Integration „Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe von EDL-Funktionen (External Dynamic List) mit den -Produkten ServiceNow Security Incident Response (SIR) zu blockieren. Der Security Incident-Analyst erstellt Einträge für eine EDL aus erkennbaren Elementen, die bei Security Incidents ServiceNow SIR als schädlich eingestuft wurden.

    Eine EDL ist eine Textdatei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihre Instanz Now Platform, die es der Instanz Palo Alto Networks Next-Generation Firewall ermöglicht, Objekte zu importieren, die in der Liste, IP-Adressen, URLs und Domänen enthalten sind, und Richtlinien zu erzwingen.

    Um eine Richtlinie für die EDL-Einträge zu erzwingen, wird in einer Richtlinienregel oder einem Profil auf die Liste verwiesen. Wenn die EDL-Einträge geändert werden, importiert die Firewall die Liste dynamisch im konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit auf der Firewall. Für diese Integration hat Now Platform eine Tabelle mit EDL-Einträgen erstellt, die vom autorisierten Palo Alto Networks Next-Generation Firewall in den konfigurierten Abrufintervallen abgerufen werden.

    Die Integration umfasst die folgenden Funktionen:
    • Flexibilität zum Erstellen mehrerer EDLs, die für verschiedene Firewall-Richtlinien zum Verweigern oder Zulassen gelten.
    • Detaillierte Berichte zu den Arten von blockierten Websites (Phishing, Malware und auf der Zulassungsliste aufgeführte Websites).
    • Tagging von Now Platform Security Incidents mit EDL-Einträgen nach erkennbarem Elementtyp (URL, Domäne, IP-Adresse).
    • EDL-Ablaufzeiträume konfigurieren, um die EDL-Listengröße durch automatisches Ablaufen oder Entfernen älterer Einträge beizubehalten.
    • Suchen, Löschen oder Migrieren von EDL-Einträgen zwischen EDL-Listen.
    • Verknüpfen von EDL-Einträgen mit erkennbaren Datensätzen und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert wurde.

    Zur Integration müssen die Plugins (com.snc.security_incident) und (com.snc.secops.orchestration) aus dem Produkt Security Incident Response aktiviert sein.

    Diese Integration unterstützt nur Palo Alto Networks (PAN-OS 8.x). Frühere Versionen werden nicht unterstützt.

    Diese Integration ist kompatibel mit den Releases Kingston, London, Madrid und New York von Now Platform®.

    Hinweis:
    Die folgenden Themen sind nummeriert. Um eine reibungslose Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse zu gewährleisten, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.