Envie entradas da lista de bloqueios diretamente da tabela de entrada da lista de bloqueios
Para observáveis determinados como mal-intencionados e não associados a um incidente de segurança específico da Now Platform, você envia entradas da lista de bloqueios.
Antes de Iniciar
Função necessária: Administrador de incidentes de segurança (sn_si.analista)
Por Que e Quando Desempenhar Esta Tarefa
Quando você quiser bloquear um observável que você determinou como malicioso ou permitir que um observável que você determinou como não malicioso, e o observável não estiver associado a um registro de incidente de segurança específico da Now Platform, envie as entradas da Lista de bloqueios diretamente da lista de bloqueios. Exemplos desses tipos de entradas da lista de bloqueios podem ser URLs ou domínios de sites específicos.
Procedimento
-
Navegar até .
-
Em Valor de entrada insira um valor para o observável.
Os dois resultados possíveis desta entrada:
- Os campos restantes no formulário são preenchidos automaticamente.
- Um observável correspondente foi encontrado e uma mensagem é exibida informando que existe um observável correspondente. Selecione a Lista de bloqueios à qual você deseja anexar esta entrada e clique em Enviar. Selecione a Lista de bloqueios à qual você deseja anexar esta entrada antes de definir o Período de expiração.
-
Se você tiver a aprovação de e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada.
Se for exibida uma mensagem solicitando que você preencha o restante das informações manualmente, preencha os campos.
Campo Descrição Tipo de observável Tipo de observável compatível com a caixa de diálogo. Nome da lista de bloqueios Lista de bloqueios para a qual você deseja inserir. Nota:Selecione a Lista de bloqueios à qual você deseja anexar a entrada antes de definir o Período de expiração.Ativar substituição (o padrão é selecionado) Origem ou resultado da pesquisa. Quando configurado, permite que você insira um Resultado de pesquisa e a origem usada para encontrar os resultados. Normalmente, esses campos são preenchidos quando um registro de incidente de segurança é criado. Nesse caso, não há resultado ou origem de pesquisa e você preenche esses campos manualmente. Resultado da pesquisa Selecione Desconhecido ou Mal-intencionado . Origem Origem que executa uma pesquisa de ameaça na entrada da lista de bloqueios, por exemplo, ThreatCrowd etc. Período de expiração O período de expiração herdado da Lista de bloqueios por padrão. Você pode substituir este valor, mas somente durante a criação da entrada. 0 indica que a entrada da lista de bloqueios nunca expira.
Se você mudar este valor, esta entrada ficará ativa para o número de dias que você inserir. Você pode inserir um valor mínimo de 1 e não há valor máximo.
Por exemplo, se você inserir 30 dias às 2:01 do dia 1 de maio, a entrada da Lista de bloqueios expirará às 2:01 do dia 31 de maio. No entanto, o agendador verifica se há entradas expiradas às 00:00 todos os dias e muda o estado da entrada para "Expirado" em 00:00 de junho de 1.
-
Clique em Enviar.
Se você tiver alterado o período de expiração padrão da entrada da lista de bloqueios, uma caixa de diálogo de confirmação de aviso será exibida indicando que o período é diferente da lista de bloqueios selecionada.
Opção Descrição Sim Confirma sua substituição de expiração, salva o registro e retorna você para as entradas da lista de bloqueios de ponto de verificação. Se você tiver a aprovação de e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada. Não Cancela a substituição. Neste ponto, você pode alterar o valor de Período de expiração . Depois de alterar o valor, clique em Enviar para retornar à lista de entradas de bloco do ponto de verificação.
-
Se não for exibido, navegue até Entradas da lista de solicitações de bloqueio do ponto de verificação e observe que o status da entrada é Pendente .
A entrada agora está pronta para aprovação.