Trabalhando com listas de bloqueios

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • . ServiceNow Check Point Next Generation Threat PreventionA integração é compatível com listas de bloqueio que aceitam observáveis de IP, URL e domínio.

    ServiceNow A lista de bloqueios configurada é um arquivo csv hospedado em um servidor web externo, que para esta integração é a instância da Now Platform. O feed de inteligência personalizado é configurado no gateway de check point, que extrai os endereços IP, URLs e domínios da Now Platform em um intervalo pré-configurado.

    Esta integração oferece suporte a três tipos de listas de bloqueio:

    • Endereço IP (isso inclui um endereço IP individual (somente IPv4) para lista de bloqueios e blocos CIDR (intervalos) de endereços para lista de permissões).
    • URL
    • Domínio

    Observáveis compatíveis com Check Point NGTPintegração

    A seção lista descrições dos observáveis compatíveis com esta integração e formatos de exemplo para cada tipo.

    Tipo de observável Exemplos Descrição
    Domínio
    • example.com
    • mail.example.com
    		 Curingas não são compatíveis.
    Endereço IP 95.153.103.54 (IPv4) Representa um único endereço de interface distinto. A integração oferece suporte somente aos formatos IPv4 e CIDR (o formato CIDR só é compatível com a finalidade de permitir listagem).
    Para fins de lista de permissões, a integração tem suporte para observáveis de endereço IP, incluindo intervalos de CIDR (roteamento entre domínios sem classe), por exemplo, 95.153.100.0/22.
    Nota:
    Uma mensagem de erro é exibida quando você tenta anexar um único endereço IP a uma lista de bloqueios que você já permitiu listada como parte de um intervalo de CIDR. Por exemplo, o endereço único 95.153.103.54 faz parte do intervalo de CIDR representado por 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.example.com
    • http://www.example.com
    		 Descrição - O URL HTTPS é formatado pela aplicação para cortar o caminho do URL e reter somente o nome do domínio.

    O NGTP do ponto de verificação depende da solicitação DE CONEXÃO HTTP para avaliar o tráfego da web e impor o bloqueio. Para solicitação DE CONEXÃO HTTPS, o URL inteiro não está visível na solicitação e somente o nome de domínio está visível. Quando um usuário bloqueia qualquer URL HTTPS com um caminho específico (exemplo; https://www.example.com/path), a aplicação corta o caminho automaticamente (www.example.com). A aplicação mantém o relacionamento entre o observável original e o URL formatado. Abaixo está a captura de tela da entrada da lista de bloqueios que mostra o URL formatado e o observável original.

    Entrada da lista de bloqueios

    Para URLs HTTP com um caminho específico (por exemplo, http://www.example.com/path), o Check Point bloquearia o URL especificado, pois o URL inteiro está visível na solicitação DE CONEXÃO.

    Entradas da lista de bloqueios para URLs HTTP