Übermitteln Sie Sperrlisteneinträge aus einem Security Incident für Check Point NGTP Integration

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Erkennbare Elemente, die an einen Security Incident-Datensatz angehängt sind, werden zur Genehmigung als Sperrlisteneinträge an verschiedene Sperrlisten übermittelt. Ein optionaler Genehmigungsprozess für Blocklisteneinträge ist Teil des vorkonfigurierten Workflows. Das Gateway importiert Blocklisteneinträge – IP-Adressen, URLs, Domänen –, die in Blocklisten enthalten sind.

    Vorbereitungen

    Erforderliche Rolle:
    • Security Incident-Analyst (sn_si.Analyst) zum Senden von Blocklisteneinträgen.
    • Security Incident-Administrator (sn_si.admin) zum Genehmigen von Blocklisteneinträgen. Diese Berechtigung kann nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Anwender mit der Rolle „sn_si.Analyst“ übermitteln Blockeinträge, indem sie einen Block für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein Sperrlisteneintrag mit dem Status „Ausstehend“ generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen, Und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf IOC anzeigen Zugehöriger Link.
      Zugehörige IOC-Liste anzeigen
    3. Wählen Sie in der zugehörigen Liste erkennbare Elemente die erkennbaren Elemente aus, die Sie blockieren möchten, und aus Aktionen für ausgewählte Zeilen Liste, wählen Sie aus Anforderung Blockieren .
      Aktion „Anforderung blockieren“
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Lupensymbol)
      Blockanforderungsimplementierung
    5. Wählen Sie aus der Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der Eintrag „erkennbarer Typ“ (IP) dem Typ des erkennbaren Elements der Sperrliste (IP) entsprechen.
      Implementierung der Integrationsfähigkeit
    6. Klicken Sie im Dialogfeld „Blockieranforderung“ mit dem Namen der Blockliste, der im Feld „Implementierung“ angezeigt wird, auf Blockieren .
      Blockanforderungssuche
    7. Wählen Sie aus der angezeigten Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der Eintrag „erkennbarer Typ“ (IP) dem Typ des erkennbaren Elements der Sperrliste (IP) entsprechen.
      Implementierung der Integrationsfähigkeit
    8. Im Dialogfeld „Blockieranforderung“ mit dem Namen der Sperrliste, der in angezeigt wird Implementierung Feld, klicken Sie auf Blockieren .
      Blockanforderungssuche
    9. Navigieren zu Check Point – NGTP-Integration > Einträge der Sperranforderungsliste, Und klicken Sie auf Listeneinträge Für Blockanforderung .
      Sperren Sie Anforderungslisteneinträge
    10. Klicken Sie in der Liste „Prüfpunkt-Sperranforderungslisteneinträge“ auf Ihr erkennbares Element in Eingabewert Spalte zum Öffnen des Datensatzes.
      In diesem Beispiel der Datensatz für 74.125.34.95 Wird angezeigt.
      Die Prüfpunkt-Sperranforderungslisteneinträge

      Der Status ist „Ausstehend“, das Kontrollkästchen „aktiv“ ist deaktiviert, und die Arbeitsnotizen zeigen an, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorhanden ist. Diese Sperrlisteneintragsanforderung ist bereit zur Genehmigung.

      Das Symbol neben dem Feld „erkennbares Element“ ist ein Link zu ServiceNow AI Platform Tabelle des erkennbaren Elements.

      Der Wert im Feld „erkennbares Element“ (74.125.34.95) verknüpft mit der Tabelle „erkennbares Element“ und entspricht dem Format, das aus dem Ereignis „auslösende Incidents für Security Incidents Response“ übernommen wurde.