Übermitteln Sie Blocklisteneinträge direkt aus der Blocklisteneintragstabelle

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als schädlich eingestuft und keinem bestimmten Now Platform Security Incident zugeordnet sind, übermitteln Sie Sperrlisteneinträge aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: Administrator für Security Incidents (sn_si.Analyst)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, das Sie als böswillig eingestuft haben, oder zulassen möchten, dass ein erkennbares Element nicht böswillig ist und das erkennbare Element keinem bestimmten Now Platform Security Incident-Datensatz zugeordnet ist, übermitteln Sie Sperrlisteneinträge direkt aus der Sperrliste. Beispiele für diese Typen von Blocklisteneinträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Check Point – NGTP-Integration > Blockieren Sie Anforderungseinträgean.
      Einträge der Sperranforderungsliste
    2. Klicken Sie auf Sperranforderungslisten Modul.
    3. Klicken Sie in der Liste der Einträge der Sperranforderungsliste für Prüfpunkte auf Neu .
    4. In Eingabewert Geben Sie einen Wert für Ihr erkennbares Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      • Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      • Ein übereinstimmendes erkennbares Element wurde gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Eine Nachricht wird angezeigt, die Sie anweist, das Formular auszufüllen. Es wurde kein übereinstimmendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die Sperrliste aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz für erkennbares Element wird erstellt. Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.
      Neuer Datensatz
    5. Klicken Sie auf das Suchsymbol, um die Sperrliste auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
    7. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Wenn eine Nachricht angezeigt wird, in der Sie aufgefordert werden, den Rest der Informationen manuell auszufüllen, füllen Sie die Felder aus.
      Neuer Datensatz ohne übereinstimmende erkennbare Elemente
      Feld Beschreibung
      Erkennbarer Typ Typ des erkennbaren Elements, der vom Dialogfeld unterstützt wird.
      Name der Sperrliste Sperrliste, in die Sie den Eintrag aufnehmen möchten.
      Hinweis:
      Wählen Sie die Sperrliste aus, an die Sie den Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder Quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Aus Unbekannt Oder Böswillig .
      Quelle Quelle, die eine Bedrohungssuche für den Block-Listeneintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der Ablaufzeitraum, der standardmäßig aus der Sperrliste geerbt wird. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl der Tage aktiv. Sie können einen Mindestwert von 1 eingeben, und es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai um 14:01 Uhr 30 Tage eingeben, läuft der Eintrag „Sperrliste“ am 31. Mai um 14:01 Uhr ab. Der Zeitplaner überprüft jedoch jeden Tag um 00:00 Uhr auf abgelaufene Einträge und ändert den Status des Eintrags um 00:00 Uhr am 1. Juni in „abgelaufen“.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des Sperrlisteneintrags geändert haben, wird ein Bestätigungsdialogfeld für eine Warnung angezeigt, das angibt, dass sich der Zeitraum von der ausgewählten Sperrliste unterscheidet.
      Ablaufzeitnachricht
      Option Beschreibung
      Ja Bestätigt die Ablaufüberschreibung, speichert den Datensatz und kehrt zu den Prüfpunkt-Blocklisteneinträgen zurück. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für ändern Ablaufzeitraum .

      Nachdem Sie den Wert geändert haben, klicken Sie auf Senden, um zur Liste „Prüfpunktblockeinträge“ zurückzukehren.
    9. Wenn nicht angezeigt, navigieren Sie zu Prüfpunkt-Sperranforderungslisteneinträge , Und beachten Sie, dass der Status für den Eintrag lautet Ausstehend .
      Listeneintrag bereit zur Genehmigung
      Der Eintrag ist jetzt zur Genehmigung bereit.