Une fois installée et configurée, l’analyste des incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des fonctionnalités de liste dynamique externe (EDL) avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). L’analyste des incidents de sécurité crée des entrées pour une EDL à partir d’observables identifiés comme malveillants sur ServiceNow SIR les incidents de sécurité.

Un EDL est un fichier texte hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre Now Platform instance, ce qui vous permet Palo Alto Networks - Next-Generation Firewall d’importer des objets inclus dans la liste, des adresses IP, des URL et des domaines, et d’appliquer la stratégie.

Pour appliquer la politique sur les entrées EDL, la liste est référencée dans une règle de politique ou un profil. Au fur et à mesure que les entrées EDL sont modifiées, le pare-feu importe dynamiquement la liste à l’intervalle configuré et applique la stratégie sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées d’EDL qui sont récupérées par les autorisés Palo Alto Networks - Next-Generation Firewallaux intervalles d’extraction configurés.

L’intégration nécessite l’activation des modules d’extension (com.snc.security_incident) et (com.snc.secops.orchestration) du Réponse aux incidents de sécurité produit.

Cette intégration ne prend en charge Palo Alto Networks que (PAN-OS 8.x). Les versions antérieures ne sont pas prises en charge.

Cette intégration est compatible avec les versions Kingston, London, Madrid et New York du Now Platform®fichier .