Palo Alto Networks - Next-Generation Firewall integration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Une fois installé et configuré, l’analyste d’incident de sécurité utilise cette intégration pour bloquer les adresses IP, les URL et les domaines malveillants à l’aide des options de liste dynamique externe (EDL) avec les ServiceNow Réponse aux incidents de sécurité produits (SIR). L’analyste des incidents de sécurité crée des entrées pour une EDL à partir d’observables déterminés comme malveillants lors ServiceNow SIR d’incidents de sécurité.

    Une EDL est un fichier texte hébergé sur un serveur Web externe. Pour cette intégration, ce serveur Web est votre Now Platform instance, qui vous permet d’importer Palo Alto Networks - Next-Generation Firewall des objets inclus dans la liste, les adresses IP, les URL et les domaines, et d’appliquer la politique.

    Pour appliquer la politique sur les entrées EDL, la liste est référencée dans une règle ou un profil de politique. Au fur et à mesure que les entrées EDL sont modifiées, le pare-feu importe dynamiquement la liste à l’intervalle configuré et applique la politique sans changement de configuration ni validation sur le pare-feu. Pour cette intégration, Now Platform a créé une table contenant les entrées EDL qui sont récupérées par les personnes autorisées Palo Alto Networks - Next-Generation Firewall aux intervalles de récupération configurés.

    L’intégration comprend les fonctionnalités suivantes :
    • Flexibilité de création de plusieurs EDL qui s’appliquent à différentes politiques de pare-feu, de refus ou d’autorisation.
    • Rapports détaillés sur les types de sites bloqués (hameçonnage, programmes malveillants et sites sur liste d’autorisation).
    • Balisage des incidents de sécurité avec des entrées EDL par type d’observable Now Platform (URL, domaine, adresse IP).
    • Configurer les périodes d’expiration des EDL pour conserver la taille de leur liste en faisant automatiquement expirer ou en supprimant les entrées les plus anciennes.
    • Recherche, suppression ou migration d’entrées EDL entre des listes EDL.
    • Liaison des entrées EDL aux enregistrements d’observables et aux incidents de sécurité qui incluent des résultats de Threat Intelligence et des détails sur les raisons pour lesquelles une entrée est bloquée.

    L’intégration nécessite que les modules d’extension (com.snc.security_incident) et (com.snc.secops.orchestration) du Réponse aux incidents de sécurité produit soient activés.

    Cette intégration ne prend en charge Palo Alto Networks que (PAN-OS 8.x). Les versions antérieures ne sont pas prises en charge.

    Cette intégration est compatible avec les versions Kingston, Londres, Madrid et New York du Now Platform®.

    Remarque :
    Les rubriques suivantes sont numérotées. Pour une installation, une configuration et une vérification fluides des résultats attendus, suivez les rubriques dans l’ordre dans lequel elles sont présentées.