Senden Sie EDL-Einträge aus einem Security Incident-Datensatz für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Erkennbare Elemente, die an einen Security Incident-Datensatz angehängt sind, werden als EDL-Einträge (External Dynamic List) zur Genehmigung an EDLs übermittelt. Ein Genehmigungsprozess für EDL-Einträge ist Teil des vorkonfigurierten Workflows. Die Firewall importiert EDL-Einträge (IP-Adressen, URLs, Domänen), die in EDL-Listen enthalten sind, und erzwingt Richtlinien.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst zum Senden von EDL-Einträgen. So genehmigen Sie EDL-Einträge: Die Genehmigung ist standardmäßig „sn_si.admin“ zugewiesen, diese Berechtigung kann jedoch nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer mit der Rolle sn_si.analyst übermitteln EDL-Einträge, indem sie einen Block für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein EDL-Eintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockierungsanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen, und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
      Zugehörigen IoC-Link im Security Incident-Datensatz anzeigen.
    3. Wählen Sie in der zugehörigen Liste „Erkennbare Elemente“ die erkennbaren Elemente aus, die Sie blockieren möchten, und wählen Sie in der Liste Aktionen für ausgewählte Zeilen die Option Anforderungblockieren aus.
      Wählen Sie erkennbare Elemente aus, und führen Sie eine Blockierungsanforderung für den Security Incident-Datensatz aus.
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Suchsymbol).
    5. Wählen Sie in der angezeigten Liste die EDL aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Elementtyp (URL) des Eintrags mit dem erkennbaren Elementtyp (URL) der EDL übereinstimmen.
      Wählen Sie die EDL für den Eintrag aus.
    6. Klicken Sie im Dialogfeld „ Sperranforderung “ mit dem EDL-Namen im Feld Implementierungauf Sperren .
      Dialogfeld „Anforderung blockieren“.
    7. Navigieren zu Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträge und klicken Sie auf Firewall-EDL-Einträge.
      Liste der Firewall-EDL-Einträge.
    8. Klicken Sie in der Liste „Palo Alto Networks-Firewall der externen dynamischen Listeneinträge“ in der Spalte „Eintragswert“ auf das erkennbare Element, um den Datensatz zu öffnen.

      In diesem Beispiel wird der Datensatz für „mail.dgtnetworks.com“ angezeigt.

      EDL-Eintragsdatensatz.

      Der Status lautet Ausstehend, das Kontrollkästchen Aktiv ist deaktiviert, und in den Arbeitsnotizen wird angezeigt, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorhanden ist. Diese EDL-Eintragsanforderung ist zur Genehmigung bereit.

      Die Felder Eintragswert und Erkennbares Element zeigen verschiedene Formate für das erkennbare URL-Element an.

      Das Eingabewertfeld und das Feld „Erkennbares Element“ zeigen unterschiedliche Formate für dasselbe erkennbare Element an.

      Das Symbol neben dem Feld Erkennbares Element ist ein Link zur Tabelle Now Platform® Erkennbares Element.

      Der Wert im Feld „Erkennbares Element “ (http://mail.dgtnetworks.com) ist mit der Tabelle „Erkennbares Element“ verknüpft und stimmt mit dem Format überein, das aus dem Incident-auslösenden Ereignis Security Incident Response übernommen wurde.

      Now Platform® kann EDL-Einträge automatisch so ändern, dass sie mit dem EDL-URL-Format von Palo Alto Networks kompatibel sind.

      In diesem Beispiel wurde das erkennbare Element mit dem Protokoll http:// (http://mail.dgtnetworks.com) erstellt, und dieses Format wird im Feld Erkennbares Element angezeigt. Das Protokoll „http://“ wird von Now Platform® automatisch aus dem erkennbaren Element entfernt, sodass es mit Palo Alto Networks kompatibel ist und abgerufen werden kann. Daher wird „mail.dgtnetworks.com“ im Feld Eintragswert angezeigt.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.