Arbeiten mit Sperrlisten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die ServiceNow Check Point Next Generation Threat Prevention -Integration unterstützt Sperrlisten, die erkennbare IP-, URL- und Domänenelemente akzeptieren.

    ServiceNow Die konfigurierte Sperrliste ist eine CSV-Datei, die auf einem externen Webserver gehostet wird, der für diese Integration die Now Platform-Instanz ist. Benutzerdefinierter Intelligenz-Feed wird auf dem Prüfpunkt-Gateway konfiguriert, das die IP-Adressen, URLs und Domänen in vorkonfigurierten Intervallen aus der Now Platform abruft.

    Diese Integration unterstützt drei Arten von Sperrlisten:

    • IP-Adresse (Umfasst eine einzelne IP-Adresse (nur IPv4) für die Sperrliste und CIDR-Blöcke (Bereiche) von Adressen für die Allow-Liste.)
    • URL
    • Domäne

    Von der Check Point NGTP -Integration unterstützte erkennbare Elemente

    Der Abschnitt enthält Beschreibungen der von dieser Integration unterstützten erkennbaren Elemente und Beispielformate für jeden Typ.

    Erkennbarer Typ Beispiele Beschreibung
    Domäne
    • beispiel.com
    • mail.example.com
    		 Platzhalterzeichen werden nicht unterstützt.
    IP-Adresse 95.153.103.54 (IPv4) Stellt eine einzelne, eindeutige Schnittstellenadresse dar. Die Integration unterstützt nur IPv4- und CIDR-Formate (das CIDR-Format wird nur für Allow-Listen-Zwecke unterstützt).
    Für die Allow-Liste bietet die Integration Unterstützung für erkennbare IP-Adresselemente mit CIDR-Bereichen (Classless Inter-Domain Routing), z. B. 95.153.100.0/22.
    Hinweis:
    Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, eine einzelne IP-Adresse an eine Sperrliste anzuhängen, die Sie bereits als Teil eines CIDR-Bereichs zugelassen haben. Zum Beispiel ist die einzelne Adresse 95.153.103.54 Teil des CIDR-Bereichs, der durch 95.153.100.0/22 (95.153.100.0-95.153.103.255) dargestellt wird.
    URL
    • https://www.example.com
    • http://www.example.com
    		 Beschreibung: Die HTTPS-URL wird von der Anwendung so formatiert, dass der Pfad aus der URL gekürzt und nur der Domänenname beibehalten wird.

    Check Point NGTP basiert auf der HTTP CONNECT-Anforderung, um den Webdatenverkehr auszuwerten und die Blockierung zu erzwingen. Bei einer HTTPS-CONNECT-Anforderung ist nicht die gesamte URL in der Anforderung sichtbar, sondern nur der Domänenname. Wenn ein Benutzer eine HTTPS-URL mit einem bestimmten Pfad blockiert (Beispiel: https://www.example.com/path), schneidet die Anwendung den Pfad automatisch ab (www.example.com). Die Anwendung verwaltet die Beziehung zwischen dem ursprünglichen erkennbaren Element und der formatierten URL. Unten sehen Sie einen Screenshot des Sperrlisteneintrags, der die formatierte URL und das ursprüngliche erkennbare Element zeigt.

    Sperrlisteneintrag

    Bei HTTP-URLs mit einem bestimmten Pfad (z. B. http://www.example.com/path) blockiert der Prüfpunkt die angegebene URL, da die gesamte URL in der CONNECT-Anforderung sichtbar ist.

    Sperrlisteneinträge für HTTP-URLs