Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les observables joints à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste dynamique externe (EDL) aux EDL. Un processus d’approbation des entrées EDL fait partie du workflow préconfiguré. Le pare-feu importe les entrées EDL (adresses IP, URL, domaines) qui sont incluses dans les listes d’EDL et applique la stratégie.

    Avant de commencer

    Rôle requis : sn_si.analyst pour la soumission des entrées EDL. Pour approuver les entrées EDL : l’approbation est attribuée à sn_si.admin par défaut, mais cette autorisation peut être attribuée selon les besoins de votre organisation.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs ayant le rôle sn_si.analyst soumettent des entrées EDL en demandant un blocage des observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée EDL avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Incidents > Afficher les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
    2. Cliquez sur le lien connexe Afficher IoC .
      Afficher le lien connexe IoC dans l’enregistrement d’incident de sécurité.
    3. Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
      Sélectionnez des observables et exécutez une demande de bloc sur l’enregistrement d’incident de sécurité.
    4. Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône de recherche).
    5. Dans la liste qui s’affiche, sélectionnez l’EDL auquel vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (URL) doit correspondre au type d’observable de l’EDL (URL).
      Sélectionnez l’EDL pour l’entrée.
    6. Dans la boîte de dialogue Demande de bloc avec le nom de l’EDL affiché dans le champ Implémentation , cliquez sur Bloquer.
      Boîte de dialogue Demande de bloc.
    7. Accédez à la Intégration de Palo Alto Networks NGFW > Entrées de l'EDL du pare-feu et cliquez sur Entrées EDL du pare-feu.
      Liste des entrées de l’EDL du pare-feu.
    8. Dans la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.

      Pour cet exemple, l’enregistrement de mail.dgtnetworks.com s’affiche.

      Enregistrement d’entrée de l’EDL.

      L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée EDL est prête à être approuvée.

      Les champs Valeur d’entrée et Observable présentent des formats différents pour l’observable d’URL.

      Le champ de valeur d’entrée et le champ Observable présentent des formats différents pour le même observable.

      L’icône en regard du champ Observable est un lien vers la Now Platform® table Observable.

      La valeur du champ Observable (http://mail.dgtnetworks.com) est liée à la table Observable et correspond au format qui a été apporté à partir de l’événement déclenchant l’incident Réponse aux incidents de sécurité .

      Ils Now Platform® peuvent modifier automatiquement les entrées de l’EDL afin qu’elles soient compatibles avec le format de l’URL de l’EDL Palo Alto Networks .

      Dans cet exemple, l’observable a été créé avec le protocole http:// (http://mail.dgtnetworks.com), et ce format est affiché dans le champ Observable. Le protocole http:// est automatiquement supprimé de l’observable par le Now Platform® afin qu’il soit compatible Palo Alto Networks et puisse être récupéré. Par conséquent, mail.dgtnetworks.com s’affiche dans le champ Valeur d’entrée .

    Que faire ensuite

    Approuvez les entrées EDL.