Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les observables associés à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste dynamique externe (EDL) aux EDL. Un processus d’approbation pour les entrées EDL fait partie du workflow préconfiguré. Le pare-feu importe les entrées EDL (adresses IP, URL, domaines) qui sont incluses dans les listes d’EDL et applique la politique.

    Avant de commencer

    Rôle requis : sn_si.analyst pour soumettre des entrées EDL. Pour approuver les entrées EDL : l’approbation est affectée à sn_si.admin par défaut, mais cette autorisation peut être affectée selon les besoins de votre organisation.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs disposant du rôle sn_si.analyst soumettent des entrées EDL en demandant un blocage sur les observables joints à un enregistrement d’incident de sécurité. Une fois envoyée, une entrée EDL avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Incidents > Afficher tous les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
    2. Cliquez sur le lien connexe Afficher l’IoC .
      Affichez le lien connexe IoC sur l’enregistrement d’incident de sécurité.
    3. Dans la liste connexe Observables, sélectionnez les observables que vous souhaitez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Bloquer la demande.
      Sélectionnez des observables et exécutez la demande de bloc sur l’enregistrement d’incident de sécurité.
    4. Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( icône de recherche).
    5. Dans la liste qui s’affiche, sélectionnez l’EDL à laquelle vous souhaitez joindre cette entrée.
      Remarque :
      Pour cet exemple, le type d’observable d’entrée (URL) doit correspondre au type d’observable EDL (URL).
      Sélectionnez l’EDL pour l’entrée.
    6. Dans la boîte de dialogue Demande de bloc avec le nom de l’EDL affiché dans le champ Implémentation , cliquez sur Bloquer.
      Boîte de dialogue Demande de bloc.
    7. Accédez à la Intégration de Palo Alto Networks NGFW > Entrées de l'EDL du pare-feu et cliquez sur Entrées EDL de pare-feu.
      Liste des entrées de l’EDL du pare-feu.
    8. Dans la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.

      Pour cet exemple, l’enregistrement de mail.dgtnetworks.com s’affiche.

      Enregistrement d’entrée de l’EDL.

      L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée EDL est prête à être approuvée.

      Les champs Valeur d’entrée et Observable affichent différents formats pour l’observable d’URL.

      Le champ de valeur d’entrée et le champ Observable affichent des formats différents pour le même observable.

      L’icône en regard du champ Observable est un lien vers la Now Platform® table Observable.

      La valeur du champ Observable (http://mail.dgtnetworks.com) est liée à la table Observable et correspond au format qui a été importé à partir de l’événement déclenchant l’incident Réponse aux incidents de sécurité .

      Ils Now Platform® peuvent modifier automatiquement les entrées de l’EDL afin qu’elles soient compatibles avec le format URL de l’EDL Palo Alto Networks .

      Dans cet exemple, l’observable a été créé avec le protocole http:// (http://mail.dgtnetworks.com) et ce format est affiché dans le champ Observable. Le protocole http:// est automatiquement séparé de l’observable par le Now Platform® afin qu’il soit compatible Palo Alto Networks et puisse être récupéré. Par conséquent, mail.dgtnetworks.com s’affiche dans le champ Valeur d’entrée .

    Que faire ensuite

    Approuvez les entrées EDL.