Senden Sie Sperrlisteneinträge direkt aus der Sperrlisteneintragstabelle

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als schädlich eingestuft wurden und keinem bestimmten Now Platform -Security Incident zugeordnet sind, übermitteln Sie Sperrlisteneinträge aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: Security Incident-Administrator (sn_si.analyst)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, das Sie als schädlich eingestuft haben, oder ein erkennbares Element zulassen möchten, das Sie als nicht schädlich eingestuft haben und das erkennbare Element keinem bestimmten Security Incident-Datensatz der Now Platform zugeordnet ist, übermitteln Sie Sperrlisteneinträge direkt aus der Sperrliste. Beispiele für diese Arten von Sperrlisteneinträgen können URLs oder Domänen für bestimmte Websites sein.

    Prozedur

    1. Navigieren zu Alle > Check Point – NGTP-Integration > Anforderungseinträge blockierenan.
      Einträge der Sperranforderungsliste
    2. Klicken Sie auf das Modul „Sperranforderungslisten“.
    3. Klicken Sie in der Liste Einträge der Sperranforderungsliste für Check Point auf Neu.
    4. Geben Sie im Feld Eingabewert einen Wert für Ihr erkennbares Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      • Die übrigen Felder des Formulars werden automatisch ausgefüllt.
      • Es wird ein übereinstimmendes erkennbares Element gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die Sperrliste aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Formular auszufüllen. Es wurde kein passendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie anschließend die Sperrliste aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz eines erkennbaren Elements wird erstellt. Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.
      Neuer Datensatz
    5. Klicken Sie auf das Suchsymbol, um die Sperrliste auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
    7. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Wenn eine Meldung angezeigt wird, in der Sie aufgefordert werden, die restlichen Informationen manuell einzugeben, füllen Sie die Felder aus.
      Neuer Datensatz ohne übereinstimmende erkennbare Elemente
      Feld Beschreibung
      Erkennbarer Typ Erkennbarer Typ, der vom Dialogfeld unterstützt wird.
      Sperrlistenname Sperrliste, der Sie den Eintrag hinzufügen möchten.
      Hinweis:
      Wählen Sie die Sperrliste aus, an die Sie den Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standardeinstellung ist ausgewählt) Suchergebnis oder -quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, in der die Ergebnisse gefunden wurden. Diese Felder werden normalerweise gefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Suchquelle, und Sie füllen diese Felder in manuell aus.
      Suchergebnis Wählen Sie Unbekannt oder Böswillig aus.
      Quelle Quelle, die eine Bedrohungssuche für den Sperrlisteneintrag durchführt, z. B. ThreatCrowd usw
      Ablaufzeitraum Der standardmäßig von der Sperrliste geerbte Ablaufzeitraum. Sie können diesen Wert überschreiben, jedoch nur während der Erstellung des Eintrags.

      0 gibt an, dass der Sperrlisteneintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben. Es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai um 14:01 Uhr 30 Tage eingeben, läuft der Sperrlisteneintrag am 31. Mai um 14:01 Uhr ab. Der Zeitplaner sucht jedoch jeden Tag um 00:00 Uhr nach abgelaufenen Einträgen und ändert den Status des Eintrags am 1. Juni um 00:00 Uhr in „Abgelaufen“.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des Sperrlisteneintrags geändert haben, wird ein Bestätigungsdialogfeld mit einer Warnung angezeigt, das Sie darauf hinweist, dass der Zeitraum von der ausgewählten Sperrliste abweicht.
      Nachricht über den Ablaufzeitraum
      Option Beschreibung
      Ja Bestätigt Ihre Ablaufüberschreibung, speichert den Datensatz und leitet Sie zu den Check Point-Sperrlisteneinträgen zurück. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für den Ablaufzeitraumändern.

      Nachdem Sie den Wert geändert haben, klicken Sie auf Absenden, um zur Liste der Prüfpunkt-Blockeinträge zurückzukehren.
    9. Wird er nicht angezeigt, navigieren Sie zu Check Point Sperranforderungslisteneinträge, und beachten Sie, dass der Status für den Eintrag Ausstehendist.
      Listeneintrag zur Genehmigung bereit
      Der Eintrag ist jetzt zur Genehmigung bereit.