Créer une EDL pour le pare-feu de nouvelle génération Palo Alto Networks
Créez une liste dynamique externe (EDL) dans votre Now Platform instance. Une fois approuvés et activés, vous pouvez créer des entrées pour les EDL à partir d’observables déterminés comme malveillants sur Now Platform Réponse aux incidents de sécurité les incidents (SIR) et demander l’approbation pour les bloquer.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Créez l’EDL sur votre Now Platform instance afin que le pare-feu puisse importer les objets (adresses IP, URL, domaines) inclus dans la liste et appliquer la stratégie. Pour appliquer la politique sur les entrées EDL, la liste est référencée dans une règle de politique ou un profil.
Les figures de la section suivante sont affichées avec les formulaires à onglets désactivés dans les paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, reportez-vous à la section « Afficher les formulaires à onglets » dans Configuring the form layout.
Procédure
-
Localisez la Palo Alto Networks - Next-Generation Firewall vignette et cliquez sur Configurer.
-
Cliquez sur Créer une nouvelle liste d’EDL.
-
Renseignez les champs du formulaire.
Tableau 1. Palo Alto Networks Formulaire de liste dynamique externe de pare-feu Champ Description Nom Palo Alto Networks Nom de la liste dynamique de pare-feu. Incluez le type d’observable (URL, adresse IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de l’EDL par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets EDL sont mappés. Voici quelques exemples de noms d’EDL : adresse IP de programme malveillant sortante ou URL de hameçonnage sortante.
Actifs Cette case est décochée par défaut pour indiquer que l’EDL est inactif. Lorsqu’il est inactif, l’EDL ne peut pas recevoir d’entrées supplémentaires.
Lorsque la case est cochée, l’EDL est activée et disponible pour les entrées EDL.
Balise d'affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur une EDL. Lorsque cette option est sélectionnée, le type de balise et la balise EDL pour les champs observables sont disponibles sur le formulaire. Remarque :Un nom de balise est créé par défaut à partir de la valeur que vous saisissez dans le champ Nom avec un préfixe EDL, par exemple, EDL-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall. Le nom de la balise s’affiche dans le champ Balise EDL pour les observables une fois l’EDL enregistrée.Lorsque la case à cocher est décochée, aucune balise n’est créée, et les champs Type de balise et Balise EDL pour les observables ne sont pas disponibles sur le formulaire.
Type d'observable Sélectionnez un type d’observable accepté par cette EDL dans la liste de choix : adresse IP (y compris CIDR), URL ou domaine. Type de balise Balises disponibles à partir de la liste de choix. Une liste de blocs est une liste d’observables que vous souhaitez Palo Alto Networks - Next-Generation Firewall bloquer.
Une liste d’autorisation est une liste d’observables que vous souhaitez autoriser Palo Alto Networks - Next-Generation Firewall .
Par défaut, la couleur de la balise de la liste de blocs est le noir et la couleur de la balise de la liste d’autorisation est le gris. Vous pouvez changer la couleur. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall.
Création d’une demande de changement Cette case est cochée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre Now Platform instance, qui sont jointes à l’enregistrement EDL. La demande de changement est utilisée pour configurer l’URL de récupération de la liste des EDL dans le Palo Alto Networks - Next-Generation Firewall serveur.
Cette option est recommandée si votre administrateur de pare-feu utilise également le pour modifier la politique ou les règles de Now Platform pare-feu. Si vous créez une demande, une fois celle-ci fermée, la liste EDL est automatiquement activée.
Décochez la case pour activer manuellement l’EDL après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que la configuration est Palo Alto Networks terminée.Lorsque la case Créer une demande de changement est décochée, le champ de demande de changement n’est pas disponible.
Balise de l'EDL pour les observables Ce champ n’est affiché que si la case Balise d’affichage est cochée. Le champ est automatiquement renseigné après l’enregistrement de l’EDL avec une valeur par défaut du champ Nom. Pour plus d’informations sur la modification du nom et de la couleur de la balise par défaut, consultez (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall
Demande de changement Lorsque la case Créer une demande de changement est cochée, le numéro de la demande de changement s’affiche sur l’instance une fois l’EDL Now Platform enregistrée. Lorsque la case Créer une demande de changement est décochée, ce champ ne s’affiche pas.
Description Description de la liste dynamique du pare-feu Palo Alto Networks. Le nom contient généralement les types de sites et d’observables que vous attendez à voir sur cette EDL, et vous pouvez utiliser ce champ pour plus de détails. Période d'expiration (jours) Période d’expiration de l’EDL. 0 (valeur par défaut) indique que l’entrée EDL n’expire jamais.
Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.
Par exemple, si vous entrez 30 jours à 14 h 01 le 1er mai, l’EDL expirera à 14 h 01 le 31 mai.
Toutes les entrées de cette EDL héritent alors de cette valeur par défaut, sauf si vous remplacez la valeur sur la base d’une entrée individuelle.
-
Si la liste des listes dynamiques externes du pare-feu Palo Alto Networks ne s’affiche pas, accédez à et cliquez sur Configuration de l’EDL du pare-feu.
La nouvelle EDL s’affiche. L’état de l’EDL est toujours inactif (faux), ce qui signifie que l’EDL n’est pas disponible pour accepter des entrées. Si Créer une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et des tâches ont été créées dans votre Now Platform instance.
-
Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
L’enregistrement EDL s’affiche. Cet exemple montre une EDL IP sortante de programme malveillant. Les champs, options et liens suivants s’affichent dans le nouvel enregistrement après la soumission et sont décrits dans le tableau suivant.
Tableau 2. URL de récupération et liens de demande de changement sur l’enregistrement EDL Option Description URL de récupération des TR e-mails Envoie par e-mail un avis indiquant que le lien EDL est disponible pour la configuration à l’administrateur Palo Alto Networks de pare-feu. URL de récupération de l'EDL Cette URL est placée dans le champ Source de la boîte de dialogue Authentification des listes dynamiques externes dans l’onglet Créer une liste du Palo Alto Networks site Web. Le lien URL utilisé par l’administrateur du pare-feu pour la Palo Alto Networks configuration dans le Palo Alto Networks pare-feu est automatiquement généré et affiché.
Remarque :Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations sur la récupération de l’EDL au bas de l’enregistrement.Now Platform Demande de changement Un lien vers l’enregistrement de demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement. Mettre à jour Modifiez les données et mettez à jour les champs modifiables. Supprimer Supprimez l’enregistrement.