Soumettre des entrées de liste de blocs à partir d’un incident de sécurité pour l’intégration Check Point NGTP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Les observables joints à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste de blocs sur différentes listes de blocs. Un processus d’approbation facultatif pour les entrées de la liste de blocs fait partie du workflow préconfiguré. La passerelle importe les entrées de la liste de blocs (adresses IP, URL, domaines) qui sont incluses dans les listes de blocage.

    Avant de commencer

    Rôle requis :
    • Analyste des incidents de sécurité (sn_si.analyst) pour soumettre les entrées de la liste de blocs.
    • L’administrateur des incidents de sécurité (sn_si.admin) doit approuver les entrées de la liste de blocs. Cette autorité peut être affectée à la demande de votre organisation.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs disposant du rôle sn_si.analyst soumettent des entrées de bloc en demandant un blocage sur les observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée de liste de blocs avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
    2. Cliquez sur le lien connexe Afficher les IoC .
      Afficher la liste connexe IoC
    3. Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
      Action de demande de bloc
    4. Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône de loupe)
      Implémentation de demande de bloc
    5. Dans la liste, sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable (IP) d’entrée doit correspondre au type d’observable (IP) de la liste de blocs.
      Implémentation de l’option d’intégration
    6. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation, cliquez sur Bloquer.
      Recherche de demande de bloc
    7. Dans la liste qui s’affiche, sélectionnez la liste de blocs à laquelle vous souhaitez attacher cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable (IP) d’entrée doit correspondre au type d’observable (IP) de la liste de blocs.
      Implémentation de l’option d’intégration
    8. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation , cliquez sur Bloquer.
      Recherche de demande de bloc
    9. Accédez à la Intégration Check Point NGTP > Entrées de la liste de demandes de blocs, puis cliquez sur Bloquer les entrées de la liste des demandes.
      Entrées de la liste de demandes de blocs
    10. Dans la liste des entrées de la liste de demandes de blocs Check Point, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.
      Pour cet exemple, l’enregistrement 74.125.34.95 s’affiche.
      les entrées de la liste de demandes de blocs Check Point

      L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée de la liste de blocs est prête à être approuvée.

      L’icône en regard du champ Observable est un lien vers la ServiceNow AI Platform table Observable.

      La valeur du champ Observable (74.125.34.95) est liée à la table Observable et correspond au format qui a été apporté à partir de l’événement déclencheur d’incident de Réponse aux incidents de sécurité.