Envie entradas da lista de bloqueios de um incidente de segurança para Check Point NGTP integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Observáveis anexados a um registro de incidente de segurança são enviados para aprovação como entradas de lista de bloqueios para diferentes listas de bloqueios. Um processo de aprovação opcional para entradas da lista de bloqueios faz parte do fluxo de trabalho pré-configurado. O gateway importa entradas da lista de bloqueios (endereços IP, URLs, domínios) que estão incluídas nas listas de bloqueios.

    Antes de Iniciar

    Função necessária:
    • Analista de incidentes de segurança (sn_si.analyst) para enviar entradas da lista de bloqueios.
    • Administrador de incidentes de segurança (sn_si.admin) para aprovar entradas da lista de bloqueios. Esta autoridade pode ser atribuída conforme exigido pela sua organização.

    Por Que e Quando Desempenhar Esta Tarefa

    Usuários com a função sn_si.analyst enviam entradas de bloqueio solicitando um bloco em observáveis anexados a um registro de incidente de segurança. Uma vez enviada, uma entrada da Lista de bloqueios com status Pendente é gerada e enviada para aprovação. O exemplo a seguir mostra uma solicitação de bloco para um observável de URL.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentese clique em um registro de incidente de segurança para abri-lo.
    2. Clique em Mostrar IOC link relacionado.
      Mostrar lista relacionada ao IOC
    3. Na lista relacionada Observáveis, selecione os observáveis que você deseja bloquear e, em Ações nas linhas selecionadas , selecione Solicitação de bloqueio .
      Bloquear ação de solicitação
    4. Na caixa de diálogo exibida, clique no ícone de pesquisa ( Ícone de lupa)
      Implementação de solicitação de bloqueio
    5. Na lista, selecione a Lista de bloqueios à qual você deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável de entrada (IP) deve corresponder ao tipo de observável da lista de bloqueios (IP).
      Implementação da capacidade de integração
    6. Na caixa de diálogo Solicitação de bloqueio com o nome da Lista de bloqueios exibido no campo Implementação, clique em Bloco .
      Bloquear pesquisa de solicitação
    7. Na lista exibida, selecione a Lista de bloqueios à qual você deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável de entrada (IP) deve corresponder ao tipo de observável da lista de bloqueios (IP).
      Implementação da capacidade de integração
    8. Na caixa de diálogo Solicitação de bloqueio com o nome da Lista de bloqueios exibido em Implementação clique em Bloco .
      Bloquear pesquisa de solicitação
    9. Navegar até Integração de NGTP do Ponto de Verificação > Bloquear Entradas da Lista de Solicitaçõese clique em Bloquear entradas da lista de solicitações .
      Bloquear entradas da lista de solicitações
    10. Na lista Entradas da lista de solicitações de bloqueio do Check Point, clique no observável no Valor de entrada coluna para abrir o registro.
      Para este exemplo, o registro para 74.125.34.95 é exibido.
      Entradas da Lista de solicitações de bloqueio do Check Point

      O status é Pendente, a caixa de seleção Ativo está desmarcada e as anotações de trabalho mostram que há uma solicitação para adicionar o observável. Esta solicitação de entrada da lista de bloqueios está pronta para aprovação.

      O ícone ao lado do campo observável é um link para ServiceNow AI Platform Tabela observável.

      O valor no campo Observável (74.125.34.95) é vinculado à tabela Observável e corresponde ao formato que foi trazido do evento de acionamento de incidentes de Resposta a incidentes de segurança.