ブロックリストの操作
ServiceNow Check Point Next Generation Threat Prevention 統合は、IP、URL、およびドメインの観測事象を受け入れるブロックリストをサポートしています。
ServiceNow により構成されたブロックリストは、外部 Web サーバーでホストされている csv ファイルです。この統合では Now Platform インスタンスです。カスタムインテリジェンスフィードは、事前設定された間隔で Now Platform から IP アドレス、URL、およびドメインをプルするチェックポイントゲートウェイで設定されます。
この統合は、次の 3 つのタイプのブロックリストをサポートしています。
- IP アドレス (これには、ブロックリストの個々の IP アドレス (IPv4 のみ) と、許可リストのアドレスの CIDR ブロック (範囲) が含まれます)
- URL
- ドメイン
Check Point NGTP 統合によってサポートされる観測事象
このセクションでは、この統合でサポートされている観測事象の説明と、各タイプの形式の例を示します。
| 観測事象タイプ | 例 | 説明 |
|---|---|---|
| ドメイン |
|
ワイルドカードはサポートされていません。 |
| IP アドレス | 95.153.103.54 (IPv4) | 単一の個別のインターフェイスアドレスを表します。この統合は IPv4 および CIDR 形式のみをサポートしています (CIDR 形式は許可リストを使用する目的でのみサポートされています)。 許可リストを使用する目的で、統合は CIDR (クラスレスドメイン間ルーティング) 範囲 (95.153.100.0/22 など) を含む IP アドレスの観測事象をサポートしています。 注: CIDR 範囲の一部として既に許可されているブロックリストに単一の IP アドレスを添付しようとすると、エラーメッセージが表示されます。たとえば、単一のアドレス 95.153.103.54 は、95.153.100.0/22 (95.153.100.0 ~ 95.153.103.255) で表される CIDR 範囲の一部です。 |
| URL |
|
説明:HTTPS URL は、URL からパスをトリミングしてドメイン名のみを保持するように、アプリケーションによってフォーマットされます。 チェックポイント NGTP は、HTTP CONNECT 要求に依存して Web トラフィックを評価し、ブロックを強制します。HTTPS CONNECT 要求の場合、URL 全体は要求に表示されず、ドメイン名のみが表示されます。ユーザーが特定のパス (例:https://www.example.com/path) を持つ HTTPS URL をブロックすると、アプリケーションによってパスが自動的にトリミングされます (www.example.com)。アプリケーションは、元の観測事象とフォーマットされた URL の関係を維持します。以下は、フォーマットされた URL と元の観測事象を示すブロックリストエントリのスクリーンショットです。 |
特定のパス (例:http://www.example.com/path) を持つ HTTP URL の場合、URL 全体が CONNECT 要求で表示されるため、チェックポイントは指定された URL をブロックします。