ブロックリストエントリテーブルからのブロックリストエントリの直接送信
悪意があると判断され、特定の Now Platform セキュリティインシデントに関連付けられていない観測事象の場合は、ブロックリストからブロックリストエントリを送信します。
始める前に
必要なロール:Security Incident Management者 (sn_si.analyst)
このタスクについて
悪意があると判断した観測事象をブロックするか、または悪意がないと判断した観測事象を許可する必要があり、その観測事象が特定の ServiceNow AI Platform セキュリティインシデントレコードに関連付けられていない場合は、ブロックリストからブロックリストエントリを直接送信します。これらのタイプのブロックリストエントリの例として、特定のサイトの URL やドメインが挙げられます。
手順
-
移動先 .
-
[エントリー値] フィールドに観測事象の値を入力します。
このエントリで考えられる結果 2 パターン:
- フォームの残りのフィールドがすべて自動入力されます。
- 一致する観測事象が見つかり、一致する観測事象が存在することを示すメッセージが表示されます。このエントリを添付するブロックリストを選択し、[送信] をクリックします。有効期間を設定する前に、このエントリを添付するブロックリストを選択します。
-
ワークフローでメール承認が設定されている場合は、承認メール要求が送信されます。
残りの情報を手動で入力するように要求するメッセージが表示された場合は、フィールドに入力します。
フィールド 説明 観測事象タイプ ダイアログからサポートされている観測事象タイプ。 ブロックリスト名 エントリに対するブロックリスト。 注:有効期間を設定する前に、エントリを添付するブロックリストを選択します。上書きを有効化 (デフォルトではオン) ルックアップ結果またはソース。設定すると、ルックアップ結果とその結果の検索に使用したソースを入力できます。通常、これらのフィールドはセキュリティインシデントレコードの作成時に入力されます。この場合、ルックアップ結果やソースはなく、これらのフィールドは手動で入力します。 ルックアップ結果 [不明] または [悪意がある] を選択します。 ソース ブロックリストエントリで脅威のルックアップを実行するソース (ThreatCrowd など) 有効期間 デフォルトでブロックリストから継承された有効期間。この値はエントリの作成中にのみ上書きできます。 0 は、ブロックリストエントリが無期限であることを示します。
この値を変更すると、このエントリは入力した日数の間有効になります。入力できる最小値は 1 で、最大値はありません。
たとえば、5 月 1 日の午後 2 時 1 分に 30 日と入力すると、ブロックリストのエントリは 5 月 31 日の午後 2 時 1 分に有効期限切れになります。ただし、スケジューラは毎日 00:00 に期限切れのエントリをチェックし、6 月 1 日 00:00 にエントリのステータスを [期限超過] に変更します。
-
[送信] をクリックします。
ブロックリストエントリのデフォルトの有効期間を変更した場合は、期間が選択したブロックリストと異なることを示す警告確認ダイアログボックスが表示されます。
オプション 説明 あり 有効期限の上書きを確認し、レコードを保存して、チェックポイントブロックリストエントリに戻ります。ワークフローでメール承認が設定されている場合は、承認メール要求が送信されます。 いいえ 上書きをキャンセルします。この時、[有効期間] の値を変更できます。 値を変更したら、[送信] をクリックしてチェックポイントブロックエントリのリストに戻ります。
-
表示されない場合は、[チェックポイントブロック要求リストエントリー] に移動し、エントリのステータスが [処理待ち (Pending)] であることを確認します。
これで、エントリを承認する準備ができました。