Arbeiten mit Sperrlisten

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Die ServiceNow Check Point Next Generation Threat Prevention Integration unterstützt Sperrlisten, die erkennbare IP-, URL- und Domänenelemente akzeptieren.

    ServiceNow Die konfigurierte Sperrliste von ist eine CSV-Datei, die auf einem externen Webserver gehostet wird, der für diese Integration die Now Platform-Instanz ist. Der anwenderdefinierte Intelligenzfeed wird auf dem Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen in vorkonfigurierten Intervallen von Now Platform abruft.

    Diese Integration unterstützt drei Arten von Sperrlisten:

    • IP-Adresse (Dies umfasst eine einzelne IP-Adresse (nur IPv4) für die Sperrliste und CIDR-Blöcke (Bereiche) von Adressen für die Allow-Liste).
    • URL
    • Domäne

    Von der Check Point NGTP -Integration unterstützte erkennbare Elemente

    Der Abschnitt enthält Beschreibungen der von dieser Integration unterstützten erkennbaren Elemente und Beispielformate für jeden Typ.

    Erkennbarer Typ Beispiele Beschreibung
    Domäne
    • example.com
    • mail.example.com
    		 Platzhalter werden nicht unterstützt.
    IP-Adresse 95.153.103.54 (IPv4) Stellt eine einzelne, eindeutige Schnittstellenadresse dar. Die Integration unterstützt nur IPv4- und CIDR-Formate (CIDR-Format wird nur für Zulassungslisten unterstützt).
    Zum Zweck der Zulassungsliste bietet die Integration Unterstützung für erkennbare IP-Adressen einschließlich CIDR-Bereichen (Classless Inter-Domain Routing), z. B. 95.153.100.0/22.
    Hinweis:
    Wenn Sie versuchen, eine einzelne IP-Adresse an eine Sperrliste anzuhängen, die Sie bereits als Teil eines CIDR-Bereichs zugelassen haben, wird eine Fehlermeldung angezeigt. Zum Beispiel ist die einzelne Adresse 95.153.103.54 Teil des CIDR-Bereichs 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.example.com
    • http://www.example.com
    		 Beschreibung: Die HTTPS-URL wird von der Anwendung formatiert, um den Pfad aus der URL zu kürzen und nur den Domänennamen beizubehalten.

    Check Point NGTP verwendet die HTTP CONNECT-Anforderung, um den Webdatenverkehr auszuwerten und die Blockierung zu erzwingen. Bei der HTTPS CONNECT-Anforderung ist nicht die gesamte URL in der Anforderung sichtbar, sondern nur der Domänenname. Wenn ein Anwender eine HTTPS-URL mit einem bestimmten Pfad blockiert (Beispiel: https://www.beispiel.com/path), kürzt die Anwendung den Pfad automatisch (www.beispiel.com). Die Anwendung verwaltet die Beziehung zwischen dem ursprünglichen erkennbaren Element und der formatierten URL. Unten sehen Sie den Screenshot des Sperrlisteneintrags, der die formatierte URL und das ursprüngliche erkennbare Element zeigt.

    Sperrlisteneintrag

    Bei HTTP-URLs mit einem bestimmten Pfad (z. B. http://www.example.com/path) blockiert Check Point die angegebene URL, da die gesamte URL in der CONNECT-Anforderung sichtbar ist.

    Sperrlisteneinträge für HTTP-URLs