Senden Sie Sperrlisteneinträge aus einem Security Incident für die Check Point NGTP -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • An einen Security Incident-Datensatz angehängte erkennbare Elemente werden als Sperrlisteneinträge in verschiedene Sperrlisten zur Genehmigung übermittelt. Ein optionaler Genehmigungsprozess für Sperrlisteneinträge ist Teil des vorkonfigurierten Workflows. Das Gateway importiert Sperrlisteneinträge (IP-Adressen, URLs, Domänen), die in Sperrlisten enthalten sind.

    Vorbereitungen

    Erforderliche Rolle:
    • Security Incident Analyst (sn_si.analyst), um Sperrlisteneinträge zu übermitteln.
    • Security Incident-Administrator (sn_si.admin), um Sperrlisteneinträge zu genehmigen. Diese Berechtigung kann nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer mit der Rolle „sn_si.analyst“ übermitteln Sperreinträge, indem sie eine Sperre für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein Sperrlisteneintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen, und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
      Zugehörige IoC-Liste anzeigen
    3. Wählen Sie in der zugehörigen Liste „Erkennbare Elemente“ die zu blockierenden erkennbaren Elemente aus, und wählen Sie in der Liste Aktionen für ausgewählte Zeilen die Option Anforderungblockieren aus.
      Blockanforderungsaktion
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Lupensymbol).
      Blockanforderungsimplementierung
    5. Wählen Sie in der Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Typ des Eintrags (IP) mit dem erkennbaren Typ der Sperrliste (IP) übereinstimmen.
      Implementierung der Integrationsfähigkeit
    6. Klicken Sie im Dialogfeld Sperranforderungmit dem Namen der Sperrliste im Feld Implementierung auf Sperren.
      Blockanforderungssuche
    7. Wählen Sie in der angezeigten Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Typ des Eintrags (IP) mit dem erkennbaren Typ der Sperrliste (IP) übereinstimmen.
      Implementierung der Integrationsfähigkeit
    8. Klicken Sie im Dialogfeld Sperranforderung mit dem Namen der Sperrliste im Feld Implementierungauf Sperren.
      Blockanforderungssuche
    9. Navigieren zu Check Point – NGTP-Integration > Einträge der Sperranforderungsliste, und klicken Sie auf Sperranforderungslisteneinträge.
      Einträge der Sperranforderungsliste
    10. Klicken Sie in der Liste Check Point Sperranforderungsliste Einträge in der Spalte Eingabewert auf das erkennbare Element, um den Datensatz zu öffnen.
      In diesem Beispiel wird der Datensatz für 74.125.34.95 angezeigt.
      die Check Point-Sperranforderungslisteneinträge

      Der Status lautet Ausstehend, das Kontrollkästchen Aktiv ist deaktiviert, und die Arbeitsnotizen zeigen an, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorliegt. Diese Sperrlisteneintragsanforderung ist zur Genehmigung bereit.

      Das Symbol neben dem Feld „Erkennbares Element“ ist ein Link zur Tabelle „Erkennbares Element“ der Now Platform.

      Der Wert im Feld „Erkennbares Element“ (74.125.34.95) ist mit der Tabelle „Erkennbares Element“ verknüpft und stimmt mit dem Format überein, das aus dem Security Incident Response-Incident-auslösenden Event übernommen wurde.