Utilisation des listes de blocage

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’intégration ServiceNow Check Point Next Generation Threat Prevention prend en charge les listes de blocs qui acceptent les observables d’adresses IP, d’URL et de domaine.

    ServiceNow La liste de blocs configurée est un fichier CSV hébergé sur un serveur Web externe qui, pour cette intégration, est l’instance Now Platform. Le flux de renseignements personnalisé est configuré sur la passerelle Check Point Gateway, qui extrait les adresses IP, les URL et les domaines de Now Platform à un intervalle préconfiguré.

    Cette intégration prend en charge trois types de listes de blocs :

    • Adresse IP (cela inclut une adresse IP individuelle (IPv4 uniquement) pour la liste de blocs et des blocs CIDR (plages) d’adresses pour la liste d’autorisation).
    • URL
    • Domaine

    Observables pris en charge par l’intégration Check Point NGTP

    La section répertorie les descriptions des observables pris en charge par cette intégration et des exemples de formats pour chaque type.

    Type d'observable Exemples Description
    Domaine
    • example.com
    • mail.example.com
    		 Les caractères génériques ne sont pas pris en charge.
    Adresse IP 95.153.103.54 (IPv4) Représente une adresse d’interface unique et distincte. L’intégration prend uniquement en charge les formats IPv4 et CIDR (le format CIDR n’est pris en charge qu’à des fins de liste d’autorisation).
    À des fins de liste d’autorisation, l’intégration prend en charge les observables d’adresses IP, y compris les plages CIDR (Classless Inter-Domain Routing), par exemple 95.153.100.0/22.
    Remarque :
    Un message d’erreur s’affiche lorsque vous essayez d’attacher une adresse IP unique à une liste de blocs que vous avez déjà autorisée à répertorier dans le cadre d’une plage CIDR. Par exemple, l’adresse unique 95.153.103.54 fait partie de la plage CIDR représentée par 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.example.com
    • Http://www.exemple.com/
    		 Description : les URL HTTPS sont formatées par l’application pour couper le chemin d’accès de l’URL et conserver le nom de domaine uniquement.

    Check Point NGTP s’appuie sur la requête HTTP CONNECT pour évaluer le trafic Web et appliquer le blocage. Pour la demande HTTPS CONNECT, l’URL entière n’est pas visible dans la demande et seul le nom de domaine est visible. Lorsqu’un utilisateur bloque une URL HTTPS avec un chemin spécifique (exemple : https://www.example.com/path), l’application coupe automatiquement le chemin d’accès (www.example.com). L’application maintient la relation entre l’observable d’origine et l’URL formatée. Ci-dessous se trouve la capture d’écran de l’entrée de la liste de blocs qui montre l’URL formatée et l’observable d’origine.

    Entrée de la liste de blocs

    Pour les URL HTTP avec un chemin spécifique (par exemple, http://www.example.com/path), Check Point bloquera l’URL spécifiée, car l’URL entière est visible dans la demande CONNECT.

    Entrées de liste de blocs pour les URL HTTP