Trabalhando com listas de bloqueios
. ServiceNow Check Point Next Generation Threat PreventionA integração é compatível com listas de bloqueio que aceitam observáveis de IP, URL e domínio.
ServiceNow A lista de bloqueios configurada é um arquivo csv hospedado em um servidor web externo, que para esta integração é a instância da Now Platform. O feed de inteligência personalizado é configurado no gateway de check point, que extrai os endereços IP, URLs e domínios da Now Platform em um intervalo pré-configurado.
Esta integração oferece suporte a três tipos de listas de bloqueio:
- Endereço IP (isso inclui um endereço IP individual (somente IPv4) para lista de bloqueios e blocos CIDR (intervalos) de endereços para lista de permissões).
- URL
- Domínio
Observáveis compatíveis com Check Point NGTPintegração
A seção lista descrições dos observáveis compatíveis com esta integração e formatos de exemplo para cada tipo.
| Tipo de observável | Exemplos | Descrição |
|---|---|---|
| Domínio |
|
Curingas não são compatíveis. |
| Endereço IP | 95.153.103.54 (IPv4) | Representa um único endereço de interface distinto. A integração oferece suporte somente aos formatos IPv4 e CIDR (o formato CIDR só é compatível com a finalidade de permitir listagem). Para fins de lista de permissões, a integração tem suporte para observáveis de endereço IP, incluindo intervalos de CIDR (roteamento entre domínios sem classe), por exemplo, 95.153.100.0/22. Nota: Uma mensagem de erro é exibida quando você tenta anexar um único endereço IP a uma lista de bloqueios que você já permitiu listada como parte de um intervalo de CIDR. Por exemplo, o endereço único 95.153.103.54 faz parte do intervalo de CIDR representado por 95.153.100.0/22 (95.153.100.0-95.153.103.255). |
| URL |
|
Descrição - O URL HTTPS é formatado pela aplicação para cortar o caminho do URL e reter somente o nome do domínio. O NGTP do ponto de verificação depende da solicitação DE CONEXÃO HTTP para avaliar o tráfego da web e impor o bloqueio. Para solicitação DE CONEXÃO HTTPS, o URL inteiro não está visível na solicitação e somente o nome de domínio está visível. Quando um usuário bloqueia qualquer URL HTTPS com um caminho específico (exemplo; https://www.example.com/path), a aplicação corta o caminho automaticamente (www.example.com). A aplicação mantém o relacionamento entre o observável original e o URL formatado. Abaixo está a captura de tela da entrada da lista de bloqueios que mostra o URL formatado e o observável original. |
Para URLs HTTP com um caminho específico (por exemplo, http://www.example.com/path), o Check Point bloquearia o URL especificado, pois o URL inteiro está visível na solicitação DE CONEXÃO.