Créer une liste de blocs pour l’intégration Check Point NGTP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Créez une liste de blocs dans votre ServiceNow AI Platform instance. Une fois approuvées et activées, vous pouvez créer des entrées pour ces listes de blocs à partir d’observables déterminés comme malveillants sur les incidents de Réponse aux incidents de sécurité (SIR) de Now Platform et demander l’approbation pour les bloquer.

    Avant de commencer

    Rôle requis : administrateur des incidents de sécurité (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Créez la liste de blocs sur votre ServiceNow AI Platform instance afin que Check Point puisse importer des objets (adresses IP, URL, domaines) inclus dans la liste. Le flux de renseignements personnalisé est configuré sur Check Point Gateway qui extrait les adresses IP, les URL et les domaines de la Now Platform à un intervalle préconfiguré. Pour garantir le blocage des observables, la politique de prévention des menaces doit être configurée avec les lames antibot et antivirus activées.
    Remarque :
    Les figures de cette rubrique sont affichées avec les formulaires à onglets effacés dans Paramètres système.
    Paramètres système > formulaires

    Procédure

    1. Une fois l’installation de l’application terminée, accédez à Intégrations > Configurations d'intégration.
    2. Localisez la carte Check Point Next Generation Threat Prevention et cliquez sur Configurer.
      Carte d’intégration Check Point NGTP
      Remarque :
      Contenu privilégié et propriétaire utilisé avec l’autorisation de Check Point Software Technologies, Ltd.
    3. Cliquez sur Créer une nouvelle liste de blocages.
      Configuration Check Point NGTP
    4. Remplissez les champs du formulaire.
      Champ Description
      Nom Nom de la liste de demandes de blocs Check Point.

      Incluez le type d’observable (URL, IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de la liste de blocs par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets de liste de blocs sont mappés. Voici quelques exemples de noms de liste de blocage : IP de logiciel malveillant sortant ou URL d’hameçonnage sortant.
      Actives Cette case est décochée par défaut pour indiquer que la liste de blocs est inactive.

      Lorsqu’elle est inactive, la liste de blocs ne peut pas recevoir d’entrées supplémentaires.

      Lorsque la case à cocher est sélectionnée (lorsque la demande de changement est fermée ou que la demande de changement n’est pas générée), la liste de blocs est activée et disponible pour les entrées de la liste de blocage.
      Balise d'affichage La case à cocher est sélectionnée par défaut pour marquer automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur la liste de blocage. Lorsque cette option est sélectionnée, le champ « Balise pour les observables » est disponible sur le formulaire.
      Remarque :
      Un nom de balise est créé par défaut à partir de la valeur que vous entrez dans le champ Nom avec un préfixe Check Point, par exemple, Check Point-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Le nom de la balise est affiché dans le champ « Balise pour les observables », une fois la liste de blocs enregistrée.

      Lorsque la case est décochée, aucune balise n’est créée et le champ « Balise pour les observables » n’est pas disponible sur le formulaire.
      Type d'observable Sélectionnez un type d’observable accepté par cette liste de blocs : adresse IP (y compris CIDR pour la liste d’autorisation), URL ou domaine.
      Type de balise Balises disponibles dans la liste.

      Une liste de blocs est une liste d’observables que vous souhaitez que Check Point Next Generation Threat Prevention bloque.

      Une liste d’autorisation est une liste d’observables que vous ne souhaitez en aucun cas bloquer dans Check Point Next Generation Threat Prevention.

      Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur.
      Créer une demande de changement Cette case à cocher est sélectionnée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre ServiceNow AI Platform instance, qui sont jointes à l’enregistrement de la liste de blocages.

      La demande de changement est utilisée pour configurer l’URL de récupération de la liste de blocs dans la passerelle de pare-feu Check Point Next Generation.

      Cette option est recommandée si votre administrateur de pare-feu utilise également le pour modifier la politique ou la règle du ServiceNow AI Platform pare-feu. Si vous créez une demande, une fois qu’elle est fermée, la liste de blocs est automatiquement activée.

      Décochez la case pour activer manuellement la liste de blocs après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que le flux de renseignements personnalisé a été configuré sur toutes les passerelles Check Point.

      Lorsque la case Créer une demande de changement est décochée, le champ Demande de changement n’est pas disponible.
      Demander l'approbation Cette case à cocher est sélectionnée par défaut pour demander des approbations pour activer/supprimer des entrées de liste de blocs des listes de blocs. L’approbation est demandée aux utilisateurs disposant du rôle d’administrateur des incidents de sécurité (sn_si.admin). La demande d’approbation sera envoyée par e-mail aux approbateurs.

      Une fois l’approbation acceptée, l’entrée sera activée sur cette liste de blocage.

      Lorsque la case n’est pas cochée, les entrées de cette liste de blocs ne suivent pas le workflow d’approbation et sont directement activées sur la liste de blocage.
      Balise pour l’observable Ce champ s’affiche uniquement si la case Display tag (Balise d’affichage) est cochée. Le champ est automatiquement renseigné après l’enregistrement de la liste de blocs avec une valeur par défaut du champ Nom. Si la liste de blocage est créée avec le nom « URL du programme malveillant », le nom de la balise dérivée est « Liste de blocage – URL du programme malveillant »
      Demande de changement Lorsque la case Créer une demande de changement est cochée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois la liste de blocs enregistrée.

      Lorsque la case Créer une demande de changement est décochée, ce champ ne s’affiche pas.
      Description Description de la liste de blocs Check Point. Le nom contient généralement les types de sites et d’observables que vous vous attendez à voir figurer sur cette liste de blocs, et vous pouvez utiliser ce champ pour plus de détails.
      Période d'expiration (jours) Période d’expiration de la liste de blocage.

      0 (la valeur par défaut) indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez saisir une valeur minimale de 1, soit 24 heures, et il n’y a pas de valeur maximale.
      URL de récupération L’URL de récupération sera générée automatiquement, une fois la liste de blocs enregistrée. Pour configurer cette liste de blocs sur les passerelles Check Point, vous devez utiliser cette URL. Une fois cette URL configurée, Check Point extrait les observables à bloquer au format CSV.
      Liste de demandes de liste de blocs
    5. Cliquez sur Envoyer.
    6. Si la liste de demandes de blocs Check Point n’est pas affichée, accédez à Intégration Check Point NGTP > Listes de demandes de blocs.
      Listes de demandes de liste de blocs
      La nouvelle liste de blocs s’affiche. L’état de la liste de blocs est toujours inactif (faux), ce qui signifie que la liste de blocs n’est pas disponible pour accepter des entrées. Si Créer une demande de changement a été configuré, un message s’affiche indiquant qu’une demande de changement a été créée et que des tâches ont été créées dans votre ServiceNow AI Platform instance.
      Entrées de demandes de liste de blocs
    7. Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
      L’enregistrement de la liste de blocs s’affiche. Cet exemple montre une liste de blocage d’adresses IP sortantes de programmes malveillants. Les champs, options et liens suivants sont affichés dans le nouvel enregistrement après la soumission et décrits dans la table suivante.
      URL récupérée
      Champ Description
      URL de récupération d’e-mail Envoie par e-mail un avis indiquant que le lien Bloquer est disponible pour configuration à l’administrateur du pare-feu Check Point.
      URL de récupération Cette URL est utilisée pour configurer le flux d’intelligence personnalisé sur les passerelles Check Point.
      Remarque :
      Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations de récupération de la liste de blocs au bas de l’enregistrement.
      ServiceNow AI Platform Demande de changement Un lien vers l’enregistrement de demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de demande est affiché dans le champ Demande de changement.
      Mettre à jour Modifiez les données et mettez à jour les champs modifiables.
      Supprimer Supprimez l’enregistrement.
    8. Créez et ajoutez d’autres listes de blocs selon vos besoins.
      Les listes de blocs sont affichées sur la page des listes de demandes de blocs Check Point.

    Que faire ensuite

    Activez la liste de demandes de blocs manuellement ou avec une demande de ServiceNow AI Platform changement.