Utilisation de listes de blocs

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’intégration ServiceNow Check Point Next Generation Threat Prevention prend en charge les listes de blocs qui acceptent les observables d’adresse IP, d’URL et de domaine.

    ServiceNow La liste de blocs configurée est un fichier CSV hébergé sur un serveur Web externe, qui, pour cette intégration, est l’instance Now Platform. Le flux d’intelligence personnalisé est configuré sur Check Point Gateway, qui extrait les adresses IP, les URL et les domaines de Now Platform à des intervalles préconfigurés.

    Cette intégration prend en charge trois types de listes de blocs :

    • Adresse IP (inclut une adresse IP individuelle (IPv4 uniquement) pour la liste de blocs et des blocs CIDR (plages) d’adresses pour la liste d’autorisation).
    • URL
    • Domaine

    Observables pris en charge par l’intégration Check Point NGTP

    Cette section répertorie les descriptions des observables pris en charge par cette intégration et des exemples de formats pour chaque type.

    Type d'observable Exemples Description
    Domaine
    • example.com
    • mail.example.com
    		 Les caractères génériques ne sont pas pris en charge.
    Adresse IP 95.153.103.54 (IPv4) Représente une adresse d’interface unique et distincte. L’intégration ne prend en charge que les formats IPv4 et CIDR (le format CIDR n’est pris en charge qu’à des fins de liste d’autorisation).
    À des fins de liste d’autorisation, l’intégration prend en charge les observables d’adresses IP qui incluent des plages CIDR (Classless Inter-Domain Routing), par exemple, 95.153.100.0/22.
    Remarque :
    Un message d’erreur s’affiche lorsque vous essayez d’associer une seule adresse IP à une liste de blocs que vous avez déjà autorisée à répertorier dans le cadre d’une plage CIDR. Par exemple, l’adresse unique 95.153.103.54 fait partie de la plage CIDR représentée par 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.example.com
    • http://www.example.com
    		 Description : les URL HTTPS sont formatées par l’application pour découper le chemin à partir de l’URL et conserver le nom de domaine uniquement.

    Check Point NGTP s’appuie sur la requête HTTP CONNECT pour évaluer le trafic Web et appliquer le blocage. Pour la demande HTTPS CONNECT, l’URL entière n’est pas visible dans la demande et seul le nom de domaine est visible. Lorsqu’un utilisateur bloque une URL HTTPS avec un chemin d’accès spécifique (exemple : https://www.example.com/path), l’application supprime automatiquement le chemin d’accès (www.example.com). L’application conserve la relation entre l’observable d’origine et l’URL formatée. Vous trouverez ci-dessous la capture d’écran de l’entrée de la liste de blocs qui montre l’URL formatée et l’observable d’origine.

    Entrée de la liste de blocs

    Pour les URL HTTP avec un chemin spécifique (par exemple, http://www.example.com/path), Check Point bloquerait l’URL spécifiée, car l’URL entière est visible dans la demande CONNECT.

    Entrées de liste de blocs pour les URL HTTP