Palo Alto ネットワーク次世代ファイアウォールの EDL 作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • ServiceNow AI Platform インスタンスに外部動的リスト (EDL) を作成します。承認されてアクティブ化されると、ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) インシデントで悪意があると判断された観測事象から EDL のエントリーを作成し、それらをブロックするための承認を要求できます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    ファイアウォールがリストに含まれているオブジェクト (IP アドレス、URL、ドメイン) をインポートできるように、ServiceNow AI Platform インスタンスに EDL を作成し、ポリシーを適用します。EDL エントリーにポリシーを適用するため、ポリシールールまたはプロファイルからリストを参照します。

    次のセクションの図は、[システムの設定] で [タブ付きフォーム] をオフにした状態で示されています。 タブ付きフォームの選択とクリアの詳細については、Configuring the form layout の「タブ付きフォームの表示」を参照してください。

    手順

    1. アプリケーションのインストールが完了したら、次の場所に移動します 統合 > 統合設定.
    2. Palo Alto Networks Next-Generation Firewall タイルを探して、[構成] をクリックします。
      Palo Alto Networks 次世代ファイアウォールの [構成] ボタン
    3. [新しい EDL リストの作成 (Create new EDL List)] をクリックします。
      [新しい EDL リストの作成 (Create new EDL List)]
    4. フォームのフィールドに入力します。
      表 : 1. [Palo Alto Networks 次世代ファイアウォール外部動的リスト (Palo Alto Networks Firewall External Dynamic List)] フォーム
      フィールド 説明
      名前 Palo Alto Networks ファイアウォール動的リスト名。

      このフィールドに観測事象タイプ (URL、IP、ドメイン) を含めて、セキュリティアナリストが名前で EDL の目的を簡単に認識できるようにします。また、これらの EDL オブジェクトがどのようなファイアウォールポリシーにマッピングされるのかを名前で明確に示す必要もあります。EDL 名の例としては、 送信マルウェア IP、 送信フィッシング URL などが挙げられます。
      アクティブ デフォルトではこのチェックボックスはオフになっており、EDL が非アクティブであることを示します。

      EDL が非アクティブの場合、追加のエントリーを受け取ることができません。

      チェックボックスをオンにすると、EDL が有効になり、EDL エントリーに使用できるようになります。
      タグを表示 このチェックボックスはデフォルトでオンになっており、観測事象が EDL でブロックされた場合に、観測事象と関連するセキュリティインシデントレコードに自動的にタグが付きます。オンにすると、[タグタイプ] フィールドと [観測事象の EDL タグ (EDL tag for observables)] フィールドをフォームで使用できるようになります。
      注:
      タグ名は、デフォルトでは、[名前] フィールドに入力した値に、EDL- プリフィックスを付けたものになります (例: EDL-マルウェア送信 IP)。タグの名前と色は変更できます。「(オプション) Palo Alto Networks Next-Generation Firewall のセキュリティタグ名の編集」を参照してください。EDL が保存されると、[観測事象の EDL タグ (EDL tag for observables)] フィールドにタグ名が表示されます。

      このチェックボックスをオフにすると、タグが作成されず、[タグタイプ] および [観測事象の EDL タグ (EDL tag for observables)] フィールドをフォームで使用できなくなります。
      観測事象タイプ この EDL が受け付ける観測事象タイプ (IP (CIDR を含む)、URL、またはドメイン) を選択します。
      タグタイプ 選択リストから選択可能なタグ。

      ブロックリストは、Palo Alto Networks Next-Generation Firewall にブロックしてほしい観測事象のリストです。

      許可リストは、 Palo Alto Networks Next-Generation Firewall に許可してほしい観測事象のリストです。

      デフォルトでは、ブロックリストのタグの色は黒で、許可リストのタグの色はグレーです。色は変更できます。「(オプション) Palo Alto Networks Next-Generation Firewall のセキュリティタグ名の編集」を参照してください。
      変更要求の作成 このチェックボックスはデフォルトでオンになっており、ServiceNow AI Platform インスタンスで変更要求と変更タスクを自動的に作成し、EDL レコードに添付します。

      変更要求は、Palo Alto Networks Next-Generation Firewall サーバーで EDL リスト取得 URL を設定するために使用されます。

      ファイアウォールアドミニストレーターがファイアウォールポリシーまたはルールの変更に ServiceNow AI Platform も使用している場合は、このオプションをお勧めします。要求を作成して、要求がクローズされると、EDL リストは自動的に有効になります。

      Palo Alto Networks の設定が完了したことの通知をファイアウォールアドミンからメールで受け取った後に、EDL を手動でアクティブ化する場合は、チェックボックスをオフにします。

      [変更要求の作成] チェックボックスをオフにすると、[変更の要求] フィールドは使用できなくなります。
      観測事象の EDL タグ このフィールドは、[タグを表示] チェックボックスがオンになっている場合にのみ表示されます。EDL が保存されると、このフィールドに [名前] フィールドのデフォルト値が自動的に入力されます。

      デフォルトのタグ名と色の変更の詳細については、「(オプション) Palo Alto Networks Next-Generation Firewall のセキュリティタグ名の編集」を参照してください。
      変更要求 [変更要求の作成] チェックボックスをオンにすると、EDL が保存されたときに、ServiceNow AI Platform インスタンスに変更要求番号が表示されます。

      [変更要求の作成] チェックボックスをオフにすると、このフィールドは表示されません。
      説明 Palo Alto Networks ファイアウォール動的リストの説明。名前には通常、この EDL にあると予想されるサイトと観測事象のタイプが含まれており、このフィールドを使用して詳細を確認できます。
      有効期間 (日数) EDL の有効期間。

      0 (デフォルト) は、EDL エントリーが無期限であることを示します。

      この値を変更すると、このエントリーは入力した日数の間有効になります。入力できる最小値は 1 で、最大値はありません。

      たとえば、5 月 1 日の午後 2 時 1 分に 30 日と入力すると、EDL は 5 月 31 日の午後 2 時 1 分に有効期限切れになります。

      この EDL のすべてのエントリーは、個々のエントリー単位で値を上書きしない限り、デフォルトでこの値を継承します。
      完成し、送信可能な EDL レコード
    5. [送信] をクリックします。
    6. [Palo Alto Networks ファイアウォール外部動的リスト] リストが表示されない場合は、 Palo Alto Networks NGFW 統合 > ファイアウォール EDL 構成 をクリックし、[ ファイアウォール EDL 構成] をクリックします。
      [ファイアウォール EDL 構成] を選択します。
      新しい EDL が表示されます。EDL ステータスはまだ非アクティブ (false) です。これは、EDL がエントリーを受け入れることができないことを意味します。[変更要求の作成] が設定されている場合は、ServiceNow AI Platform インスタンスに変更の要求とタスクが作成されたことを示すメッセージが表示されます。
      EDL リストの変更要求メッセージ
    7. [名前] 列でアイテムをクリックしてレコードを開きます。
      EDL レコードが表示されます。この例では、マルウェア送信 IP EDL を示しています。次のフィールド、オプション、リンクが送信後に新しいレコードに表示されます。詳細は次の表を参照してください。
      EDL 取得 URL、メール取得 URL ボタン、変更要求へのリンク
      表 : 2. EDL レコード上の取得 URL と変更要求リンク
      オプション 説明
      メール FW 取得 URL Palo Alto Networks ファイアウォールアドミニストレーターに、設定のための EDL リンクが使用可能であることをメールで通知します。
      EDL 取得 URL この URL は、Palo Alto Networks Web サイトの [リストを作成 (Create List)] タブの [外部動的リスト認証 (External Dynamic Lists authentication)] ダイアログボックスの [ソース] フィールドに配置されます。

      Palo Alto Networks ファイアウォールアドミニストレーターが Palo Alto Networks ファイアウォールの設定に使用する URL リンクが自動的に生成され、表示されます。

      注:
      [システムの設定] を [タブ付きフォーム] に設定している場合、このリンクはレコード下部の [EDL 取得情報] タブに表示されます。
      ServiceNow AI Platform 変更要求 設定時に変更要求レコードへのリンクが [変更の要求] セクションに表示され、要求番号が [変更の要求] フィールドに表示されます。
      更新 データを変更し、編集可能なフィールドを更新します。
      削除 レコードを削除します。
    8. 必要に応じて、さらに EDL を作成して追加します。
      EDL は [Palo Alto Networks 外部動的リスト] リストに表示されます。

    次のタスク

    手動で、または ServiceNow AI Platform 変更要求を使用して、EDL をアクティブ化します。