Créer un EDL pour le pare-feu de nouvelle génération Palo Alto Networks

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Créez une liste dynamique externe (EDL) dans votre Now Platform instance. Une fois les incidents approuvés et activés, vous pouvez créer des entrées pour les EDL à partir des observables identifiés comme malveillants sur Now Platform Réponse aux incidents de sécurité les incidents (SIR) et demander l’approbation pour les bloquer.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Créez l’EDL sur votre Now Platform instance afin que le pare-feu puisse importer les objets (adresses IP, URL, domaines) inclus dans la liste et appliquer la stratégie. Pour appliquer la politique aux entrées EDL, la liste est référencée dans une règle de politique ou un profil.

    Les figures de la section suivante sont affichées lorsque les formulaires à onglets sont désactivés dans les paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, reportez-vous à la section « Affichage des formulaires à onglets » dans .Configuring the form layout

    Procédure

    1. Une fois l’installation de l’application terminée, accédez à Intégrations > Configurations d'intégration.
    2. Localisez la Palo Alto Networks - Next-Generation Firewall vignette et cliquez sur Configurer.
      Bouton de configuration du pare-feu de nouvelle génération de Palo Alto Networks
    3. Cliquez sur Créer une nouvelle liste d’EDL.
      Créer une nouvelle liste d’EDL.
    4. Renseignez les champs du formulaire.
      Tableau 1. Palo Alto Networks Formulaire de liste dynamique externe de pare-feu
      Champ Description
      Nom Palo Alto Networks Nom de la liste dynamique de pare-feu.

      Incluez le type d’observable (URL, IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de l’EDL par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets EDL sont mappés. Voici quelques exemples de noms EDL : adresse IP de programme malveillant sortante ou URL d’hameçonnage sortante.
      Actifs Cette case est décochée par défaut pour indiquer que l’EDL est inactif.

      Lorsqu’elle est inactive, l’EDL ne peut pas recevoir d’entrées supplémentaires.

      Lorsque la case est cochée, l’EDL est activée et disponible pour les entrées EDL.
      Balise d'affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur un EDL. Lorsque cette option est sélectionnée, les champs Type de balise et Balise EDL pour les observables sont disponibles sur le formulaire.
      Remarque :
      Un nom de balise est créé par défaut à partir de la valeur que vous saisissez dans le champ Nom avec un préfixe EDL, par exemple, EDL-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall. Le nom de la balise s’affiche dans le champ Balise EDL pour les observables une fois l’EDL enregistrée.

      Lorsque la case est décochée, aucune balise n’est créée, et les champs Type de balise et Balise EDL pour les observables ne sont pas disponibles sur le formulaire.
      Type d'observable Sélectionnez un type d’observable que cette EDL accepte dans la liste de choix : IP (y compris CIDR), URL ou domaine.
      Type de balise Balises disponibles dans la liste de choix.

      Une liste de blocs est une liste d’observables que vous souhaitez Palo Alto Networks - Next-Generation Firewall bloquer.

      Une liste d’autorisation est une liste d’observables que vous souhaitez autoriser Palo Alto Networks - Next-Generation Firewall .

      Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall.
      Création d'une demande de changement Cette case à cocher est sélectionnée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre Now Platform instance, qui sont jointes à l’enregistrement EDL.

      La demande de changement est utilisée pour configurer l’URL de récupération de la liste EDL dans le Palo Alto Networks - Next-Generation Firewall serveur.

      Cette option est recommandée si votre administrateur de pare-feu utilise également le pour les modifications de politique ou de règle de Now Platform pare-feu. Si vous créez une demande, une fois qu’elle est fermée, la liste EDL est automatiquement activée.

      Décochez la case pour activer manuellement l’EDL après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que la configuration est terminée Palo Alto Networks .

      Lorsque la case à cocher Créer une demande de changement est désactivée, le champ Demande de changement n’est plus disponible.
      Balise de l'EDL pour les observables Ce champ n’est affiché que si la case Balise d’affichage est cochée. Le champ est automatiquement renseigné après l’enregistrement de l’EDL avec une valeur par défaut dans le champ Nom.

      Pour plus d’informations sur la modification du nom et de la couleur de la balise par défaut, consultez (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall
      Demande de changement Lorsque la case à cocher Créer une demande de changement est sélectionnée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois l’EDL enregistrée.

      Lorsque la case à cocher Créer une demande de changement est désactivée, ce champ n’est pas affiché.
      Description Description de la liste dynamique du pare-feu Palo Alto Networks. Le nom contient généralement les types de sites et d’observables que vous vous attendez à voir sur cette EDL, et vous pouvez utiliser ce champ pour plus de détails.
      Période d'expiration (jours) Période d’expiration de l’EDL.

      0 (valeur par défaut) indique que l’entrée EDL n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous entrez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous entrez 30 jours à 14 h 01 le 1er mai, l’EDL expirera à 14 h 01 le 31 mai.

      Toutes les entrées de cet EDL héritent alors de cette valeur par défaut, à moins que vous ne remplaciez la valeur sur la base d’une entrée individuelle.
      Enregistrement EDL rempli et prêt à être soumis.
    5. Cliquez sur Envoyer.
    6. Si la liste des listes dynamiques externes du pare-feu Palo Alto Networks n’est pas affichée, accédez à Intégration de Palo Alto Networks NGFW > Configuration de l'EDL du pare-feu et cliquez sur Configuration de l’EDL du pare-feu.
      Sélectionnez Configuration de l’EDL du pare-feu.
      Le nouvel EDL s’affiche. Le statut de l’EDL est toujours inactif (faux), ce qui signifie que l’EDL n’est pas disponible pour accepter les entrées. Si l’option Créer une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et que des tâches ont été créées dans votre Now Platform instance.
      Message de demande de changement dans la liste EDL.
    7. Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
      L’enregistrement EDL s’affiche. Cet exemple montre une EDL IP sortante de programme malveillant. Les champs, options et liens suivants sont affichés dans le nouvel enregistrement après soumission et décrits dans la table suivante.
      URL de récupération de l’EDL, bouton d’URL de récupération d’e-mail et lien vers la demande de changement.
      Tableau 2. URL de récupération et liens de demande de changement sur l’enregistrement EDL
      Option Description
      URL de récupération des TR e-mails Envoie par e-mail à l’administrateur Palo Alto Networks de pare-feu un avis indiquant que le lien EDL est disponible pour configuration.
      URL de récupération de l'EDL Cette URL est placée dans le champ Source de la boîte de dialogue d’authentification des listes dynamiques externes de l’onglet Créer une Palo Alto Networks liste du site Web.

      Le lien URL utilisé par l’administrateur Palo Alto Networks de pare-feu pour la configuration dans le Palo Alto Networks pare-feu est automatiquement généré et affiché.

      Remarque :
      Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations sur la récupération de l’EDL au bas de l’enregistrement.
      Now Platform Demande de changement Un lien vers l’enregistrement de demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement.
      Mettre à jour Modifiez les données et mettez à jour les champs modifiables.
      Supprimer Supprimer l’enregistrement.
    8. Créez et ajoutez d’autres EDL selon vos besoins.
      Les EDL sont affichées dans la Palo Alto Networks liste des listes dynamiques externes.

    Que faire ensuite

    Activer un EDL manuellement ou avec une demande de Now Platform changement.