Check Point NGTP 統合のブロックリストエントリの承認
ブロックリストエントリの承認プロセスは、事前設定されたワークフローの一部です。ブロックリストでエントリがアクティブになる前にブロックリストエントリを承認します。ブロックリストエントリを承認すると、ゲートウェイがそのエントリを取得し、それ以降は観測事象がブロックされます。
始める前に
- ブロックリストエントリの承認は、デフォルトでSecurity Incident Management者 (sn_si.admin) にアサインされますが、この権限は組織の必要に応じてアサインすることができます。次の例では、ServiceNow AI Platform アドミニストレーターが承認権限を持っています。
このタスクについて
承認プロセスが有効になっている場合、ブロックリストエントリは承認されるまでブロックリストでアクティブ化も非アクティブ化もされません。
手順
-
[ブロックリストエントリ (Block List Entry)] レコードで、[承認要求] セクションまでスクロールします。
-
[承認要求] で、[ステータス] 列のアイテムをクリックして開きます。
承認レコードが表示されます。
-
ブロックリストエントリを承認するためのオプションを 1 つ選択してください。
ブロックリストエントリを承認してアクティブにすると、チェックポイント次世代ファイアウォールは、次の取得間隔の後にブロックリストエントリを取得します。エントリが取得されると、その時点から観測事象がブロックされます。次の図では、[アクティブ] チェックボックスがオンで、ステータスが [追加] になっており、作業メモに要求が承認されたことが示されています。オプション 説明 承認 エントリレコードで [ステータス] フィールドが [追加済み] に変わり、[アクティブ] チェックボックスがオンになります。 [非アクティブ化] ボタンが表示され、アクティブになります。
作業メモは、ブロックリストエントリの要求が承認されたことを示しています。
却下 エントリレコードで [ステータス] フィールドが [却下] に変わり、[アクティブ] チェックボックスがオフになり、エントリがゲートウェイでブロックされていないことが示されます。 作業メモは、ブロックリストエントリの要求が却下されたことを示しています。
ブロックリストのエントリが承認されてアクティブ化されると、セキュリティインシデントレコードがセキュリティタグでマークされます。タグはレコードの上部に表示されます。
セキュリティタグは観測事象レコードにも表示されます。