Soumettre des entrées EDL à partir de la liste de blocs pour Palo Alto Networks - Next-Generation Firewall

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Pour les observables déterminés comme malveillants et non associés à un incident de sécurité spécifique ServiceNow AI Platform , vous soumettez des entrées de liste dynamique externe (EDL) à partir de la liste de blocs.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Lorsque vous souhaitez bloquer un observable que vous avez déterminé comme malveillant, ou autoriser un observable que vous avez déterminé comme non malveillant et que l’observable n’est pas associé à un enregistrement d’incident de sécurité spécifique ServiceNow AI Platform , vous soumettez des entrées EDL directement à partir de la liste de blocage. Des exemples de ces types d’entrées EDL peuvent être des URL ou des domaines pour des sites spécifiques.

    Procédure

    1. Accédez à la Tous > Intégration de Palo Alto Networks NGFW > Entrées de l’EDL du pare-feu.
      Entrées de l’EDL du pare-feu sur le navigateur d’application.
    2. Cliquez sur le module Entrées de l’EDL du pare-feu .
    3. Dans la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur Nouveau.
    4. Dans le nouvel enregistrement qui s’affiche, dans le champ Valeur d’entrée , saisissez une valeur pour votre observable.
      Les deux résultats possibles de cette entrée :
      Les autres champs du formulaire sont renseignés automatiquement.
      Un observable correspondant est trouvé et un message s’affiche pour indiquer qu’un observable correspondant existe. Sélectionnez l’EDL à laquelle vous souhaitez joindre cette entrée, puis cliquez sur Envoyer. Sélectionnez l’EDL à laquelle vous souhaitez attacher cette entrée avant de définir la période d’expiration.
      Un message s’affiche pour vous demander de remplir le formulaire.
      Aucun observable correspondant n’a été trouvé et vous devez remplir le formulaire. Une fois que vous l’avez terminé, sélectionnez l’EDL à laquelle vous souhaitez joindre l’observable, puis cliquez sur Soumettre. Un enregistrement d’observable est créé.

      La figure suivante illustre un exemple d’observable de domaine existant et explique comment les champs sont renseignés automatiquement.

      Un observable correspondant existe.
    5. Cliquez sur l’icône de recherche pour sélectionner l’EDL à laquelle vous souhaitez joindre l’entrée.
    6. Cliquez sur Envoyer.
      Si vous avez configuré l’approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
    7. Si un message s’affiche et vous demande de renseigner manuellement le reste des informations, renseignez les champs.
      Il n’existe aucun observable correspondant.
      Champ Description
      Type d'observable Type d’observable pris en charge à partir de la boîte de dialogue.
      Nom de l’EDL EDL à laquelle vous souhaitez joindre l’entrée.
      Remarque :
      Sélectionnez l’EDL à laquelle vous souhaitez joindre l’entrée avant de définir la période d’expiration.
      Activer le remplacement (sélectionné par défaut) Rechercher le résultat ou la source. Une fois configuré, il vous permet d’entrer un résultat de recherche et la source utilisée pour trouver les résultats. Ces champs sont généralement renseignés lors de la création d’un enregistrement d’incident de sécurité. Dans ce cas, il n’y a pas de résultat de recherche ni de source, et vous remplissez ces champs manuellement.
      Rechercher un résultat Sélectionnez Inconnu ou Malicieux.
      Source Source qui effectue une recherche de menace sur l’entrée EDL, par exemple, ThreatCrowd...
      Période d’expiration La période d’expiration héritée de l’EDL par défaut. Vous pouvez remplacer cette valeur, mais uniquement lors de la création de l’entrée.

      0 indique que l’entrée EDL n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez saisir une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous saisissez 30 jours à 14h01 le 1er mai, l’entrée EDL expirera à 14h01 le 31 mai.
    8. Cliquez sur Envoyer.
      Si vous avez modifié la période d’expiration par défaut de l’entrée EDL, une boîte de dialogue de confirmation d’avertissement s’affiche indiquant que la période diffère de l’EDL sélectionnée.
      Boîte de dialogue de confirmation de la période d’expiration.
    9. Choisissez une option pour configurer la période d’expiration.
      OptionDescription
      Oui Confirme votre remplacement d’expiration, enregistre l’enregistrement et vous renvoie à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks . Si vous avez configuré l’approbation par e-mail dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Non Annule le remplacement. À ce stade, vous pouvez modifier la valeur de la période d’expiration.

      Après avoir modifié la valeur, cliquez sur Envoyer pour revenir à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks .
    10. Si elle n’est pas affichée, accédez à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks et notez que l’état de l’entrée est En attente.
      Liste des entrées de l’EDL du pare-feu avec entrée en attente.
      L’entrée est maintenant prête à être approuvée.

    Que faire ensuite

    Approuver les entrées EDL.