Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

Gestion de la sécurité Australie

Release

australia

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Australie

ft:clusterId

security

bundleId

security

workflow

Technology

Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

Rversion finale: Australia

Mis à jour 12 mars 2026

2 minutes de lecture

Les observables joints à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste dynamique externe (EDL) aux EDL. Un processus d’approbation des entrées EDL fait partie du workflow préconfiguré. Le pare-feu importe les entrées EDL (adresses IP, URL, domaines) qui sont incluses dans les listes EDL et applique la politique.

Avant de commencer

Rôle requis : sn_si.analyst pour soumettre des entrées EDL. Pour approuver les entrées EDL : l’approbation est affectée à sn_si.admin par défaut, mais cette autorisation peut être attribuée à la demande de votre organisation.

Pourquoi et quand exécuter cette tâche

Les utilisateurs disposant du rôle sn_si.analyst soumettent des entrées d’EDL en demandant un blocage sur les observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée EDL avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

Procédure

Accédez à la Tous > Incident de sécurité > Incidents > Afficher les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
Cliquez sur le lien connexe Afficher les IoC .
Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône ).
Dans la liste qui s’affiche, sélectionnez l’EDL à laquelle vous souhaitez attacher cette entrée.

Remarque :
Pour cet exemple, le type d’observable de l’entrée (URL) doit correspondre au type d’observable de l’EDL (URL).
Dans la boîte de dialogue Bloquer la demande avec le nom de l’EDL affiché dans le champ Implémentation , cliquez sur Bloquer.
Accédez à la Intégration de Palo Alto Networks NGFW > Entrées de l’EDL du pare-feu et cliquez sur Entrées EDL du pare-feu.
Dans la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.

Pour cet exemple, l’enregistrement de mail.dgtnetworks.com s’affiche .

L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée EDL est prête à être approuvée.

Les champs Valeur d’entrée et Observable ont des formats différents pour l’observable d’URL.

L’icône en regard du champ Observable est un lien vers la ServiceNow AI Platform® table Observable.

La valeur du champ Observable (http://mail.dgtnetworks.com) est liée à la table Observable et correspond au format qui a été apporté à partir de l’événement déclenchant l’incident Réponse aux incidents de sécurité .

Ils ServiceNow AI Platform® peuvent modifier automatiquement les entrées EDL afin qu’elles soient compatibles avec le format d’URL EDL Palo Alto Networks .

Dans cet exemple, l’observable a été créé avec le protocole http:// (http://mail.dgtnetworks.com), et ce format est affiché dans le champ Observable. Le protocole http:// est automatiquement supprimé de l’observable par le afin qu’il ServiceNow AI Platform® soit compatible avec Palo Alto Networks et puisse être récupéré. Par conséquent, mail.dgtnetworks.com s’affiche dans le champ Valeur d’entrée .

Que faire ensuite

Approuver les entrées EDL.