Trabalho com listas de bloqueios

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • A integração ServiceNow Check Point Next Generation Threat Prevention é compatível com listas de bloqueios que aceitam observáveis de IP, URL e domínio.

    ServiceNow A lista de bloqueios configurada é um arquivo CSV hospedado em um servidor Web externo, que para esta integração é a instância da Now Platform. O Feed de inteligência personalizado é configurado no Check Point Gateway, que extrai os endereços IP, URLs e domínios da Now Platform em intervalos pré-configurados.

    Esta integração oferece suporte a três tipos de listas de bloqueios:

    • Endereço IP (inclui um endereço IP individual (somente IPv4) para a lista de bloqueios e blocos CIDR (intervalos) de endereços para a lista de permissões).
    • URL
    • Domínio

    Observáveis compatíveis com a integração Check Point NGTP

    A seção lista as descrições dos observáveis compatíveis com esta integração e formatos de exemplo para cada tipo.

    Tipo de Observável Exemplos Descrição
    Domínio
    • example.com
    • mail.example.com
    		 Caracteres curinga não são compatíveis.
    Endereço IP 95.153.103.54 (IPv4) Representa um endereço de interface único e distinto. A integração é compatível somente com os formatos IPv4 e CIDR (o formato CIDR só é compatível para fins de listagem de permissão).
    Para fins de lista de permissões, a integração tem suporte para observáveis de endereço IP, incluindo intervalos CIDR (Roteamento entre domínios sem classe), por exemplo, 95.153.100.0/22.
    Nota:
    Uma mensagem de erro é exibida quando você tenta anexar um único endereço IP a uma Lista de Bloqueios que você já permitiu listar como parte de um intervalo CIDR. Por exemplo, o endereço único 95.153.103.54 faz parte do intervalo CIDR representado por 95.153.100.0/22 (95.153.100.0-95.153.103.255).
    URL
    • https://www.example.com
    • http://www.example.com
    		 Descrição — A URL HTTPS é formatada pela aplicação para cortar o caminho da URL e reter somente o nome do domínio.

    O NGTP do Check Point depende da solicitação HTTP CONNECT para avaliar o tráfego da web e impor o bloqueio. Para a solicitação HTTPS CONNECT, o URL inteiro não está visível na solicitação e somente o nome do domínio está visível. Quando um usuário bloqueia qualquer URL HTTPS com caminho específico (por exemplo: https://www.exemplo.com/caminho), a aplicação ajusta o caminho automaticamente (www.exemplo.com). A aplicação mantém o relacionamento entre o observável original e a URL formatada. Abaixo está a captura de tela da entrada da lista de bloqueios que mostra a URL formatada e o observável original.

    Entrada da lista de bloqueios

    Para URLs HTTP com um caminho específico (por exemplo, http://www.example.com/path), o Check Point bloquearia a URL especificada, pois a URL inteira está visível na solicitação CONNECT.

    Entradas da lista de bloqueios para URLs HTTP