Palo Alto Networks Next-Generation Firewall에 대한 보안 인시던트 기록에서 EDL 항목 제출
보안 인시던트 기록에 첨부된 옵저버블은 승인을 위해 EDL에 대한 EDL(외부 동적 목록) 항목으로 제출됩니다. EDL 항목에 대한 승인 프로세스는 미리 구성된 워크플로우의 일부입니다. 방화벽은 EDL 목록에 포함된 EDL 항목(IP 주소, URL, 도메인)을 임포트하고 정책을 적용합니다.
시작하기 전에
필요한 역할: EDL 항목을 제출하기 위한 sn_si.analyst. EDL 항목을 승인하려면 다음을 수행합니다. 승인은 기본적으로 sn_si.admin에 할당되지만 조직에서 필요에 따라 이 권한을 할당할 수 있습니다.
이 태스크 정보
sn_si.analyst 역할을 가진 사용자는 보안 인시던트 기록에 첨부된 옵저버블에 대한 차단을 요청하여 EDL 항목을 제출합니다. 제출되면 보류 중 상태의 EDL 항목이 생성되고 승인을 위해 전송됩니다. 다음 예는 URL 옵저버블에 대한 차단 요청을 보여줍니다.
프로시저
-
IoC 표시 관련 링크를 클릭합니다.
-
옵저버블 관련 목록에서 차단할 옵저버블을 선택하고 선택한 행에 대한 작업 목록에서 요청 차단을 선택합니다.
-
표시되는 대화 상자에서 검색 아이콘(
)을 클릭합니다.
-
표시되는 목록에서 이 항목을 연결할 EDL을 선택합니다.
주:이 예의 경우 항목 옵저버블 유형(URL)은 EDL 옵저버블 유형(URL)과 일치해야 합니다.
-
EDL 이름이 구현 필드에 표시된 차단 요청 대화 상자에서 차단을 클릭합니다.
-
다음으로 이동 을 클릭하고 방화벽 EDL 항목을 클릭합니다.
-
Palo Alto Networks 방화벽 외부 동적 목록 항목 목록에서 항목 값 열에서 옵저버블을 클릭하여 기록을 엽니다.
이 예에서는 mail.dgtnetworks.com 에 대한 기록이 표시됩니다.
상태가 보류 중이고, 활성 확인란이 선택 취소되고, 작업 메모에 옵저버블 추가 요청이 있음을 보여줍니다. 이 EDL 항목 요청은 승인할 준비가 되었습니다.
항목 값 및 옵저버블 필드에는 URL 옵저버블에 대한 다양한 형식이 표시됩니다.
옵저버블 필드 옆의 아이콘은 옵저버블 테이블로 연결되는 링크입니다ServiceNow AI Platform®.
옵저버블 필드(http://mail.dgtnetworks.com)의 값은 옵저버블 테이블에 연결되며 인시던트 트리거 이벤트에서 가져온 형식과 보안 인시던트 응답 일치합니다.
ServiceNow AI Platform® EDL URL 형식과 Palo Alto Networks 호환되도록 EDL 항목을 자동으로 수정할 수 있습니다.
이 예에서 옵저버블은 http://mail.dgtnetworks.com(http:// 프로토콜)를 사용하여 생성되었으며 이 형식이 옵저버블 필드에 표시됩니다. http:// 프로토콜은 옵 ServiceNow AI Platform® 저버블에서 자동으로 제거되므로 호환되고 Palo Alto Networks 검색할 수 있습니다. 결과적으로 항목 값 필드에 mail.dgtnetworks.com 표시됩니다.
다음에 수행할 작업
EDL 항목을 승인합니다.