Trabalhando com listas de bloqueio

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A integração ServiceNow Check Point Next Generation Threat Prevention oferece suporte a listas de bloqueios que aceitam IP, URL e observáveis de domínio.

    ServiceNow A lista de bloqueios configurada é um arquivo csv que está hospedado em um servidor Web externo, que para esta integração é a instância da Now Platform. O Feed de inteligência personalizado é configurado no Check Point Gateway, que extrai os endereços IP, URLs e domínios da Now Platform em intervalos pré-configurados.

    Esta integração oferece suporte a três tipos de listas de bloqueio:

    • Endereço IP (inclui um endereço IP individual (somente IPv4) para a lista de bloqueios e blocos CIDR (intervalos) de endereços para a lista de permissões).
    • URL
    • Domínio

    Observáveis compatíveis com a integração Check Point NGTP

    A seção lista as descrições dos observáveis compatíveis com esta integração e formatos de exemplo para cada tipo.

    Tipo de Observável Exemplos Descrição
    Domínio
    • example.com
    • mail.exemplo.com
    		 Caracteres curinga não são compatíveis.
    Endereço IP 95.153.103.54 (IPv4) Representa um endereço de interface único e distinto. A integração é compatível somente com os formatos IPv4 e CIDR (o formato CIDR só é compatível para fins de listagem de permissões).
    Para fins de lista de permissões, a integração tem suporte para observáveis de endereço IP, incluindo intervalos CIDR (Roteamento entre domínios sem classe), por exemplo, 95.153.100.0/22.
    Nota:
    Uma mensagem de erro é exibida quando você tenta anexar um único endereço IP a uma Lista de Bloqueios que você já permitiu listar como parte de um intervalo CIDR. Por exemplo, o endereço único 95.153.103.54 faz parte do intervalo CIDR representado por 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.exemplo.com
    • http://www.example.com
    		 Descrição — A URL HTTPS é formatada pela aplicação para aparar o caminho da URL e reter somente o nome do domínio.

    O Check Point NGTP depende da solicitação HTTP CONNECT para avaliar o tráfego da Web e impor o bloqueio. Para a solicitação HTTPS CONNECT, o URL inteiro não está visível na solicitação e somente o nome do domínio está visível. Quando um usuário bloqueia qualquer URL HTTPS com um caminho específico (por exemplo: https://www.example.com/path), a aplicação recorta o caminho automaticamente (www.example.com). A aplicação mantém o relacionamento entre o observável original e o URL formatado. Abaixo está a captura de tela da entrada da lista de bloqueios que mostra o URL formatado e o observável original.

    Entrada da lista de bloqueios

    Para URLs HTTP com um caminho específico (por exemplo, http://www.example.com/path), o Check Point bloquearia o URL especificado, pois o URL inteiro está visível na solicitação CONNECT.

    Entradas da lista de bloqueios para URLs HTTP