Palo Alto Networks Next-Generation Firewall のブロックリストから EDL エントリーを送信する
悪意があると判断され、特定の ServiceNow AI Platform セキュリティインシデントに関連付けられていない観測事象の場合は、ブロックリストから外部動的リスト (EDL) エントリーを送信します。
始める前に
必要なロール:sn_si.analyst
このタスクについて
手順
-
移動先 .
-
表示される新しいレコードで、[エントリー値] フィールドに、観測事象の値を入力します。
この入力で考えられる結果は 2 つあります。
- フォームの残りのフィールドがすべて自動入力されます。
- 一致する観測事象が見つかり、一致する観測事象が存在することを示すメッセージが表示されます。このエントリーを添付する EDL を選択し、[送信] をクリックします。有効期間を設定する前に、このエントリーを添付する EDL を選択します。
- フォームに入力するように指示するメッセージが表示されます。
- 一致する観測事象が見つかりません。フォームに入力する必要があります。完了したら、観測事象を添付する EDL を選択し、[送信] をクリックします。観測事象レコードが作成されます。
次の図は、既存のドメイン観測事象の例と、フィールドがどのように自動入力されるかを示しています。
-
残りの情報を手動で入力するように要求するメッセージが表示された場合は、フィールドに入力します。
フィールド 説明 観測事象タイプ ダイアログからサポートされている観測事象タイプ。 EDL 名 エントリーを添付する EDL 注:有効期間を設定する前に、エントリーを添付する EDL を選択します。上書きを有効化 (デフォルトではオン) ルックアップ結果またはソース。設定すると、[ルックアップ結果] とその結果の検索に使用したソースを入力できます。通常、これらのフィールドはセキュリティインシデントレコードの作成時に入力されます。この場合、ルックアップ結果やソースはなく、これらのフィールドは手動で入力します。 ルックアップ結果 [不明] または [悪意がある] を選択します。 ソース EDL エントリーで脅威のルックアップを実行するソース (ThreatCrowd など) 有効期間 デフォルトで EDL から継承された有効期間。この値はエントリーの作成中にのみ上書きできます。 0 は、EDL エントリーが無期限であることを示します。
この値を変更すると、このエントリーは入力した日数の間有効になります。入力できる最小値は 1 で、最大値はありません。
たとえば、5 月 1 日の午後 2 時 1 分に 30 日と入力すると、EDL エントリーは 5 月 31 日の午後 2 時 1 分に有効期限切れになります。
-
[Submit] をクリックします。
EDL エントリーのデフォルトの有効期間を変更した場合は、期間が選択した EDL と異なることを示す警告確認ダイアログボックスが表示されます。
-
表示されない場合は、[Palo Alto Networks ファイアウォール外部動的リストエントリー] リストに移動して、エントリーのステータスが [処理待ち (Pending)] であることを確認します。
これで、エントリーを承認する準備ができました。