Criar uma EDL para o firewall de última geração da Palo Alto Networks
Crie uma lista dinâmica externa (EDL) em sua instância Now Platform. Depois de aprovado e ativado, você pode criar entradas para EDLs a partir de observáveis determinados como mal-intencionados em Now Platform Security Incident Response incidentes (SIR) e solicitar aprovação para bloqueá-los.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Crie a EDL em sua instância Now Platform para que o firewall possa importar objetos (endereços IP, URLs, domínios) incluídos na lista e impor a política. Para impor a política nas entradas de EDL, a lista é referenciada em uma regra ou perfil de política.
As imagens na seção a seguir são mostradas com os Formulários com guia limpos em Configurações do sistema. Para obter mais informações sobre como selecionar e limpar formulários com guias, consulte a seção "Exibir formulários com guias" em Configuring the form layout.
Procedimento
-
Localize o bloco Palo Alto Networks Next-Generation Firewall e clique em Configurar.
-
Clique em Criar nova lista de EDL.
-
No formulário, preencha os campos.
Tabela 1. Palo Alto Networks Formulário Lista dinâmica externa do firewall Campo Descrição Nome Palo Alto Networks Nome da lista dinâmica do firewall. Inclua o tipo de observável (URL, IP, domínio) neste campo para que o analista de segurança possa reconhecer facilmente a intenção da EDL pelo nome. O nome também deve indicar claramente para qual política de firewall esses objetos EDL estão mapeados. Alguns exemplos de nomes de EDL são IP de malware de saída ou URL de phishing de saída.
Ativo Esta caixa de seleção está desmarcada por padrão para indicar que a EDL está inativa. Quando inativo, o EDL não pode receber entradas adicionais.
Quando a caixa de seleção está marcada, a EDL é ativada e fica disponível para entradas de EDL.
Marcador de exibição A caixa de seleção é marcada por padrão para marcar automaticamente o observável e o registro de incidente de segurança associado se o observável estiver bloqueado em uma EDL. Quando selecionado, o tipo de marcador e o marcador EDL para campos de observáveis ficam disponíveis no formulário. Nota:Um nome de marcador é criado por padrão a partir do valor inserido no campo Nome com um prefixo EDL-, por exemplo, EDL-Malware OutBound IP. Você pode mudar o nome e a cor do marcador. Consulte: (Opcional) Editar o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall. O nome do marcador é exibido no campo Marcador da EDL para observáveis quando a EDL é salva.Quando a caixa de seleção está desmarcada, nenhum marcador é criado e o tipo de marcador e o marcador EDL para campos de observáveis não estão disponíveis no formulário.
Tipo de observável Selecione um tipo de observável que este EDL aceita na lista de seleção: IP (incluindo CIDR), URL ou domínio. Tipo de marcador Marcadores que estão disponíveis na lista de seleção. Uma lista de bloqueios é uma lista de observáveis que você deseja que o Palo Alto Networks Next-Generation Firewall bloqueie.
Uma lista de permissões é uma lista de observáveis que você deseja que o Palo Alto Networks Next-Generation Firewall permita.
Por padrão, a cor do marcador da Lista de bloqueios é preta e a cor do marcador da Lista de permissões é cinza. Você pode mudar a cor. Consulte: (Opcional) Editar o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall.
Criar solicitação de mudança Esta caixa de seleção é marcada por padrão para criar automaticamente uma solicitação de mudança e tarefas de mudança em sua instância Now Platform, que estão anexadas ao registro de EDL. A solicitação de mudança é usada para configurar o URL de recuperação da lista de EDL no servidor Palo Alto Networks Next-Generation Firewall.
Esta opção é recomendada se o administrador do firewall também estiver usando o Now Platform para mudanças de política ou regra de firewall. Se você criar uma solicitação, depois que ela for fechada, a lista de EDL será ativada automaticamente.
Desmarque a caixa de seleção para ativar manualmente o EDL após receber um aviso por e-mail do administrador do firewall de que a configuração em Palo Alto Networks foi concluída.Quando a caixa de seleção de Criar solicitação de mudança está desmarcada, o campo Solicitação de mudança fica indisponível.
Marcador de EDL para observáveis Este campo será exibido somente se a caixa de seleção Exibir marcador estiver marcada. O campo é preenchido automaticamente depois que a EDL é salva com um valor padrão do campo Nome. Para obter mais informações sobre como alterar o nome e a cor do marcador padrão, consulte (Opcional) Editar o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall
Solicitação de mudança Quando a caixa de seleção Criar solicitação de mudança está marcada, o número da solicitação de mudança é exibido na instância Now Platform depois que a EDL é salva. Quando a caixa de seleção de Criar solicitação de mudança está desmarcada, este campo não é exibido.
Descrição Descrição da lista dinâmica do firewall da Palo Alto Networks. O nome geralmente contém os tipos de sites e observáveis que você espera que estejam neste EDL e você pode usar este campo para obter mais detalhes. Período de expiração (dias) Período de expiração da EDL. 0 (o padrão) indica que a entrada de EDL nunca expira.
Se você alterar este valor, esta entrada ficará ativa pelo número de dias inserido. Você pode inserir um valor mínimo de 1 e não há valor máximo.
Por exemplo, se você inserir 30 dias às 14h01 do dia 1º de maio, a EDL expirará às 14h01 do dia 31 de maio.
Todas as entradas nesta EDL herdam este valor por padrão, a menos que você substitua o valor com base na entrada individual.
-
Se a lista Listas dinâmicas externas do firewall da Palo Alto Networks não for exibida, navegue até e clique em Configuração de EDL do firewall.
O novo EDL é exibido. O status da EDL ainda está inativo (falso), o que significa que a EDL não está disponível para aceitar entradas. Se Criar solicitação de mudança tiver sido configurado, uma mensagem será exibida indicando que uma solicitação de mudança e tarefas foram criadas em sua instância Now Platform.
-
Na coluna Nome, clique em um item para abrir o registro.
O registro de EDL é exibido. Este exemplo mostra um EDL de IP de saída de malware. Os campos, opções e links a seguir são exibidos no novo registro após o envio e descritos na tabela a seguir.
Tabela 2. URL de recuperação e links de solicitação de mudança no registro de EDL Opção Descrição URL de recuperação do firmware do e-mail Envia por e-mail um aviso de que o link da EDL está disponível para configuração ao administrador do firewall Palo Alto Networks. URL de recuperação da EDL Este URL é colocado no campo Origem na caixa de diálogo de autenticação Listas dinâmicas externas na guia Criar lista no site Palo Alto Networks. O link de URL que o administrador do firewall Palo Alto Networks usa para configuração no firewall Palo Alto Networks é gerado e exibido automaticamente.
Nota:Se você tiver as Configurações do sistema definidas como Formulários com guias, este link será exibido na guia Informações de recuperação de EDL na parte inferior do registro.Now Platform solicitação de mudança Um link para o registro de solicitação de mudança é exibido na seção Solicitações de mudança quando configurado, e o número da solicitação é exibido no campo Solicitação de mudança. Atualizar Modifique os dados e atualize os campos editáveis. Excluir Exclua o registro.