Senden Sie Sperrlisteneinträge aus einem Security Incident für die Check Point NGTP -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Erkennbare Elemente, die an einen Security Incident-Datensatz angehängt sind, werden als Sperrlisteneinträge für verschiedene Sperrlisten zur Genehmigung übermittelt. Ein optionaler Genehmigungsprozess für Sperrlisteneinträge ist Teil des vorkonfigurierten Workflows. Das Gateway importiert Sperrlisteneinträge – IP-Adressen, URLs, Domänen –, die in Sperrlisten enthalten sind.

    Vorbereitungen

    Erforderliche Rolle:
    • Security Incident-Analyst (sn_si.analyst) zum Senden von Sperrlisteneinträgen.
    • Security Incident-Administrator (sn_si.admin), um Sperrlisteneinträge zu genehmigen. Diese Berechtigung kann nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer mit der Rolle „sn_si.analyst“ übermitteln Einträge zum Blockieren von Einträgen, indem sie einen Block für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein Sperrlisteneintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockierungsanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen, und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
      Zeigt zugehörige IoC-Liste an
    3. Wählen Sie in der zugehörigen Liste „Erkennbare Elemente“ die erkennbaren Elemente aus, die Sie blockieren möchten, und wählen Sie in der Liste Aktionen für ausgewählte Zeilen die Option Blockierungsanforderungaus.
      Anforderungsaktion blockieren
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Lupensymbol).
      Implementierung von Blockanforderungen
    5. Wählen Sie in der Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Elementtyp des Eintrags (IP) mit dem erkennbaren Elementtyp der Sperrliste übereinstimmen.
      Implementierung der Integrationsfähigkeit
    6. Klicken Sie im Dialogfeld Sperranforderungmit dem Sperrlistennamen, der im Feld Implementierung angezeigt wird, auf Sperren .
      Suche nach Blockierungsanforderungen
    7. Wählen Sie in der angezeigten Liste die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Elementtyp des Eintrags (IP) mit dem erkennbaren Elementtyp der Sperrliste übereinstimmen.
      Implementierung der Integrationsfähigkeit
    8. Klicken Sie im Dialogfeld Sperranforderung mit dem Sperrlistennamen, der im Feld Implementierungangezeigt wird, auf Sperren .
      Suche nach Blockierungsanforderungen
    9. Navigieren zu Check Point – NGTP-Integration > Einträge der Sperranforderungslisteund klicken Sie auf Einträge der Anforderungsliste sperren.
      Einträge der Anforderungsliste blockieren
    10. Klicken Sie in der Liste Einträge der Sperranforderungsliste für Check Point in der Spalte Eintragswert auf das erkennbare Element, um den Datensatz zu öffnen.
      In diesem Beispiel wird der Datensatz für 74.125.34.95 angezeigt.
      Einträge der Sperranforderungsliste für Check Point

      Der Status lautet Ausstehend, das Kontrollkästchen Aktiv ist deaktiviert, und in den Arbeitsnotizen wird angezeigt, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorhanden ist. Diese Anforderung für den Sperrlisteneintrag ist zur Genehmigung bereit.

      Das Symbol neben dem Feld „Erkennbares Element“ ist ein Link zur Tabelle „Erkennbares Element“ der Now Platform.

      Der Wert im Feld „Erkennbares Element“ (74.125.34.95) ist mit der Tabelle „Erkennbares Element“ verknüpft und entspricht dem Format, das aus dem Security Incident Response-Incident-auslösenden Ereignis übernommen wurde.