Erstellen Sie eine Sperrliste für Check Point NGTP Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Erstellen Sie eine Sperrliste in Ihrem ServiceNow AI Platform Instanz. Nach der Genehmigung und Aktivierung können Sie Einträge für diese Sperrlisten aus erkennbaren Elementen erstellen, die für Now Platform Security Incident Response (SIR)-Incidents als schädlich eingestuft wurden, und die Genehmigung zum Blockieren anfordern.

    Vorbereitungen

    Erforderliche Rolle: Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die Sperrliste auf Ihrem ServiceNow AI Platform Instanz, damit der Prüfpunkt in der Liste enthaltene Objekte importieren kann – IP-Adressen, URLs, Domänen. Anwenderdefinierter Intelligence-Feed wird im Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen aus der Now-Plattform in vorkonfigurierten Intervallen abruft. Um sicherzustellen, dass die erkennbaren Elemente blockiert werden, sollte die Richtlinie zur Bedrohungsvorbeugung mit aktivierten Anti-Bot- und Anti-Virus-Blades konfiguriert werden.
    Hinweis:
    Die Zahlen in diesem Thema werden mit angezeigt Formulare mit Registerkarten In Systemeinstellungen gelöscht.
    Systemeinstellungen > Formulare

    Prozedur

    1. Navigieren Sie nach Abschluss der Anwendungsinstallation zu Integrationen > Integrationskonfigurationenan.
    2. Suchen Sie nach Überprüfen Sie Den Punkt Next Generation Threat Prevention Karte und klicken Sie auf Konfigurieren .
      NGTP-Integrationskarte für Prüfpunkt
      Hinweis:
      Privilegierte und proprietäre Inhalte, die mit der Berechtigung von Check Point Software Technologies, Ltd. Verwendet werden
    3. Klicken Sie Auf Erstellen Sie eine neue Blockliste .
      Überprüfen Sie die Punkt-NGTP-Konfiguration
    4. Füllen Sie im Formular die Felder aus.
      Feld Beschreibung
      Name Name der Sperranforderungsliste des Prüfpunkts.

      Fügen Sie den Typ des erkennbaren Elements (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalysten die Absicht der Sperrliste leicht anhand ihres Namens erkennen kann. Der Name sollte auch deutlich angeben, welcher Firewall-Richtlinie diese Blocklistenobjekte zugeordnet sind. Einige Beispiele für Blocklistennamen sind „ausgehende Malware-IP“ oder „ausgehende Phishing-URL“.
      Aktiv Dieses Kontrollkästchen ist standardmäßig deaktiviert, um anzugeben, dass die Sperrliste inaktiv ist.

      Wenn sie inaktiv ist, kann die Sperrliste keine zusätzlichen Einträge erhalten.

      Wenn das Kontrollkästchen aktiviert ist (wenn Change-Anforderung geschlossen oder keine Change-Anforderung generiert wird), wird die Sperrliste aktiviert und für Sperrlisteneinträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element in der Sperrliste blockiert ist. Wenn diese Option ausgewählt ist, ist das Feld „Tag für erkennbare Elemente“ im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie im Feld Name mit einem Prüfpunkt-Präfix eingeben, z. B. Prüfpunkt-Malware ausgehende IP. Sie können den Tag-Namen und die Farbe ändern. Der Tag-Name wird im Feld „Tag für erkennbare Elemente“ angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und das Feld „Tag für erkennbare Elemente“ ist im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie einen erkennbaren Typ aus, den diese Blockliste akzeptiert, aus der Liste aus: IP-Adresse (einschließlich CIDR für Allow-Liste), URL oder Domäne.
      Tag-Typ Tags, die in der Liste verfügbar sind.

      Eine Sperrliste ist eine Liste der erkennbaren Elemente, die der Prüfpunkt Next Generation Threat Prevention blockieren soll.

      Eine Allow-Liste ist eine Liste von erkennbaren Elementen, die Sie in Check Point Next Generation Threat Prevention in keinem Fall blockieren möchten.

      Standardmäßig ist die Tag-Farbe „Liste blockieren“ schwarz und die Tag-Farbe „Liste zulassen“ grau. Sie können die Farbe ändern.
      Change-Anforderung erstellen Dieses Kontrollkästchen ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in zu erstellen ServiceNow AI Platform Instanz, die an den Blocklistendatensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die Abruf-URL der Sperrliste im Firewall-Gateway „Check Point Next Generation“ zu konfigurieren.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch verwendet ServiceNow AI Platform Für Firewall-Richtlinien- oder -Regeländerungen. Wenn Sie eine Anforderung erstellen, wird die Sperrliste automatisch aktiviert, sobald sie geschlossen wurde.

      Deaktivieren Sie das Kontrollkästchen, um die Sperrliste manuell zu aktivieren, nachdem der Firewall-Administrator per E-Mail darüber informiert hat, dass der anwenderdefinierte Intelligence-Feed auf allen Prüfpunkt-Gateways konfiguriert wurde.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, ist das Feld Change-Anforderung nicht verfügbar.
      Genehmigung anfordern Dieses Kontrollkästchen ist standardmäßig aktiviert, um Genehmigungen zum Aktivieren/Entfernen von Blocklisteneinträgen aus Sperrlisten anzufordern. Die Genehmigung wird von den Anwendern mit der Rolle „Security Incident-Administrator“ (sn_si.admin) angefordert. Die Genehmigungsanforderung wird per E-Mail an die Genehmiger gesendet.

      Sobald die Genehmigung akzeptiert wurde, wird der Eintrag in dieser Sperrliste aktiviert.

      Wenn das Kontrollkästchen nicht aktiviert ist, folgen die Einträge für diese Sperrliste nicht dem Genehmigungs-Workflow und werden direkt in der Sperrliste aktiviert.
      Tag für erkennbares Element Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tag anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die Sperrliste mit einem Standardwert aus dem Feld Name gespeichert wurde. Wenn die Sperrliste mit dem Namen „Malware-URL“ erstellt wird, lautet der abgeleitete Tag-Name „Sperrliste – Malware-URL“
      Change-Anforderung Wenn das Kontrollkästchen Change-Anforderung erstellen aktiviert ist, wird die Change-Anforderungsnummer in der Now Platform-Instanz angezeigt, sobald die Sperrliste gespeichert wurde.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der Prüfpunktblockliste. Der Name enthält im Allgemeinen die Typen von Sites und erkennbaren Elementen, die Sie voraussichtlich in dieser Sperrliste befinden, und Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der Sperrliste.

      0 (Standard) gibt an, dass der Eintrag „Sperrliste“ nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben, der 24 Stunden beträgt, und es gibt keinen Höchstwert.
      Abruf-URL Abruf-URL wird automatisch generiert, sobald die Blockliste gespeichert wurde. Um diese Blockliste in Prüfpunkt-Gateways zu konfigurieren, müssen Sie diese URL verwenden. Sobald diese URL konfiguriert ist, ruft der Prüfpunkt erkennbare Elemente ab, die im CSV-Format blockiert werden sollen.
      Liste der Blocklistenanforderung
    5. Klicken Sie auf Absenden.
    6. Wenn die Liste der Prüfpunktblockanforderungen nicht angezeigt wird, navigieren Sie zu Check Point – NGTP-Integration > Sperranforderungslistenan.
      Listen Mit Blocklistenanforderungen
      Die neue Blockliste wird angezeigt. Der Sperrlistenstatus ist weiterhin inaktiv (falsch), was bedeutet, dass die Sperrliste nicht zum Akzeptieren von Einträgen verfügbar ist. Wenn „Change-Anforderung erstellen“ konfiguriert wurde, wird eine Meldung angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in erstellt wurden ServiceNow AI Platform Instanz.
      Listenanforderungseinträge blockieren
    7. In Name Spalte auf ein Element klicken, um den Datensatz zu öffnen.
      Der Datensatz „Sperrliste“ wird angezeigt. Dieses Beispiel zeigt eine ausgehende IP-Blockliste für Malware. Die folgenden Felder, Optionen und Links werden nach der Übermittlung im neuen Datensatz angezeigt und in der folgenden Tabelle beschrieben.
      URL abgerufen
      Feld Beschreibung
      E-Mail-Abruf-URL Sendet eine E-Mail an den Check Point-Firewall-Administrator, dass der Blocklink für die Konfiguration verfügbar ist.
      Abruf-URL Diese URL wird verwendet, um anwenderdefinierten Intelligence-Feed in Prüfpunkt-Gateways zu konfigurieren.
      Hinweis:
      Wenn Ihre Systemeinstellungen auf Formulare mit Registerkarten festgelegt sind, wird dieser Link auf der Registerkarte „Informationen zum Abruf der Sperrliste“ unten im Datensatz angezeigt.
      ServiceNow AI Platform Change-Anforderung Ein Link zum Change-Anforderungsdatensatz wird im Abschnitt „Change-Anforderungen“ angezeigt, wenn konfiguriert, und die Anforderungsnummer wird im Feld „Change-Anforderung“ angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere Blocklisten hinzu.
      Die Sperrlisten werden auf der Seite „Checkpoint-Sperranforderungslisten“ angezeigt.

    Nächste Maßnahme

    Aktivieren Sie die Sperranforderungsliste manuell oder mit ServiceNow AI Platform Change-Anforderung.