Integração de Palo Alto Networks Next-Generation Firewall

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Depois de instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP, URLs e domínios mal-intencionados usando recursos de lista dinâmica externa (EDL) com os produtos ServiceNow Security Incident Response (SIR). O analista de incidentes de segurança cria entradas para um EDL a partir de observáveis determinados como mal-intencionados em ServiceNow SIR incidentes de segurança.

    Um EDL é um arquivo de texto hospedado em um servidor Web externo. Para esta integração, este servidor Web é sua instância Now Platform, o que permite que o Palo Alto Networks Next-Generation Firewall importe objetos que estão incluídos na lista, endereços IP, URLs e domínios e aplique a política.

    Para impor a política nas entradas de EDL, a lista é referenciada em uma regra ou perfil de política. Conforme as entradas de EDL são modificadas, o firewall importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou uma confirmação no firewall. Para esta integração, Now Platform criou uma tabela contendo entradas de EDL que são recuperadas pelo autorizado Palo Alto Networks Next-Generation Firewall nos intervalos de recuperação configurados.

    A integração inclui os seguintes recursos:
    • Flexibilidade para criar vários EDLs que se aplicam a diferentes políticas de negação ou permissão do firewall.
    • Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e sites permitidos).
    • Marcação de Now Platform incidentes de segurança com entradas de EDL pelo tipo de observável (URL, domínio, endereço IP).
    • Configurar períodos de expiração de EDL para manter o tamanho da lista de EDL expirando ou removendo automaticamente entradas mais antigas.
    • Pesquisar, excluir ou migrar entradas de EDL entre listas de EDL.
    • Vincular entradas de EDL a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.

    A integração requer que os plug-ins (com.snc.security_incident) e (com.snc.secops.orchestration) do produto Security Incident Response estejam ativados.

    Esta integração é compatível somente com Palo Alto Networks (PAN-OS 8.x). Versões anteriores não são compatíveis.

    Essa integração é compatível com as versões Kingston, London, Madrid e New York do Now Platform®.

    Nota:
    Os tópicos a seguir estão numerados. Para uma instalação, configuração e verificação sem problemas dos resultados esperados, siga os tópicos na ordem em que são apresentados.