Enviar entradas da lista de bloqueios de um incidente de segurança para a integração Check Point NGTP

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Os observáveis anexados a um registro de incidente de segurança são enviados para aprovação como entradas da Lista de bloqueios para diferentes Listas de bloqueios. Um processo de aprovação opcional para entradas da Lista de bloqueios faz parte do fluxo de trabalho pré-configurado. O Gateway importa entradas da Lista de bloqueios - endereços IP, URLs, domínios - que estão incluídas nas Listas de bloqueios.

    Antes de Iniciar

    Função necessária:
    • Analista de incidentes de segurança (sn_si.analyst) para enviar entradas da lista de bloqueios.
    • Administrador de incidentes de segurança (sn_si.admin) para aprovar entradas da lista de bloqueios. Esta autoridade pode ser atribuída conforme exigido pela sua organização.

    Por Que e Quando Desempenhar Esta Tarefa

    Usuários com a função sn_si.analyst enviam entradas de bloqueio solicitando um bloqueio em observáveis anexados a um registro de incidente de segurança. Depois de enviada, uma entrada da Lista de bloqueios com um status Pendente é gerada e enviada para aprovação. O exemplo a seguir mostra uma solicitação de bloqueio para um observável de URL.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentese clique em um registro de incidente de segurança para abri-lo.
    2. Clique no link relacionado Mostrar IoC.
      Mostrar lista relacionada de IoC
    3. Na lista relacionada Observáveis, selecione os observáveis que você deseja bloquear e, na lista Ações nas linhas selecionadas, selecione Bloquear solicitação.
      Bloquear ação de solicitação
    4. Na caixa de diálogo exibida, clique no ícone de pesquisa (ícone de lupa)
      Implementação de solicitação de bloqueio
    5. Na lista, selecione a Lista de bloqueios à qual deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável entrada (IP) deve corresponder ao tipo de observável lista de bloqueios (IP).
      Implementação da capacidade de integração
    6. Na caixa de diálogo Solicitação de bloqueio com o nome da Lista de bloqueios exibido no campo Implementação, clique em Bloquear.
      Pesquisa de solicitação de bloqueio
    7. Na lista exibida, selecione a Lista de bloqueios à qual deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável entrada (IP) deve corresponder ao tipo de observável lista de bloqueios (IP).
      Implementação da capacidade de integração
    8. Na caixa de diálogo Solicitação de bloqueio com o nome da Lista de bloqueios exibido no campo Implementação, clique em Bloquear.
      Pesquisa de solicitação de bloqueio
    9. Navegar até Integração de NGTP do Ponto de Verificação > Bloquear Entradas da Lista de Solicitaçõese clique em Entradas da lista de solicitação de bloqueio.
      Entradas da lista de solicitações de bloqueio
    10. Na lista Entradas da lista de solicitações de bloqueio do Check Point, clique no observável na coluna Valor de entrada para abrir o registro.
      Para este exemplo, o registro para 74.125.34.95 é exibido.
      as entradas da lista de solicitações de bloqueio do Check Point

      O status é Pendente, a caixa de seleção Ativo está desmarcada e as anotações de trabalho mostram que há uma solicitação para adicionar o observável. Esta solicitação de entrada da lista de bloqueios está pronta para aprovação.

      O ícone ao lado do campo Observável é um link para a tabela Observável da Now Platform.

      O valor no campo Observável (74.125.34.95) está vinculado à tabela Observável e corresponde ao formato que foi trazido do evento de acionamento de incidente do Security Incident Response.