Übermitteln Sie Blocklisteneinträge direkt aus der Blocklisteneintragstabelle

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als schädlich eingestuft und keinem bestimmten Now Platform Security Incident zugeordnet sind, übermitteln Sie Sperrlisteneinträge aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: Security Incident-Administrator (sn_si.Analyst)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, das Sie als böswillig eingestuft haben, oder zulassen möchten, dass ein erkennbares Element nicht böswillig ist und das erkennbare Element keinem bestimmten zugeordnet ist ServiceNow AI Platform Security Incident-Datensatz übermitteln Sie Sperrlisteneinträge direkt aus der Sperrliste. Beispiele für diese Arten von Blocklisteneinträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Check Point – NGTP-Integration > Blockieren Sie Anforderungseinträgean.
      Einträge der Sperranforderungsliste
    2. Klicken Sie auf Sperranforderungslisten Modul.
    3. Klicken Sie in der Liste Einträge der Sperranforderungsliste für Prüfpunkte auf Neu .
    4. In Eingabewert Geben Sie einen Wert für Ihr erkennbares Element ein.
      Die beiden möglichen Ergebnisse dieses Eintrags:
      • Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      • Ein übereinstimmendes erkennbares Element wurde gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Es wird eine Nachricht angezeigt, die Sie anweist, das Formular auszufüllen. Es wurde kein übereinstimmendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die Sperrliste aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz eines erkennbaren Elements wird erstellt. Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.
      Neuer Datensatz
    5. Klicken Sie auf das Suchsymbol, um die Sperrliste auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
    7. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Wenn eine Nachricht angezeigt wird, in der Sie aufgefordert werden, den Rest der Informationen manuell auszufüllen, füllen Sie die Felder aus.
      Neuer Datensatz ohne übereinstimmende erkennbare Elemente
      Feld Beschreibung
      Typ des erkennbaren Elements Typ des erkennbaren Elements, der vom Dialogfeld unterstützt wird.
      Name der Sperrliste Sperrliste, in die Sie den Eintrag aufnehmen möchten.
      Hinweis:
      Wählen Sie die Sperrliste aus, an die Sie den Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder Quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Aus Unbekannt Oder Böswillig .
      Quelle Quelle, die eine Bedrohungssuche für den Block-Listeneintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der Ablaufzeitraum, der standardmäßig aus der Sperrliste geerbt wird. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben, und es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai 30 Tage um 14:01 Uhr eingeben, läuft der Eintrag „Sperrliste“ am 31. Mai um 14:01 Uhr ab. Der Zeitplaner prüft jedoch jeden Tag um 00:00 Uhr auf abgelaufene Einträge und ändert den Status des Eintrags am 1. Juni um 00:00 Uhr in „abgelaufen“.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des Eintrags „Sperrliste“ geändert haben, wird ein Bestätigungsdialogfeld angezeigt, das angibt, dass sich der Zeitraum von der ausgewählten Sperrliste unterscheidet.
      Ablaufzeitnachricht
      Option Beschreibung
      Ja Bestätigt die Ablaufüberschreibung, speichert den Datensatz und kehrt zu den Prüfpunktblocklisteneinträgen zurück. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. Jetzt können Sie den Wert für ändern Ablaufzeitraum .

      Nachdem Sie den Wert geändert haben, klicken Sie auf Absenden, um zur Liste „Prüfpunktblockeinträge“ zurückzukehren.
    9. Wenn nicht angezeigt, navigieren Sie zu Listeneinträge Der Sperranforderung Für Prüfpunkt , Und beachten Sie, dass der Status für den Eintrag lautet Ausstehend .
      Listeneintrag bereit zur Genehmigung
      Der Eintrag ist jetzt zur Genehmigung bereit.