Senden Sie Sperrlisteneinträge direkt aus der Sperrlisteneintragstabelle

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als böswillig eingestuft wurden und nicht mit einem bestimmten Now Platform Security Incident verknüpft sind, übermitteln Sie Sperrlisteneinträge aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: Security Incident Administrator (sn_si.analyst)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, von dem Sie festgestellt haben, dass es böswillig ist, oder ein erkennbares Element zulassen möchten, von dem Sie festgestellt haben, dass es nicht böswillig ist, und das erkennbare Element keinem bestimmten Now Platform-Security Incident-Datensatz zugeordnet ist, übermitteln Sie Sperrlisteneinträge direkt aus der Sperrliste. Beispiele für diese Arten von Sperrlisteneinträgen sind URLs oder Domänen für bestimmte Websites.

    Prozedur

    1. Navigieren zu Alle > Check Point – NGTP-Integration > Anforderungseinträge sperren.
      Einträge der Sperranforderungsliste
    2. Klicken Sie auf das Modul Sperranforderungslisten.
    3. Klicken Sie in der Liste „Check Point – Sperranforderungslisteneinträge“ auf Neu.
    4. Geben Sie im Feld Eingabewert einen Wert für das erkennbare Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      • Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      • Ein übereinstimmendes erkennbares Element wird gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Eine Nachricht wird angezeigt, in der Sie aufgefordert werden, das Formular auszufüllen. Es wurde kein passendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die Sperrliste aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz für erkennbare Elemente wird erstellt. Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.
      Neuer Datensatz
    5. Klicken Sie auf das Suchsymbol, um die Sperrliste auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
    7. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Wenn eine Meldung angezeigt wird, in der Sie aufgefordert werden, die restlichen Informationen manuell einzugeben, füllen Sie die Felder aus.
      Neuer Datensatz ohne übereinstimmende erkennbare Elemente
      Feld Beschreibung
      Erkennbarer Typ Typ des erkennbaren Elements, das im Dialogfeld unterstützt wird.
      Name der Sperrliste Sperrliste, zu der der Eintrag gehören soll.
      Hinweis:
      Wählen Sie die Sperrliste aus, an die Sie den Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder -quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Unbekannt oder Böswillig aus.
      Quelle Quelle, die eine Bedrohungssuche für den Sperrlisteneintrag durchführt, z. B. ThreatCrowd usw
      Ablaufzeitraum Der Ablaufzeitraum, der standardmäßig von der Sperrliste geerbt wird. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben. Es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai um 14:01 Uhr 30 Tage eingeben, läuft der Sperrlisteneintrag am 31. Mai um 14:01 Uhr ab. Der Planer prüft jedoch jeden Tag um 00:00 Uhr auf abgelaufene Einträge und ändert den Status des Eintrags am 1. Juni um 00:00 Uhr in „Abgelaufen“.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des Sperrlisteneintrags geändert haben, wird ein Bestätigungsdialogfeld mit der Meldung angezeigt, dass sich der Zeitraum von der ausgewählten Sperrliste unterscheidet.
      Nachricht über den Ablaufzeitraum
      Option Beschreibung
      Ja Bestätigt Ihre Überschreibung des Ablaufs, speichert den Datensatz und kehrt zu den Check Point-Sperrlisteneinträgen zurück. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für den Ablaufzeitraumändern.

      Klicken Sie nach dem Ändern des Werts auf Absenden, um zur Liste Check Point Block Einträge zurückzukehren.
    9. Wenn nicht angezeigt, navigieren Sie zu Check Point Sperranforderungslisteneinträgeund beachten Sie, dass der Status für den Eintrag Ausstehendlautet.
      Listeneintrag zur Genehmigung bereit
      Der Eintrag ist jetzt zur Genehmigung bereit.