Une fois l’installation et la configuration effectuées, l’analyste des incidents de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste dynamique externe (EDL) avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). L’analyste des incidents de sécurité crée des entrées pour une EDL à partir d’observables identifiés comme malveillants sur ServiceNow SIR les incidents de sécurité.

Un EDL est un fichier texte qui est hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre Now Platform instance, ce qui vous permet Palo Alto Networks - Next-Generation Firewall d’importer des objets inclus dans la liste, des adresses IP, des URL et des domaines, et d’appliquer la stratégie.

Pour appliquer la politique aux entrées EDL, la liste est référencée dans une règle de politique ou un profil. Au fur et à mesure que les entrées EDL sont modifiées, le pare-feu importe dynamiquement la liste à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées EDL qui sont récupérées par autorisé Palo Alto Networks - Next-Generation Firewall aux intervalles de récupération configurés.

L’intégration nécessite que les modules d’extension (com.snc.security_incident) et (com.snc.secops.orchestration) du Réponse aux incidents de sécurité produit soient activés.

Cette intégration ne prend en charge Palo Alto Networks que (PAN-OS 8.x). Les versions antérieures ne sont pas prises en charge.

Cette intégration est compatible avec les versions Kingston, London, Madrid et New York du Now Platform®fichier .