Soumettre les entrées de la liste de blocs directement à partir de la table d’entrée de la liste de blocs

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Pour les observables jugés malveillants et non associés à un incident de sécurité Now Platform spécifique, vous soumettez les entrées de la liste de blocs à partir de la liste de blocage.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité (sn_si.analyst)

    Pourquoi et quand exécuter cette tâche

    Lorsque vous souhaitez bloquer un observable que vous avez déterminé comme malveillant ou autoriser un observable que vous avez déterminé comme non malveillant, et que l’observable n’est pas associé à un enregistrement d’incident de sécurité Now Platform spécifique, vous envoyez les entrées de la liste de blocs directement à partir de la liste de blocage. Des exemples de ces types d’entrées de liste de blocs peuvent être des URL ou des domaines pour des sites spécifiques.

    Procédure

    1. Accédez à la Tous > Intégration Check Point NGTP > Entrées de demandes de blocs.
      Entrées de la liste de demandes de blocs
    2. Cliquez sur le module Listes de demandes de blocs .
    3. Dans la liste Entrées de la liste de demandes de blocs Check Point, cliquez sur Nouveau.
    4. Dans le champ Valeur d’entrée , saisissez une valeur pour votre observable.
      Les deux résultats possibles de cet article :
      • Les champs restants du formulaire sont remplis automatiquement.
      • Un observable correspondant est trouvé et un message indiquant qu’un observable correspondant existe s’affiche. Sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée, puis cliquez sur Soumettre. Sélectionnez la liste de blocs à laquelle vous souhaitez joindre cette entrée avant de définir la période d’expiration.
      Un message vous invitant à remplir le formulaire s’affiche. Aucun observable correspondant n’a été trouvé et vous devez remplir le formulaire. Une fois que vous l’avez complétée, sélectionnez la liste de blocs à laquelle vous souhaitez joindre l’observable et cliquez sur Soumettre. Un enregistrement d’observable est créé. La figure suivante montre un exemple d’observable de domaine existant et illustre la façon dont les champs sont renseignés automatiquement.
      Nouvel enregistrement
    5. Cliquez sur l’icône de recherche pour sélectionner la liste de blocs à laquelle vous souhaitez joindre l’entrée.
    6. Cliquez sur Envoyer.
    7. Si vous avez configuré une approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Si un message s’affiche et vous demande de remplir manuellement le reste des informations, renseignez les champs.
      Nouvel enregistrement sans observables correspondants
      Champ Description
      Type d'observable Type d’observable pris en charge dans la boîte de dialogue.
      Nom de la liste de blocs Liste de blocs vers laquelle vous souhaitez faire entrer.
      Remarque :
      Sélectionnez la liste de blocs à laquelle vous souhaitez joindre l’entrée avant de définir la période d’expiration.
      Activer le remplacement (sélectionné par défaut) Rechercher le résultat ou la source. Lorsqu’elle est configurée, elle vous permet d’entrer un résultat de recherche et la source utilisée pour trouver les résultats. Ces champs sont généralement renseignés lors de la création d’un enregistrement d’incident de sécurité. Dans ce cas, il n’existe aucune recherche de résultat ou de source, et vous renseignez manuellement ces champs.
      Rechercher un résultat Sélectionnez Inconnu ou Malicieux.
      Source Source qui effectue une recherche de menace sur l’entrée de liste de blocs, par exemple, ThreatCrowd, entre autres.
      Période d’expiration La période d’expiration héritée de la liste de blocs par défaut. Vous pouvez remplacer cette valeur, mais uniquement lors de la création de l’entrée.

      0 indique que l’entrée de la liste de blocs n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous entrez 30 jours à 14 h 01 le 1er mai, l’entrée de la liste de blocs expirera à 14 h 01 le 31 mai. Toutefois, le planificateur vérifie les entrées expirées à 00h00 tous les jours et change l’état de l’entrée en « expiré » à 00h00 le 1er juin.
    8. Cliquez sur Envoyer.
      Si vous avez modifié la période d’expiration par défaut de l’entrée de la liste de blocage, une boîte de dialogue de confirmation d’avertissement s’affiche indiquant que la période diffère de la liste de blocs sélectionnée.
      Message de la période d’expiration
      Option Description
      Oui Confirme votre remplacement d’expiration, enregistre l’enregistrement et vous renvoie aux entrées de la liste de blocs Check Point. Si vous avez configuré une approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Non Annule le remplacement. À ce stade, vous pouvez modifier la valeur de la période d’expiration.

      Après avoir modifié la valeur, cliquez sur Envoyer pour revenir à la liste Entrées du bloc Check Point.
    9. S’il ne s’affiche pas, accédez à Entrées de la liste de demandes de blocs Check Point et notez que l’état de l’entrée est En attente.
      Entrée de liste prête pour approbation
      L’entrée est maintenant prête à être approuvée.