(オプション) Palo Alto Networks Next-Generation Firewall のセキュリティタグ名の編集
外部動的リスト (EDL) レコードの作成時に [タグを表示] チェックボックスがオンになっている場合は、セキュリティタグのタグ名と色を編集できます。セキュリティタグは、すでにブロックされている観測事象を追跡するのに役立ちます。
始める前に
必要なロール:sn_si.admin
このタスクについて
セキュリティタグは、どのセキュリティインシデントのブロックリストに観測事象があるのかをすばやく識別するのに役立ちます。タグは、観測事象がすでにブロックされているかどうか、または EDL から削除されているかどうかを識別するのにも役立ちます。デフォルトでは、セキュリティタグの色は、ブロックリストエントリーの場合は黒、許可リストエントリーの場合はグレーです。特定のタグをより簡単に認識できるように、タグの名前と色を変更できます。
手順
-
移動先 .
-
[名前] 列でアイテムをクリックしてレコードを開きます。
EDL レコードが表示されます。デフォルトでは、セキュリティタグの名前は、EDL の作成時に [名前] フィールドに入力した値と同じです。デフォルトでは、名前には EDL プリフィックスも含まれます (例: EDL – Malware Malicious URLs)。
-
[観測事象の EDL タグ (EDL tag for observables)] の横の情報アイコン (
) をクリックしてから、[レコードを開く] をクリックします。
[セキュリティタグ] フォームが表示されます。 -
[名前] フィールドでセキュリティタグ名を変更し、[更新] をクリックします。
変更したタグ名で更新された EDL レコードが表示されます。次の例では、タグ名に Outbound (送信) が追加されています。新しいタグ名の EDL プリフィックスはそのまま残して、タグが Palo Alto Networks Next-Generation Firewall 統合に関連付けられていることを識別できるようにします。
EDL に観測事象が追加されるたびに、セキュリティインシデントレコードと観測事象レコードに、各観測事象タイプ (IP、URL、ドメイン) のセキュリティタグが表示されます。
観測事象がすでに EDL に追加されていて、この観測事象のセキュリティインシデントにセキュリティタグが表示されている場合、その後に作成されるセキュリティインシデントレコードにも EDL セキュリティタグが自動的に表示されます。この重複は、観測事象がすでにブロックリストにあることを示しています。この観測事象を追加して再度ブロックする必要はありません。
観測事象のブロックが解除されると、セキュリティインシデントレコードまたは観測事象レコードにセキュリティタグが表示されなくなります。この場合、セキュリティタグがないことは、観測事象の有効期限を過ぎているか、観測事象が EDL から非アクティブ化されていることを示しています。