Palo Alto Networks Next-Generation Firewall에 대한 차단 목록에서 EDL 항목 제출
악성으로 판단되고 특정 ServiceNow AI Platform 보안 인시던트와 연결되지 않은 옵저버블의 경우 차단 목록에서 EDL(External Dynamic List) 항목을 제출합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
프로시저
-
다음으로 이동 .
-
표시되는 새 레코드의 항목 값 필드에 옵저버블에 대한 값을 입력합니다.
이 항목의 가능한 두 가지 결과:
- 양식의 나머지 필드는 자동으로 작성됩니다.
- 일치하는 옵저버블이 발견되면 일치하는 옵저버블이 존재한다는 메시지가 표시됩니다. 이 항목을 연결할 EDL을 선택하고 제출을 클릭합니다. 만료 기간을 설정하기 전에 이 항목을 연결할 EDL을 선택합니다.
- 양식을 작성하도록 요청하는 메시지가 표시됩니다.
- 일치하는 옵저버블을 찾을 수 없으므로, 양식을 작성해야 합니다. 완료 후 옵저버블을 연결할 EDL을 선택하고 제출을 클릭합니다. 옵저버블 기록이 생성됩니다.
다음 그림은 기존 도메인 옵저버블의 예와 필드가 자동으로 완료되는 방법을 보여줍니다.
-
나머지 정보를 수동으로 입력하도록 요청하는 메시지가 표시되면 필드에 내용을 입력합니다.
필드 설명 옵저버블 유형 대화 상자에서 지원되는 옵저버블 유형입니다. EDL 이름 항목을 첨부할 EDL입니다. 주:만료 기간을 설정하기 전에 항목을 연결할 EDL을 선택합니다.재정의 사용(기본값이 선택됨) 조회 결과 또는 소스입니다. 구성된 경우 조회 결과 와 결과를 찾는 데 사용되는 소스를 입력할 수 있습니다. 이러한 필드는 일반적으로 보안 인시던트 기록이 생성될 때 채워집니다. 이 경우 조회 결과나 소스가 없으며 이러한 필드를 수동으로 채웁니다. 조회 결과 알 수 없음 또는 악성을 선택합니다. 소스 EDL 항목에서 위협 조회를 수행하는 소스(예: ThreatCrowd 등) 만료 기간 기본적으로 EDL에서 상속된 만료 기간입니다. 이 값을 재정의할 수 있지만 항목을 생성하는 동안에만 가능합니다. 0 은 EDL 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 이 항목은 입력한 일수 동안 활성화됩니다. 최소값은 1로 입력할 수 있으며 최댓값은 없습니다.
예를 들어 5월 1일 오후 2시 1분에 30 일을 입력하면 EDL 항목은 5월 31일 오후 2시 1분에 만료됩니다.
-
제출을 클릭합니다.
EDL 항목의 기본 만료 기간을 변경한 경우 기간이 선택한 EDL과 다르다는 경고 확인 대화 상자가 표시됩니다.
-
표시되지 않으면 Palo Alto Networks 방화벽 외부 동적 목록 항목 목록으로 이동하여 항목의 상태가 보류 중인지 확인합니다.
이제 항목을 승인할 준비가 되었습니다.