Palo Alto Networks Next-Generation Firewall のセキュリティインシデントレコードから EDL エントリーを送信する
セキュリティインシデントレコードに添付された観測事象は、承認のために外部動的リスト (EDL) エントリーとして EDL に送信されます。EDL エントリーの承認プロセスは、事前設定済みのワークフローの一部です。ファイアウォールは、EDL リストに含まれている EDL エントリー (IP アドレス、URL、ドメイン) をインポートし、ポリシーを適用します。
始める前に
必要なロール:EDL エントリーを送信するための sn_si.analyst。EDL エントリーの承認:承認は、デフォルトで sn_si.admin にアサインされますが、この権限は組織の必要に応じて割り当てることができます。
このタスクについて
sn_si.analyst ロールを持つユーザーは、セキュリティインシデントレコードに添付された観測事象のブロックを要求することで、EDL エントリーを送信します。送信後、ステータスが [処理待ち (Pending)] の EDL エントリーが生成され、承認のために送信されます。次の例は、URL 観測事象のブロック要求を示しています。
手順
-
[IoC を表示] 関連リンクをクリックします。
-
[観測事象 (Observables)] 関連リストでブロックする観測事象を選択し、[選択した行のアクション] リストから [ブロック要求] を選択します。
-
表示されるダイアログボックスで、検索アイコン (
) をクリックします。
-
表示されるリストで、このエントリーを添付する EDL を選択します。
注:この例では、エントリーの観測事象タイプ (URL) が EDL の観測事象タイプ (URL) と一致している必要があります。
-
[ブロック要求] ダイアログボックスで EDL 名が [実装] フィールドに表示されている状態で、[ブロック] をクリックします。
-
移動先 をクリックし、[ ファイアウォール EDL エントリー (Firewall EDL Entries)] をクリックします。
-
[Palo Alto Networks ファイアウォール外部動的リストエントリー] リストで、[エントリー値] 列の観測事象をクリックしてレコードを開きます。
この例では、mail.dgtnetworks.com のレコードが表示されています。
ステータスが [処理待ち] で、 [アクティブ] チェックボックスがオフになり、作業メモに観測事象を追加する要求があることが示されます。この EDL エントリー要求は承認の準備ができています。
[エントリー値] フィールドと [観測事象 (Observable)] フィールドには、URL 観測事象が異なる形式で表示されます。
[観測事象 (Observable)] フィールドの横にあるアイコンは、Now Platform® の [観測事象 (Observable)] テーブルへのリンクです。
[観測事象 (Observable)] フィールドの値 (http://mail.dgtnetworks.com) が [観測事象 (Observable)] テーブルにリンクされ、セキュリティインシデントレスポンス のインシデントトリガーイベントから引き継がれた形式と照合されます。
Now Platform® が、 Palo Alto Networks の EDL URL 形式と互換性があるように EDL エントリーを自動的に修正する場合があります。
この例では、観測事象は http:// プロトコル (http://mail.dgtnetworks.com) で作成され、この形式が [観測事象 (Observable)] フィールドに表示されています。http:// プロトコルは、Palo Alto Networks との互換性を確保し、 取得できるように、Now Platform® によって観測事象から自動的に削除されます。その結果、[エントリー値] フィールドには、mail.dgtnetworks.com と表示されています。
次のタスク
EDL エントリーを承認します。