Check Point NGTP 統合のセキュリティインシデントからのブロックリストエントリの送信

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • セキュリティインシデントレコードに添付された観測事象は、さまざまなブロックリストへのブロックリストエントリとして承認のために送信されます。ブロックリストエントリのオプションの承認プロセスは、事前設定されたワークフローの一部です。ゲートウェイは、ブロックリストに含まれているブロックリストエントリ (IP アドレス、URL、ドメイン) をインポートします。

    始める前に

    必要なロール:
    • ブロックリストエントリを送信するセキュリティインシデントアナリスト (sn_si.analyst)。
    • ブロックリストエントリを承認するSecurity Incident Management者 (sn_si.admin)。この権限は、組織の必要に応じてアサインすることができます。

    このタスクについて

    sn_si.analyst ロールを持つユーザーが、セキュリティインシデントレコードに添付された観測事象のブロックを要求して、ブロックエントリを送信します。送信されると、ステータスが [処理待ち] のブロックリストエントリが生成され、承認のために送信されます。次の例は、URL 観測事象のブロック要求を示しています。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示をクリックし、セキュリティインシデントレコードをクリックして開きます。
    2. [IoC を表示] 関連リンクをクリックします。
      IoC 関連リストを表示する
    3. [観測事象] 関連リストでブロックする観測事象を選択し、[選択した行のアクション] リストから [ブロック要求] を選択します。
      ブロック要求アクション
    4. 表示されるダイアログボックスで、検索アイコン ( 虫眼鏡アイコン) をクリックします。
      ブロック要求実装
    5. リストから、このエントリを添付するブロックリストを選択します。
      注:
      この例では、エントリの観測事象タイプ (IP) が [ブロックリスト] の観測事象タイプ (IP) と一致している必要があります。
      統合機能の実装
    6. [ブロック要求] ダイアログボックスでブロックリスト名が [実装] フィールドに表示されたら、[ブロック] をクリックします。
      ブロック要求ルックアップ
    7. 表示されたリストからこのエントリに添付するブロックリストを選択します。
      注:
      この例では、エントリの観測事象タイプ (IP) が [ブロックリスト] の観測事象タイプ (IP) と一致している必要があります。
      統合機能の実装
    8. [ブロック要求] ダイアログボックスでブロックリスト名が [実装] フィールドに表示されたら、[ブロック] をクリックします。
      ブロック要求ルックアップ
    9. 移動先 チェックポイント NGTP 統合 > ブロック要求リストエントリをクリックし、[ ブロック要求リストエントリー] をクリックします。
      ブロック要求リストエントリー
    10. [チェックポイントブロック要求リストエントリー] リストで、[エントリー値] 列の観測事象をクリックしてレコードを開きます。
      この例では、「74.125.34.95」のレコードが表示されます。
      チェックポイントブロック要求リストエントリー

      ステータスが [処理待ち] で、 [アクティブ] チェックボックスがオフになり、作業メモに観測事象を追加する要求があることが示されます。このブロックリストエントリ要求は承認の準備ができています。

      [観測事象] フィールドの横にあるアイコンは、[観測事象 ServiceNow AI Platform ] テーブルへのリンクです。

      [観測事象] フィールドの値 (74.125.34.95) が [観測事象] テーブルにリンクされ、セキュリティインシデントレスポンスインシデントトリガーイベントから引き継がれた形式と照合されます。