Senden Sie EDL-Einträge aus der Sperrliste für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als schädlich eingestuft wurden und keinem bestimmten Security Incident Now Platform zugeordnet sind, übermitteln Sie EDL-Einträge (External Dynamic List) aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, von dem Sie festgestellt haben, dass es schädlich ist, oder zulassen möchten, dass ein erkennbares Element von Ihrer Meinung nach nicht schädlich ist und keinem bestimmten Now Platform Security Incident-Datensatz zugeordnet ist, übermitteln Sie EDL-Einträge direkt aus der Sperrliste. Beispiele für diese Art von EDL-Einträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträgean.
      Firewall-EDL-Einträge im Anwendungsnavigator.
    2. Klicken Sie auf das Modul Firewall-EDL-Einträge.
    3. Klicken Sie in der Liste Palo Alto Networks-Firewall der externen dynamischen Listeneinträge auf Neu.
    4. Geben Sie im neuen Datensatz, der angezeigt wird, im Feld Eingabewert einen Wert für Ihr erkennbares Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      Die übrigen Felder des Formulars werden automatisch ausgefüllt.
      Es wird ein übereinstimmendes erkennbares Element gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Formular auszufüllen.
      Es wurde kein passendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Nachdem Sie den Vorgang abgeschlossen haben, wählen Sie die EDL aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz eines erkennbaren Elements wird erstellt.

      Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.

      Übereinstimmendes erkennbares Element vorhanden.
    5. Klicken Sie auf das Suchsymbol, um die EDL auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
      Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
    7. Wenn eine Meldung angezeigt wird, in der Sie aufgefordert werden, die restlichen Informationen manuell einzugeben, füllen Sie die Felder aus.
      Es ist kein übereinstimmendes erkennbares Element vorhanden.
      Feld Beschreibung
      Erkennbarer Typ Erkennbarer Typ, der vom Dialogfeld unterstützt wird.
      EDL-Name EDL, an die Sie den Eintrag anhängen möchten.
      Hinweis:
      Wählen Sie die EDL aus, an die der Eintrag angehängt werden soll, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standardeinstellung ist ausgewählt) Suchergebnis oder -quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, in der die Ergebnisse gefunden wurden. Diese Felder werden normalerweise gefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Suchquelle, und Sie füllen diese Felder in manuell aus.
      Suchergebnis Wählen Sie Unbekannt oder Böswillig aus.
      Quelle Quelle, die eine Bedrohungssuche für den EDL-Eintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der standardmäßig von der EDL geerbte Ablaufzeitraum. Sie können diesen Wert überschreiben, jedoch nur während der Erstellung des Eintrags.

      0 gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1eingeben. Es gibt keinen Höchstwert.

      Wenn Sie beispielsweise am 1. Mai um 14:01 Uhr 30  Tage eingeben, läuft der EDL-Eintrag am 31. Mai um 14:01 Uhr ab.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des EDL-Eintrags geändert haben, wird ein Bestätigungsdialogfeld mit einer Warnung angezeigt, das Sie darauf hinweist, dass sich der Zeitraum von der ausgewählten EDL unterscheidet.
      Bestätigungsdialogfeld für Ablaufzeitraum.
    9. Wählen Sie eine Option aus, um den Ablaufzeitraum zu konfigurieren.
      OptionBeschreibung
      Ja Bestätigt Ihre Ablaufüberschreibung, speichert den Datensatz und leitet Sie zur Liste der externen dynamischen Listeneinträge für Palo Alto Networks-Firewall zurück. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für den Ablaufzeitraumändern.

      Nachdem Sie den Wert geändert haben, klicken Sie auf Absenden, um zur Liste der externen dynamischen Listeneinträge für Palo Alto Networks-Firewall zurückzukehren.
    10. Falls nicht angezeigt, navigieren Sie zur Liste der externen dynamischen Listeneinträge für Palo Alto Networks-Firewall, und beachten Sie, dass der Status für den Eintrag Ausstehend ist.
      Liste der Firewall-EDL-Einträge mit ausstehendem Eintrag.
      Der Eintrag ist jetzt zur Genehmigung bereit.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.