Senden Sie EDL-Einträge aus einem Security Incident-Datensatz für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • An einen Security Incident-Datensatz angehängte erkennbare Elemente werden als EDL-Einträge (External Dynamic List) an EDLs zur Genehmigung übermittelt. Ein Genehmigungsprozess für EDL-Einträge ist Teil des vorkonfigurierten Workflows. Die Firewall importiert EDL-Einträge (IP-Adressen, URLs, Domänen), die in EDL-Listen enthalten sind, und erzwingt die Richtlinie.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst zum Übermitteln von EDL-Einträgen. So genehmigen Sie EDL-Einträge: Die Genehmigung ist standardmäßig sn_si.admin zugewiesen, diese Berechtigung kann jedoch nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Benutzer mit der Rolle „sn_si.analyst“ übermitteln EDL-Einträge, indem sie eine Sperre für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein EDL-Eintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen, und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf den zugehörigen Link IoC anzeigen.
      Zugehörigen Link „IoC“ im Security Incident-Datensatz anzeigen.
    3. Wählen Sie in der zugehörigen Liste „Erkennbare Elemente“ die erkennbaren Elemente aus, die Sie blockieren möchten, und wählen Sie in der Liste Aktionen für ausgewählte Zeilen die Option Anforderungblockieren aus.
      Erkennbare Elemente auswählen und Blockierungsanforderung für Security Incident-Datensatz ausführen.
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Suchsymbol).
    5. Wählen Sie in der angezeigten Liste die EDL aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der erkennbare Elementtyp (URL) des Eintrags mit dem erkennbaren EDL-Typ (URL) übereinstimmen.
      Wählen Sie die EDL für den Eintrag aus.
    6. Klicken Sie im Dialogfeld „ Sperranforderung “ mit dem EDL-Namen im Feld „ Implementierung“ auf Sperren.
      Dialogfeld „Sperranforderung“
    7. Navigieren zu Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträge und klicken Sie auf Firewall EDL-Einträge.
      Liste der Firewall-EDL-Einträge
    8. Klicken Sie in der Liste Palo Alto Networks-Firewall der externen dynamischen Listeneinträge in der Spalte Eingabewert auf das erkennbare Element, um den Datensatz zu öffnen.

      In diesem Beispiel wird der Datensatz für mail.dgtnetworks.com angezeigt.

      EDL-Eintragsdatensatz.

      Der Status lautet Ausstehend, das Kontrollkästchen Aktiv ist deaktiviert, und die Arbeitsnotizen zeigen an, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorliegt. Diese EDL-Zutrittsanforderung ist zur Genehmigung bereit.

      Die Felder Eingabewert und Erkennbares Element zeigen unterschiedliche Formate für das erkennbare URL-Element an.

      Eingabewertfeld und Feld „Erkennbares Element“ zeigen unterschiedliche Formate für dasselbe erkennbare Element an.

      Das Symbol neben dem Feld „Erkennbares Element“ ist ein Link zur Tabelle „Erkennbares Element Now Platform® “ .

      Der Wert im Feld „Erkennbares Element “ (http://mail.dgtnetworks.com) ist mit der Tabelle „Erkennbares Element“ verknüpft und stimmt mit dem Format überein, das aus dem Incident-auslösenden Event Security Incident Response übernommen wurde.

      Now Platform® kann EDL-Einträge automatisch so ändern, dass sie mit dem EDL-URL-Format von Palo Alto Networks kompatibel sind.

      In diesem Beispiel wurde das erkennbare Element mit dem Protokoll http:// (http://mail.dgtnetworks.com) erstellt, und dieses Format wird im Feld Erkennbares Element angezeigt. Das Protokoll http:// wird automatisch von Now Platform® aus dem erkennbaren Element entfernt, sodass es mit Palo Alto Networks kompatibel ist und abgerufen werden kann. Daher wird mail.dgtnetworks.com im Feld Eingabewert angezeigt.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.