento CP_R81.20_ThreatPrevention_AdminGuide.pdf,  com a respectiva  referencia:

Pagina 277, a pagina informada relata como acessar os relatorios do tipo "View" e filtrar conforme a informação necessaria, conforme trecho da pagina:

"Views window tells administrators and other stakeholders about security and network events. A Viewwindow is an interactive dashboard made up of widgets. Each widget is the output of a query. A Widget pane can show information in different formats, for example, a chart or a table."

a.

Quantidade de máquinas virtuais que estão em execução;

informação inexistente no conteúdo informado

O item não foi encontrado devido a erro material de documentação,  a comprovação do item se encontra no documento CP_R81.20_ThreatPrevention_AdminGuide.pdf,  com a respectiva  referencia:

Pagina 277, a pagina informada relata como acessar os relatorios do tipo "View" e filtrar conforme a informação necessaria, conforme trecho da pagina:

"Views window tells administrators and other stakeholders about security and network events. A Viewwindow is an interactive dashboard made up of widgets. Each widget is the output of a query. A Widget pane can show information in different formats, for example, a chart or a table."

13.11.24.

A solução deverá possuir, no mínimo, os indicadores abaixo referentes ao

último dia, última semana ou últimos 30 dias:

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 276 do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como acessar os logs e relatorios  e filtrar conforme a informação necessaria, conforme trecho da pagina:

"Threat Analysis in the Logs & Monitor View."

a.

Arquivos inspecionados;

informação inexistente no conteúdo informado

Se faz necessário a leitura do documento para que se encontre a informação. O que se espera de uma analise é o minimo de zelo. Vejamos: 

Na pagina 276 do documento citado para comprovação, sendo ele CP_R81.20_ThreatPrevention_AdminGuide, a pagina informada relata como acessar os logs e relatorios  e filtrar conforme a informação necessaria, conforme trecho da pagina:

"Threat Analysis in the Logs & Monitor View."

13.11.25.

A Solução de

Prevenção de Ameaças Avançada deverá permitir o compartilhamento de inteligência contra ameaças em tempo real para resposta imediata a ameaças, a fim de permitir que

todas as Sandboxes se comuniquem instantaneamente.

informação inexistente no conteúdo informado

A recorrente se quer deu ao trabalho de informar o que não foi encontrado, por falta de zelo ou experiencia técnica, se faz necessário a leitura do documento.  O item foi comprovado por meio da  pagina 240 do documento citado para comprovação, sendo ele o documento CP_R81.20_ThreatPrevention_AdminGuide.pdf, onde na pagina referida possui a explicação da nuvem de inteligencia da Solução ofertada que atua de forma colaborativa permitindo  proteção e resposta contra ataques do tipo zero-day de forma imediata, Conforme trecho da pagina 240:

"Check Point ThreatCloud is a dynamically updated service that is based on an innovative global network of threat sensors and organizations that share threat data and collaborate to fight against modern malware. Customers can send their own threat data to the ThreatCloud and benefit from increased security and protection and enriched threat intelligence. The ThreatCloud distributes attack information, and turns zeroday attacks into known signatures that the Anti-VirusSoftware Blade can block. The Security Gateway does not collect or send any personal data."