Soumettre les entrées de la liste de blocs d’un incident de sécurité pour l’intégration Check Point NGTP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les observables joints à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste de blocs à différentes listes de blocs. Un processus d’approbation facultatif pour les entrées de la liste de blocs fait partie du workflow préconfiguré. La passerelle importe les entrées de la liste de blocs (adresses IP, URL, domaines) qui sont incluses dans les listes de blocs.

    Avant de commencer

    Rôle requis :
    • L’analyste des incidents de sécurité (sn_si.analyst) doit soumettre des entrées de liste de blocs.
    • L’administrateur d’incident de sécurité (sn_si.admin) pour approuver les entrées de la liste de blocs. Cette autorité peut être affectée selon les besoins de votre organisation.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs ayant le rôle sn_si.analyst soumettent des entrées de bloc en demandant un blocage des observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée de liste de blocs avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
    2. Cliquez sur le lien connexe Afficher IoC .
      Afficher la liste connexe IoC
    3. Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
      Action de demande de bloc
    4. Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône de loupe)
      Implémentation de la demande de bloc
    5. Dans la liste, sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (IP) doit correspondre au type d’observable de la liste de blocs (IP).
      Implémentation de l’option d’intégration
    6. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation, cliquez sur Bloquer.
      Recherche de demande de bloc
    7. Dans la liste qui s’affiche, sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (IP) doit correspondre au type d’observable de la liste de blocs (IP).
      Implémentation de l’option d’intégration
    8. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation , cliquez sur Bloquer.
      Recherche de demande de bloc
    9. Accédez à la Intégration Check Point NGTP > Entrées de la liste de demandes de blocs, puis cliquez sur Entrées de la liste de demandes de bloc.
      Entrées de la liste de demandes de blocs
    10. Dans la liste Check Point Request List Entries (Entrées de la liste de demandes de blocs Check Point), cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.
      Pour cet exemple, l’enregistrement de 74.125.34.95 s’affiche.
      Entrées de la liste de demandes de blocs Check Point

      L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée de liste de blocs est prête à être approuvée.

      L’icône en regard du champ Observable est un lien vers la table Observable de Now Platform.

      La valeur du champ Observable (74.125.34.95) est liée à la table Observable et correspond au format qui a été apporté à partir de l’événement de déclenchement de l’incident de Réponse aux incidents de sécurité.