Envie entradas da lista de bloqueios de um incidente de segurança para Check Point NGTPintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Os observáveis anexados a um registro de incidente de segurança são enviados para aprovação como entradas da lista de bloqueios para diferentes listas de bloqueios. Um processo de aprovação opcional para entradas da lista de bloqueios faz parte do fluxo de trabalho pré-configurado. O gateway importa entradas da lista de bloqueios (endereços IP, URLs, domínios) que estão incluídas nas listas de bloqueios.

    Antes de Iniciar

    Função necessária:
    • Analista de incidentes de segurança (sn_si.analista) para enviar entradas da lista de bloqueios.
    • O administrador de incidentes de segurança (sn_si.admin) para aprovar entradas da lista de bloqueios. Essa autoridade pode ser atribuída conforme exigido pela sua organização.

    Por Que e Quando Desempenhar Esta Tarefa

    Os usuários com a função sn_si.analista enviam entradas de bloqueio solicitando um bloqueio em observáveis anexados a um registro de incidente de segurança. Uma vez enviada, uma entrada da lista de bloqueios com status Pendente é gerada e enviada para aprovação. O exemplo a seguir mostra uma solicitação de bloco para um observável de URL.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentese clique em um registro de incidente de segurança para abri-lo.
    2. Clique em Mostrar IOC link relacionado.
      Mostrar lista relacionada ao IOC
    3. Na lista relacionada Observáveis, selecione os observáveis que você deseja bloquear e, em Ações nas linhas selecionadas , selecione Solicitação de bloqueio .
      Bloquear ação de solicitação
    4. Na caixa de diálogo exibida, clique no ícone de pesquisa ( Ícone de lupa)
      Bloquear implementação de solicitação
    5. Na lista, selecione a Lista de bloqueios à qual você deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável de entrada (IP) deve corresponder ao tipo de observável da lista de bloqueios (IP).
      Implementação da capacidade de integração
    6. Na caixa de diálogo Solicitação de bloqueio com o nome da lista de bloqueios exibido no campo Implementação, clique em Bloco .
      Bloquear pesquisa de solicitação
    7. Na lista exibida, selecione a Lista de bloqueios à qual você deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável de entrada (IP) deve corresponder ao tipo de observável da lista de bloqueios (IP).
      Implementação da capacidade de integração
    8. Na caixa de diálogo Solicitação de bloqueio com o nome da lista de bloqueios exibido em Implementação clique em Bloco .
      Bloquear pesquisa de solicitação
    9. Navegar até Integração de NGTP do Ponto de Verificação > Bloquear Entradas da Lista de Solicitaçõese clique em Entradas da lista de solicitações de bloqueio .
      Entradas da lista de solicitações de bloqueio
    10. Na lista Entradas da lista de solicitações de bloqueio do ponto de verificação, clique no observável no Valor de entrada coluna para abrir o registro.
      Para este exemplo, o registro para 74.125.34.95 é exibido.
      As entradas da lista de solicitações de bloqueio do ponto de verificação

      O status é Pendente, a caixa de seleção Ativo está desmarcada e as anotações de trabalho mostram que há uma solicitação para adicionar o observável. Esta solicitação de entrada da lista de bloqueios está pronta para aprovação.

      O ícone ao lado do campo Observável é um link para a tabela Observável da Now Platform.

      O valor no campo Observável (74.125.34.95) vincula-se à tabela do observável e corresponde ao formato trazido do evento de acionamento de incidentes da Resposta a incidentes de segurança.