Übermitteln Sie Sperrlisteneinträge aus einem Security Incident für Check Point NGTP Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erkennbare Elemente, die an einen Security Incident-Datensatz angehängt sind, werden zur Genehmigung als Sperrlisteneinträge an verschiedene Sperrlisten übermittelt. Ein optionaler Genehmigungsprozess für Blocklisteneinträge ist Teil des vorkonfigurierten Workflows. Das Gateway importiert Blocklisteneinträge – IP-Adressen, URLs, Domänen –, die in Blocklisten enthalten sind.

    Vorbereitungen

    Erforderliche Rolle:
    • Security Incident-Analyst (sn_si.Analyst), um Blocklisteneinträge zu übermitteln.
    • Security Incident-Administrator (sn_si.admin) zum Genehmigen von Blocklisteneinträgen. Diese Berechtigung kann nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer mit der Rolle „sn_si.Analyst“ übermitteln Blockeinträge, indem sie einen Block für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein Sperrlisteneintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen, Und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf IOC anzeigen Zugehöriger Link.
      Zugehörige IOC-Liste anzeigen
    3. Wählen Sie in der zugehörigen Liste erkennbare Elemente die erkennbaren Elemente aus, die Sie blockieren möchten, und aus Aktionen für ausgewählte Zeilen Liste, wählen Sie aus Anforderung Blockieren .
      Aktion „Anforderung blockieren“
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Lupensymbol)
      Blockanforderungsimplementierung
    5. Wählen Sie in der Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der Eintrag erkennbares Element Typ (IP) mit dem Typ des erkennbaren Elements der Blockliste (IP) übereinstimmen.
      Implementierung der Integrationsfähigkeit
    6. Klicken Sie im Dialogfeld „Blockierungsanforderung“ mit dem Namen der Blockliste, der im Feld Implementierung angezeigt wird, auf Blockieren .
      Suche nach Blockanforderung
    7. Wählen Sie in der angezeigten Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der Eintrag erkennbares Element Typ (IP) mit dem Typ des erkennbaren Elements der Blockliste (IP) übereinstimmen.
      Implementierung der Integrationsfähigkeit
    8. Im Dialogfeld „Blockieranforderung“ mit dem Namen der Blockliste, der in angezeigt wird Implementierung Feld klicken Sie auf Blockieren .
      Suche nach Blockanforderung
    9. Navigieren zu Check Point – NGTP-Integration > Einträge der Sperranforderungsliste, Und klicken Sie auf Listeneinträge Für Blockanforderung .
      Listeneinträge für Blockanforderungen
    10. Klicken Sie in der Liste Einträge der Sperranforderungsliste für Prüfpunkte auf Ihr erkennbares Element im Eingabewert Spalte zum Öffnen des Datensatzes.
      In diesem Beispiel der Datensatz für 74.125.34.95 Wird angezeigt.
      Listeneinträge der Prüfpunkt-Blockierungsanforderung

      Der Status ist Ausstehend, das Kontrollkästchen aktiv ist deaktiviert, und die Arbeitsnotizen zeigen an, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorhanden ist. Diese Sperrlisteneintragsanforderung ist bereit zur Genehmigung.

      Das Symbol neben dem Feld „erkennbares Element“ ist ein Link zu ServiceNow AI Platform Tabelle des erkennbaren Elements.

      Der Wert im Feld „erkennbares Element“ (74.125.34.95) verknüpft mit der Tabelle „erkennbares Element“ und entspricht dem Format, das aus dem Ereignis „auslösende Incidents für Security Incidents Response“ übernommen wurde.