Erstellen Sie eine EDL für Palo Alto Networks Next-Generation Firewall
Erstellen Sie eine externe dynamische Liste (EDL) in Ihrer Instanz Now Platform. Nach der Genehmigung und Aktivierung können Sie Einträge für EDLs aus erkennbaren Elementen erstellen, die bei Now Platform Security Incident Response (SIR)-Incidents als böswillig eingestuft wurden, und die Genehmigung anfordern, um sie zu blockieren.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Erstellen Sie die EDL in Ihrer Instanz Now Platform, damit die Firewall Objekte (IP-Adressen, URLs, Domänen) aus der Liste importieren und die Richtlinie erzwingen kann. Um eine Richtlinie für die EDL-Einträge durchzusetzen, wird die Liste in einer Richtlinienregel oder einem Profil referenziert.
Die Abbildungen im folgenden Abschnitt werden mit in den Systemeinstellungen deaktivierten Formularen mit Registerkarten angezeigt. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt „Formulare mit Registerkarten anzeigen“ in Configuring the form layout.
Prozedur
-
Suchen Sie die Kachel Palo Alto Networks Next-Generation Firewall, und klicken Sie auf Konfigurieren.
-
Klicken Sie auf Neue EDL-Liste erstellen.
-
Füllen Sie die Felder des Formulars aus.
Tabelle : 1. Palo Alto Networks Formular „Externe dynamische Firewall-Liste“ Feld Beschreibung Name Palo Alto Networks Name der dynamischen Firewall-Liste Fügen Sie den erkennbaren Typ (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalyst die Absicht der EDL leicht anhand ihres Namens erkennen kann. Der Name sollte auch eindeutig angeben, welcher Firewall-Richtlinie diese EDL-Objekte zugeordnet sind. Einige Beispiele für EDL-Namen sind „Ausgehende Malware-IP“ oder „Ausgehende Phishing-URL“.
Aktiv Diese Checkbox ist standardmäßig deaktiviert, um anzuzeigen, dass die EDL inaktiv ist. Wenn sie inaktiv ist, kann die EDL keine zusätzlichen Einträge erhalten.
Wenn das Kontrollkästchen aktiviert ist, ist die EDL aktiviert und für EDL-Einträge verfügbar.
Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element auf einer EDL blockiert ist. Wenn diese Option ausgewählt ist, sind die Felder Tag-Typ und EDL-Tag für erkennbare Elemente im Formular verfügbar. Hinweis:Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie in das Feld Name mit einem EDL-Präfix eingegeben haben, z. B. EDL-Malware OutBound IP. Sie können den Tag-Namen und die Farbe ändern. Weitere Informationen finden Sie unter: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall. Der Tag-Name wird im Feld EDL-Tag für erkennbare Elemente angezeigt, sobald die EDL gespeichert wurde.Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und die Felder Tag-Typ und EDL-Tag für erkennbare Elemente sind im Formular nicht verfügbar.
Erkennbarer Typ Wählen Sie einen erkennbaren Typ aus der Auswahlliste aus, den diese EDL akzeptiert: IP (einschließlich CIDR), URL oder Domäne. Tag-Typ Tags, die in der Auswahlliste verfügbar sind. Eine Sperrliste ist eine Liste der erkennbaren Elemente, die Palo Alto Networks Next-Generation Firewall blockieren soll.
Eine Allow-Liste ist eine Liste der erkennbaren Elemente, die Palo Alto Networks Next-Generation Firewall zulassen soll.
Standardmäßig ist die Farbe des Sperrlisten-Tags schwarz und die Farbe des Allow-Listen-Tags grau. Sie können die Farbe ändern. Weitere Informationen finden Sie unter: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall.
Change-Anforderungen erstellen Diese Checkbox ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in Ihrer Now Platform -Instanz zu erstellen, die an den EDL-Datensatz angehängt sind. Die Change-Anforderung wird verwendet, um die EDL-Listenabruf-URL auf dem Server Palo Alto Networks Next-Generation Firewall zu konfigurieren.
Diese Option wird empfohlen, wenn Ihr Firewall-Administrator Now Platform auch für Änderungen an Firewall-Richtlinien oder -Regeln verwendet. Wenn Sie eine Anforderung erstellen, wird die EDL-Liste automatisch aktiviert, nachdem sie geschlossen wurde.
Deaktivieren Sie die Checkbox, um die EDL manuell zu aktivieren, nachdem Sie per E-Mail vom Firewall-Administrator benachrichtigt wurden, dass die Konfiguration auf Palo Alto Networks abgeschlossen ist.Wenn das Kontrollkästchen Change-Anforderung erstellen deaktiviert ist, ist das Feld Change-Anforderung nicht verfügbar.
EDL-Tag für erkennbare Elemente Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tag anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die EDL mit einem Standardwert aus dem Feld Name gespeichert wurde. Weitere Informationen zum Ändern des Standard-Tag-Namens und der Standardfarbe finden Sie unter (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall
Change-Anforderung Wenn das Kontrollkästchen Change Request erstellen aktiviert ist, wird die Change Request-Nummer in der Instanz Now Platform angezeigt, sobald die EDL gespeichert ist. Wenn das Kontrollkästchen Change Request erstellen deaktiviert ist, wird dieses Feld nicht angezeigt.
Beschreibung Beschreibung der dynamischen Palo Alto Networks-Firewall-Liste. Der Name enthält im Allgemeinen die Arten von Sites und erkennbaren Elementen, die Sie in dieser EDL erwarten würden. Sie können dieses Feld für weitere Details verwenden. Ablaufzeitraum (in Tagen) Ablaufzeitraum der EDL. 0 (Standard) gibt an, dass der EDL-Eintrag nie abläuft.
Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von 1 eingeben. Es gibt keinen Höchstwert.
Wenn Sie beispielsweise 30 Tage am 1. Mai um 14:01 Uhr eingeben, läuft die EDL am 31. Mai um 14:01 Uhr ab.
Alle Einträge in dieser EDL erben dann diesen Wert standardmäßig, es sei denn, Sie überschreiben den Wert für einzelne Einträge.
-
Wenn die Liste der externen dynamischen Listen der Palo Alto Networks-Firewall nicht angezeigt wird, navigieren Sie zu und klicken Sie auf EDL-Firewall-Konfiguration.
Die neue EDL wird angezeigt. Der EDL-Status ist noch inaktiv (false), was bedeutet, dass die EDL keine Einträge annehmen kann. Wenn Change-Anforderung erstellen konfiguriert wurde, wird eine Nachricht angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in Ihrer Now Platform -Instanz erstellt wurden.
-
Klicken Sie in der Spalte Name auf ein Element, um den Datensatz zu öffnen.
Der EDL-Datensatz wird angezeigt. Dieses Beispiel zeigt eine ausgehende Malware-IP-EDL. Die folgenden Felder, Optionen und Links werden im neuen Datensatz nach der Übermittlung angezeigt und in der folgenden Tabelle beschrieben.
Tabelle : 2. Abruf-URL und Change-Anforderungs-Links im EDL-Datensatz Option Beschreibung Abruf-URL für E-Mail-Weiterleitung Sendet eine Benachrichtigung per E-Mail, dass der EDL-Link für die Konfiguration für den Firewall-Administrator Palo Alto Networks verfügbar ist. EDL-Abruf-URL Diese URL wird im Authentifizierungsdialogfeld für externe dynamische Listen auf der Registerkarte Liste erstellen auf der Website Palo Alto Networks im Feld Quelle platziert. Der URL-Link, den der Firewall-Administrator Palo Alto Networks für die Konfiguration in der Firewall Palo Alto Networks verwendet, wird automatisch generiert und angezeigt.
Hinweis:Wenn Sie Ihre Systemeinstellungen auf Formularemit Registerkarten festgelegt haben, wird dieser Link auf der Registerkarte EDL-Abrufinformationen am Ende des Datensatzes angezeigt.Now Platform Change-Anforderung Ein Link zum Change-Anforderungsdatensatz wird im Abschnitt „Change-Anforderungen“ angezeigt, sofern konfiguriert, und die Anforderungsnummer wird im Feld Change-Anforderung angezeigt. Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder. Löschen Löschen Sie den Datensatz.