Integration „Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe von EDL-Funktionen (External Dynamic List) mit den -Produkten ServiceNow Security Incident Response (SIR) zu blockieren. Der Security Incident-Analyst erstellt Einträge für eine EDL aus erkennbaren Elementen, die bei ServiceNow SIR Security Incidents als böswillig eingestuft wurden.

    Eine EDL ist eine Textdatei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihre Now Platform -Instanz, die es Palo Alto Networks Next-Generation Firewall ermöglicht, Objekte zu importieren, die in der Liste enthalten sind, IP-Adressen, URLs und Domänen, und Richtlinien durchzusetzen.

    Um eine Richtlinie für die EDL-Einträge durchzusetzen, wird die Liste in einer Richtlinienregel oder einem Profil referenziert. Wenn die EDL-Einträge geändert werden, importiert die Firewall die Liste dynamisch im konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit für die Firewall. Für diese Integration hat Now Platform eine Tabelle mit EDL-Einträgen erstellt, die von autorisierten Palo Alto Networks Next-Generation Firewallin den konfigurierten Abrufintervallen abgerufen werden.

    Die Integration umfasst die folgenden Funktionen:
    • Flexibilität beim Erstellen mehrerer EDLs, die für verschiedene Firewall-Verweigerungs- oder -Zulassungsrichtlinien gelten.
    • Detaillierte Berichte über die Arten von Websites, die blockiert werden (Phishing, Malware und auf Allow-Listen aufgeführte Websites).
    • Tagging von Now Platform Security Incidents mit EDL-Einträgen nach erkennbarem Typ (URL, Domäne, IP-Adresse).
    • Konfigurieren von EDL-Ablaufzeiträumen, um die Größe der EDL-Liste beizubehalten, indem ältere Einträge automatisch ablaufen oder entfernt werden.
    • Suchen, Löschen oder Migrieren von EDL-Einträgen zwischen EDL-Listen.
    • Verknüpfen von EDL-Einträgen mit Datensätzen erkennbarer Elemente und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert wird.

    Für die Integration müssen die Plugins „“ (com.snc.security_incident) und „“ (com.snc.secops.orchestration) aus dem Produkt Security Incident Response aktiviert werden.

    Diese Integration unterstützt nur Palo Alto Networks (PAN-OS 8.x). Frühere Versionen werden nicht unterstützt.

    Diese Integration ist mit den Releases Kingston, London, Madrid und New York von Now Platform®kompatibel.

    Hinweis:
    Die folgenden Themen sind nummeriert. Um eine reibungslose Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse zu gewährleisten, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.