Senden Sie EDL-Einträge aus der Sperrliste für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als böswillig eingestuft wurden und keinem bestimmten Now Platform Security Incident zugeordnet sind, übermitteln Sie EDL-Einträge (External Dynamic List) aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, von dem Sie festgestellt haben, dass es böswillig ist, oder ein erkennbares Element zulassen möchten, von dem Sie festgestellt haben, dass es nicht böswillig ist, und das erkennbare Element keinem bestimmten Now Platform Security Incident-Datensatz zugeordnet ist, übermitteln Sie EDL-Einträge direkt aus der Sperrliste. Beispiele für diese Arten von EDL-Einträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträge.
      Firewall-EDL-Einträge im Anwendungsnavigator.
    2. Klicken Sie auf das Modul Firewall EDL-Einträge.
    3. Klicken Sie in der Liste Palo Alto Networks-Firewall der externen dynamischen Listeneinträge auf Neu.
    4. Geben Sie im neuen Datensatz, der angezeigt wird, im Feld Eingabewert einen Wert für das erkennbare Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      Ein übereinstimmendes erkennbares Element wird gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Absenden. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Eine Nachricht wird angezeigt, in der Sie aufgefordert werden, das Formular auszufüllen.
      Es wurde kein passendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die EDL aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Absenden. Ein Datensatz für erkennbare Elemente wird erstellt.

      Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.

      Übereinstimmendes erkennbares Element ist vorhanden.
    5. Klicken Sie auf das Suchsymbol, um die EDL auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
      Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
    7. Wenn eine Meldung angezeigt wird, in der Sie aufgefordert werden, die restlichen Informationen manuell einzugeben, füllen Sie die Felder aus.
      Es ist kein passendes erkennbares Element vorhanden.
      Feld Beschreibung
      Erkennbarer Typ Typ des erkennbaren Elements, das im Dialogfeld unterstützt wird.
      EDL-Name EDL, an die Sie den Eintrag anhängen möchten.
      Hinweis:
      Wählen Sie die EDL aus, an die der Eintrag angehängt werden soll, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder -quelle. Wenn konfiguriert, können Sie ein Suchergebnis und die Quelle eingeben, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Unbekannt oder Böswillig aus.
      Quelle Quelle, die eine Bedrohungssuche für den EDL-Eintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der standardmäßig vom EDL geerbte Ablaufzeitraum. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1eingeben. Es gibt keinen Höchstwert.

      Wenn Sie beispielsweise 30  Tage um 14:01 Uhr am 1. Mai eingeben, läuft der EDL-Eintrag am 31. Mai um 14:01 Uhr ab.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des EDL-Eintrags geändert haben, wird ein Bestätigungsdialogfeld mit der Warnung angezeigt, dass sich der Zeitraum von dem ausgewählten EDL unterscheidet.
      Bestätigungsdialogfeld für Ablaufzeitraum.
    9. Wählen Sie eine Option aus, um den Ablaufzeitraum zu konfigurieren.
      OptionBeschreibung
      Ja Bestätigt Ihre Überschreibung des Ablaufs, speichert den Datensatz und kehrt zur Liste der externen dynamischen Listeneinträge der Palo Alto Networks-Firewall zurück. Wenn Sie die E-Mail-Genehmigung in Ihrem Workflow konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für den Ablaufzeitraumändern.

      Nachdem Sie den Wert geändert haben, klicken Sie auf Absenden, um zur Liste Palo Alto Networks-Firewall der externen dynamischen Listeneinträge zurückzukehren.
    10. Wenn nicht angezeigt, navigieren Sie zur Liste Palo Alto Networks-Firewall der externen dynamischen Listeneinträge, und beachten Sie, dass der Status für den Eintrag Ausstehend lautet.
      Liste der Firewall-EDL-Einträge mit ausstehendem Eintrag.
      Der Eintrag ist jetzt zur Genehmigung bereit.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.