Soumettre des entrées EDL à partir de la liste de blocs pour Palo Alto Networks - Next-Generation Firewall

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Pour les observables déterminés comme malveillants et non associés à un incident de sécurité spécifique Now Platform , vous soumettez des entrées de liste dynamique externe (EDL) à partir de la liste de blocs.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Lorsque vous souhaitez bloquer un observable que vous avez déterminé comme malveillant ou autoriser un observable que vous avez déterminé comme non malveillant et que l’observable n’est pas associé à un enregistrement d’incident de sécurité spécifique Now Platform , vous soumettez les entrées EDL directement à partir de la liste de blocs. Des exemples de ces types d’entrées EDL peuvent être des URL ou des domaines pour des sites spécifiques.

    Procédure

    1. Accédez à la Tout > Intégration de Palo Alto Networks NGFW > Entrées de l'EDL du pare-feu.
      Entrées d’EDL de pare-feu dans le navigateur d’application.
    2. Cliquez sur le module Entrées de l’EDL du pare-feu .
    3. Dans la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur Nouveau.
    4. Dans le nouvel enregistrement qui s’affiche, saisissez une valeur pour votre observable dans le champ Valeur d’entrée .
      Les deux résultats possibles de cette entrée :
      Les champs restants du formulaire sont remplis automatiquement.
      Un observable correspondant est trouvé et un message s’affiche indiquant qu’un observable correspondant existe. Sélectionnez l’EDL à laquelle vous souhaitez joindre cette entrée et cliquez sur Soumettre. Sélectionnez l’EDL auquel vous souhaitez joindre cette entrée avant de définir la période d’expiration.
      Un message s’affiche pour vous demander de remplir le formulaire.
      Aucun observable correspondant n’a été trouvé et vous devez remplir le formulaire. Une fois que vous l’avez terminé, sélectionnez l’EDL auquel vous souhaitez joindre l’observable et cliquez sur Envoyer. Un enregistrement d’observable est créé.

      La figure suivante montre un exemple d’observable de domaine existant et comment les champs sont remplis automatiquement.

      L’observable correspondant existe.
    5. Cliquez sur l’icône de recherche pour sélectionner l’EDL à laquelle vous souhaitez joindre l’entrée.
    6. Cliquez sur Envoyer.
      Si vous avez configuré une approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
    7. Si un message s’affiche vous demandant de remplir manuellement le reste des informations, renseignez les champs.
      Il n’existe aucun observable correspondant.
      Champ Description
      Type d'observable Type d’observable pris en charge à partir de la boîte de dialogue.
      Nom de l'EDL EDL auquel vous souhaitez joindre l’entrée.
      Remarque :
      Sélectionnez l’EDL à laquelle vous souhaitez joindre l’entrée avant de définir la période d’expiration.
      Activer le remplacement (sélectionné par défaut) Rechercher un résultat ou une source. Une fois configuré, elle vous permet d’entrer un résultat de recherche et la source utilisée pour trouver les résultats. Ces champs sont généralement renseignés lors de la création d’un enregistrement d’incident de sécurité. Dans ce cas, il n’y a pas de recherche de résultat ou de source, et vous renseignez ces champs manuellement.
      Rechercher un résultat Sélectionnez Inconnu ou Malicieuse.
      Source Source qui effectue une recherche de menace sur l’entrée EDL, par exemple, ThreatCrowd...
      Période d’expiration Période d’expiration héritée de l’EDL par défaut. Vous pouvez remplacer cette valeur, mais uniquement lors de la création de l’entrée.

      0 indique que l’entrée EDL n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous entrez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous saisissez 30 jours à 14 h 01 le 1er mai, l’entrée EDL expirera à 14 h 01 le 31 mai.
    8. Cliquez sur Envoyer.
      Si vous avez modifié la période d’expiration par défaut de l’entrée EDL, une boîte de dialogue de confirmation d’avertissement s’affiche indiquant que la période diffère de l’EDL sélectionnée.
      Boîte de dialogue de confirmation de la période d’expiration.
    9. Choisissez une option pour configurer la période d’expiration.
      OptionDescription
      Oui Confirme votre remplacement d’expiration, enregistre l’enregistrement et vous renvoie à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks . Si vous avez configuré une approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Non Annule le remplacement. À ce stade, vous pouvez modifier la valeur de la période d’expiration.

      Après avoir modifié la valeur, cliquez sur Envoyer pour revenir à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks .
    10. Si ce n’est pas le cas, accédez à la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks et notez que l’état de l’entrée est En attente.
      Liste des entrées de l’EDL du pare-feu avec entrée en attente.
      L’entrée est maintenant prête pour approbation.

    Que faire ensuite

    Approuvez les entrées EDL.