Soumettre des entrées de liste de blocs directement à partir de la table d’entrée de la liste de blocs

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Pour les observables déterminés comme malveillants et non associés à un incident de sécurité Now Platform spécifique, vous soumettez des entrées de liste de blocs à partir de la liste de blocs.

    Avant de commencer

    Rôle requis : Administrateur d’incidents de sécurité (sn_si.analyst)

    Pourquoi et quand exécuter cette tâche

    Lorsque vous souhaitez bloquer un observable que vous avez déterminé comme malveillant ou autoriser un observable que vous avez déterminé comme non malveillant et que l’observable n’est pas associé à un enregistrement d’incident de sécurité Now Platform spécifique, vous soumettez des entrées de liste de blocs directement à partir de la liste de blocs. Des exemples de ces types d’entrées de liste de blocage peuvent être des URL ou des domaines pour des sites spécifiques.

    Procédure

    1. Accédez à la Tout > Intégration Check Point NGTP > Entrées de demandes de blocs.
      Entrées de la liste de demandes de blocs
    2. Cliquez sur le module Listes de demandes de blocs .
    3. Dans la liste Entrées de la liste de demandes de blocs Check Point, cliquez sur Nouveau.
    4. Dans le champ Valeur d’entrée , saisissez une valeur pour votre observable.
      Les deux résultats possibles de cette entrée :
      • Les autres champs du formulaire sont renseignés automatiquement.
      • Un observable correspondant est trouvé et un message s’affiche indiquant qu’un observable correspondant existe. Sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée, puis cliquez sur Soumettre. Sélectionnez la liste de blocs à laquelle vous souhaitez attacher cette entrée avant de définir la période d’expiration.
      Un message vous demandant de remplir le formulaire s’affiche. Aucun observable correspondant n’a été trouvé et vous devez remplir le formulaire. Une fois que vous l’avez terminée, sélectionnez la liste de blocs à laquelle vous souhaitez joindre l’observable, puis cliquez sur Soumettre. Un enregistrement d’observable est créé. La figure suivante montre un exemple d’observable de domaine existant et comment les champs sont complétés automatiquement.
      Nouvel enregistrement
    5. Cliquez sur l’icône de recherche pour sélectionner la liste de blocs à laquelle vous souhaitez joindre l’entrée.
    6. Cliquez sur Envoyer.
    7. Si l’approbation par e-mail est configurée dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Si un message s’affiche vous demandant de renseigner manuellement le reste des informations, renseignez les champs.
      Nouvel enregistrement sans observables correspondants
      Champ Description
      Type d'observable Type d’observable pris en charge à partir de la boîte de dialogue.
      Nom de la liste de blocs Liste de blocs à laquelle vous souhaitez ajouter l’entrée.
      Remarque :
      Sélectionnez la liste de blocs à laquelle vous souhaitez attacher l’entrée avant de définir la période d’expiration.
      Activer le remplacement (sélectionné par défaut) Rechercher le résultat ou la source. Une fois configurée, elle vous permet d’entrer un résultat de recherche et la source utilisée pour trouver les résultats. Ces champs sont généralement renseignés lors de la création d’un enregistrement d’incident de sécurité. Dans ce cas, il n’y a pas de résultat ou de source de recherche, et vous renseignez ces champs manuellement.
      Rechercher un résultat Sélectionnez Inconnu ou Malicieux.
      Source Source qui effectue une recherche de menaces sur l’entrée de la liste de blocs, par exemple, ThreatCrowd...
      Période d’expiration La période d’expiration héritée par défaut de la liste de blocs. Vous pouvez remplacer cette valeur, mais uniquement lors de la création de l’entrée.

      0 indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous entrez 30 jours à 14h01 le 1er mai, l’entrée de la liste de blocage expirera à 14h01 le 31 mai. Cependant, le planificateur vérifie les entrées expirées à 00h00 tous les jours et modifie l’état de l’entrée en « expiré » à 00h00 le 1er juin.
    8. Cliquez sur Envoyer.
      Si vous avez modifié la période d’expiration par défaut de l’entrée de la liste de blocs, une boîte de dialogue de confirmation d’avertissement s’affiche indiquant que la période diffère de la liste de blocs sélectionnée.
      Message de période d’expiration
      Option Description
      Oui Confirme votre remplacement d’expiration, sauvegarde l’enregistrement et vous renvoie aux entrées de la liste de blocs Check Point. Si l’approbation par e-mail est configurée dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Non Annule le remplacement. À ce stade, vous pouvez modifier la valeur de la période d’expiration.

      Après avoir modifié la valeur, cliquez sur Soumettre pour revenir à la liste Entrées de bloc Check Point.
    9. Si ce n’est pas le cas, accédez aux entrées de la liste de demandes de blocs Check Point et notez que l’état de l’entrée est En attente.
      Entrée de liste prête pour approbation
      L’entrée est maintenant prête à être approuvée.