Palo Alto Networks Next-Generation Firewall の EDL エントリーの承認
外部動的リスト (EDL) エントリーの承認プロセスは、事前設定済みのワークフローの一部です。EDL エントリーは、EDL でアクティブ化される前に承認します。EDL エントリーを承認すると、ファイアウォールがそのエントリーを取得し、以降は観測事象がブロックされるようになります。
始める前に
必要なロール:EDL エントリーの承認は、デフォルトで sn_si.admin にアサインされますが、この権限は組織の必要に応じて割り当てることができます。次の例では、ServiceNow AI Platform アドミニストレーターが承認権限を持っています。
このタスクについて
手順
-
EDL レコードで、[承認要求] セクションまでスクロールします。
注:[システムの設定] で [タブ付きフォーム] を選択している場合、このセクションはレコードにタブとして表示されます。
-
[承認要求] で、[ステータス] 列のアイテムをクリックして開きます。
承認要求が表示されます。
-
EDL エントリーを承認するためのオプションを 1 つ選択してください。
オプション 説明 承認 エントリーレコードで [ステータス] フィールドが [追加済み (Added)] に変わり、[アクティブ] チェックボックスがオンになります。 [非アクティブ化] ボタンが表示され、アクティブになります。
作業メモは、EDL エントリーの要求が承認されたことを示しています。
却下 エントリーレコードで [ステータス] フィールドが [却下] に変わり、[アクティブ] チェックボックスがオフになり、エントリーがファイアウォールでブロックされていないことが示されます。 作業メモは、EDL エントリーの要求が却下されたことを示しています。
EDL エントリーを承認し、エントリーがアクティブになると、Palo Alto Networks Next-Generation Firewall は、次の取得間隔の後に EDL エントリーを取得します。エントリーが取得されると、その時点から観測事象がブロックされます。次の図では、[アクティブ] チェックボックスがオンで、ステータスが [追加] になっており、作業メモに要求が承認されたことが示されています。EDL エントリーが承認されてアクティブ化されると、セキュリティインシデントレコードがセキュリティタグでマークされます。タグはレコードの上部に表示されます。
セキュリティタグは観測事象レコードにも表示されます。