Erstellen Sie eine EDL für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Erstellen Sie eine externe dynamische Liste (External Dynamic List, EDL) in Ihrer Instanz Now Platform. Nach der Genehmigung und Aktivierung können Sie Einträge für EDLs aus erkennbaren Elementen erstellen, die in Incidents Now Platform Security Incident Response (SIR) als schädlich eingestuft wurden, und eine Genehmigung zu deren Blockierung anfordern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die EDL in Ihrer Instanz Now Platform, damit die Firewall in der Liste enthaltene Objekte (IP-Adressen, URLs, Domänen) importieren und die Richtlinie erzwingen kann. Um eine Richtlinie für die EDL-Einträge zu erzwingen, wird in einer Richtlinienregel oder einem Profil auf die Liste verwiesen.

    Die Abbildungen im folgenden Abschnitt werden mit in den Systemeinstellungen gelöschten Formularen mit Registerkarten angezeigt. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt „Formulare mit Registerkarten anzeigen“ in Configuring the form layout.

    Prozedur

    1. Navigieren Sie nach Abschluss der Anwendungsinstallation zu Integrationen > Integrationskonfigurationenan.
    2. Suchen Sie die Kachel Palo Alto Networks Next-Generation Firewall, und klicken Sie auf Konfigurieren.
      Palo Alto Networks Next-generation Firewall – Schaltfläche „Konfigurieren“.
    3. Klicken Sie auf Neue EDL-Liste erstellen.
      Neue EDL-Liste erstellen.
    4. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Palo Alto Networks Formular „Externe dynamische Firewall-Liste“.
      Feld Beschreibung
      Name Palo Alto Networks Name der dynamischen Firewall-Liste.

      Fügen Sie den Typ des erkennbaren Elements (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalyst die Absicht der EDL anhand des Namens leicht erkennen kann. Der Name sollte auch eindeutig angeben, welcher Firewall-Richtlinie diese EDL-Objekte zugeordnet sind. Einige Beispiele für EDL-Namen sind „Ausgehende Malware-IP“ oder „Ausgehende Phishing-URL“.
      Aktiv Dieses Kontrollkästchen ist standardmäßig deaktiviert, um anzugeben, dass die EDL inaktiv ist.

      Wenn sie inaktiv ist, kann die EDL keine zusätzlichen Einträge empfangen.

      Wenn das Kontrollkästchen aktiviert ist, ist die EDL aktiviert und für EDL-Einträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element auf einer EDL blockiert ist. Wenn diese Option ausgewählt ist, sind die Felder Tag-Typ und EDL-Tag für erkennbare Elemente im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie im Feld Name mit einem EDL-Präfix eingeben, z. B. EDL-Malware OutBound IP. Sie können den Tag-Namen und die Farbe ändern. Weitere Informationen finden Sie unter: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall. Der Tag-Name wird im Feld EDL-Tag für erkennbare Elemente angezeigt, sobald die EDL gespeichert wird.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und die Felder Tag-Typ und EDL-Tag für erkennbare Elemente sind im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie in der Auswahlliste einen erkennbaren Elementtyp aus, den diese EDL akzeptiert: IP (einschließlich CIDR), URL oder Domäne.
      Tag-Typ Tags, die in der Auswahlliste verfügbar sind.

      Eine Sperrliste ist eine Liste der erkennbaren Elemente, die Palo Alto Networks Next-Generation Firewall blockieren soll.

      Eine Allow-Liste ist eine Liste von erkennbaren Elementen, die Palo Alto Networks Next-Generation Firewall zulassen soll.

      Standardmäßig ist die Tag-Farbe der Sperrliste schwarz und die Tag-Farbe der Allow-Liste grau. Sie können die Farbe ändern. Weitere Informationen finden Sie unter: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall.
      Change-Anforderungen erstellen Dieses Kontrollkästchen ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in Ihrer Instanz Now Platform zu erstellen, die an den EDL-Datensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die Abruf-URL für die EDL-Liste auf dem Server Palo Alto Networks Next-Generation Firewall zu konfigurieren.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch Now Platform für Änderungen an Firewall-Richtlinien oder -Regeln verwendet. Wenn Sie eine Anforderung erstellen, wird die EDL-Liste nach dem Schließen automatisch aktiviert.

      Deaktivieren Sie das Kontrollkästchen, um die EDL manuell zu aktivieren, nachdem Sie per E-Mail vom Firewall-Administrator benachrichtigt wurden, dass die Konfiguration auf Palo Alto Networks abgeschlossen ist.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, ist das Feld Change-Anforderung nicht verfügbar.
      EDL-Tag für erkennbare Elemente Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tags anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die EDL mit einem Standardwert aus dem Feld Name gespeichert wurde.

      Weitere Informationen zum Ändern des Standard-Tag-Namens und der Farbe finden Sie unter (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall
      Change-Anforderung Wenn das Kontrollkästchen Change-Anforderungen erstellen aktiviert ist, wird die Nummer der Change-Anforderung in der Instanz Now Platform angezeigt, sobald die EDL gespeichert wurde.

      Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der dynamischen Liste der Palo Alto Networks-Firewalls. Der Name enthält im Allgemeinen die Typen von Websites und erkennbaren Elementen, die erwartet werden, dass sie sich in dieser EDL befinden. Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der EDL.

      0 (Standardeinstellung) gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben. Es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai um 14:01 Uhr 30  Tage eingeben, läuft die EDL am 31. Mai um 14:01 Uhr ab.

      Alle Einträge in dieser EDL erben dann diesen Wert standardmäßig, es sei denn, Sie überschreiben den Wert auf Basis einzelner Einträge.
      Abgeschlossener EDL-Datensatz bereit zur Übermittlung.
    5. Klicken Sie auf Absenden.
    6. Wenn die Liste der externen dynamischen Listen der Palo Alto Networks-Firewalls nicht angezeigt wird, navigieren Sie zu Palo Alto Networks – NGFW-Integration > EDL-Firewallkonfiguration und klicken Sie auf EDL-Firewallkonfiguration.
      Wählen Sie EDL-Firewallkonfiguration aus.
      Die neue EDL wird angezeigt. Der EDL-Status ist weiterhin inaktiv (false), was bedeutet, dass die EDL nicht für die Annahme von Einträgen verfügbar ist. Wenn Change-Anforderung erstellen konfiguriert wurde, wird eine Nachricht angezeigt, die angibt, dass in Ihrer Instanz Now Platform ein Change-Anforderung und Aufgaben erstellt wurden.
      Change-Anforderungsnachricht in der EDL-Liste.
    7. Klicken Sie in der Spalte Name auf ein Element, um den Datensatz zu öffnen.
      Der EDL-Datensatz wird angezeigt. Dieses Beispiel zeigt eine ausgehende IP-EDL für Malware. Die folgenden Felder, Optionen und Links werden nach der Übermittlung im neuen Datensatz angezeigt und in der folgenden Tabelle beschrieben.
      EDL-Abruf-URL, Schaltfläche für E-Mail-Abruf-URL und Link zum Change Request.
      Tabelle : 2. Abruf-URL und Change-Anforderungs-Links im EDL-Datensatz
      Option Beschreibung
      Abruf-URL für E-Mail-Weiterleitung Sendet eine Benachrichtigung per E-Mail, dass der EDL-Link für die Konfiguration verfügbar ist, an den Firewall-Administrator Palo Alto Networks.
      EDL-Abruf-URL Diese URL wird im Authentifizierungsdialogfeld „Externe dynamische Listen“ auf der Registerkarte „ Liste erstellen “ auf der Website Palo Alto Networks im Feld „ Quelle “ platziert.

      Der URL-Link, den der Firewall-Administrator für Palo Alto Networks für die Konfiguration in der Firewall von Palo Alto Networks verwendet, wird automatisch generiert und angezeigt.

      Hinweis:
      Wenn Ihre Systemeinstellungen auf Formularemit Registerkarten festgelegt sind, wird dieser Link auf der Registerkarte EDL-Abrufinformationen unten im Datensatz angezeigt.
      Now Platform Change-Anforderung Ein Link zum Datensatz der Change-Anforderung wird im Abschnitt „Change-Anforderungen“ angezeigt, sofern konfiguriert, und die Nummer der Anforderung wird im Feld Change-Anforderung angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere EDLs hinzu.
      Die EDLs werden in der Liste Palo Alto Networks Externe dynamische Listen angezeigt.

    Nächste Maßnahme

    Aktivieren Sie eine EDL manuell oder mit einer Change-Anforderung Now Platform.