Soumettre les entrées de la liste de blocs à partir d’un incident de sécurité pour l’intégration Check Point NGTP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les observables associés à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste de blocs à différentes listes de blocs. Un processus d’approbation facultatif pour les entrées de la liste de blocs fait partie du workflow préconfiguré. La passerelle importe les entrées de la liste de blocs (adresses IP, URL, domaines) qui sont incluses dans les listes de blocage.

    Avant de commencer

    Rôle requis :
    • Analyste des incidents de sécurité (sn_si.analyst) pour soumettre des entrées de liste de blocage.
    • Administrateur d’incident de sécurité (sn_si.admin) pour approuver les entrées de la liste de blocage. Cette autorité peut être affectée selon les besoins de votre organisation.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs disposant du rôle sn_si.analyst soumettent des entrées de bloc en demandant un blocage sur les observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée de liste de blocs avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
    2. Cliquez sur le lien connexe Afficher l’IoC .
      Afficher la liste connexe IoC
    3. Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
      Action de demande de bloc
    4. Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône de loupe)
      Implémentation de la demande de bloc
    5. Dans la liste, sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (IP) doit correspondre au type d’observable (IP) de la liste de blocs.
      Implémentation de l’option d’intégration
    6. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation, cliquez sur Bloquer.
      Recherche de demande de bloc
    7. Dans la liste qui s’affiche, sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (IP) doit correspondre au type d’observable (IP) de la liste de blocs.
      Implémentation de l’option d’intégration
    8. Dans la boîte de dialogue Demande de bloc avec le nom de la liste de blocs affiché dans le champ Implémentation , cliquez sur Bloquer.
      Recherche de demande de bloc
    9. Accédez à la Intégration Check Point NGTP > Entrées de la liste de demandes de blocset cliquez sur Entrées de liste de demandes de bloc.
      Entrées de la liste de demandes de blocs
    10. Dans la liste Entrées de la liste de demandes de blocs Check Point, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.
      Pour cet exemple, l’enregistrement de 74.125.34.95 s’affiche.
      Entrées de la liste de demandes de blocs Check Point

      L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée de liste de blocs est prête à être approuvée.

      L’icône en regard du champ Observable est un lien vers la table Observable de Now Platform.

      La valeur du champ Observable (74.125.34.95) est liée à la table Observable et correspond au format qui a été importé à partir de l’événement déclencheur d’incident Security Incident Response.