Enviar entradas de EDL de um registro de incidente de segurança para Palo Alto Networks Next-Generation Firewall

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Os observáveis anexados a um registro de incidente de segurança são enviados para aprovação como entradas de Lista dinâmica externa (EDL) para EDLs. Um processo de aprovação para entradas de EDL faz parte do fluxo de trabalho pré-configurado. O firewall importa entradas de EDL - endereços IP, URLs, domínios - que estão incluídas nas listas de EDL e impõe a política.

    Antes de Iniciar

    Função necessária: sn_si.analyst para enviar entradas de EDL. Para aprovar entradas EDL: a aprovação é atribuída a sn_si.admin por padrão, mas essa autoridade pode ser atribuída conforme exigido pela sua organização.

    Por Que e Quando Desempenhar Esta Tarefa

    Usuários com a função sn_si.analyst enviam entradas de EDL solicitando um bloco em observáveis anexados a um registro de incidente de segurança. Depois de enviada, uma entrada de EDL com um status Pendente é gerada e enviada para aprovação. O exemplo a seguir mostra uma solicitação de bloqueio para um observável de URL.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Incidentes > Mostrar Todos os Incidentese clique em um registro de incidente de segurança para abri-lo.
    2. Clique no link relacionado Mostrar IoC.
      Mostrar link relacionado a IoC no registro de incidente de segurança.
    3. Na lista relacionada Observáveis, selecione os observáveis que você deseja bloquear e, na lista Ações nas linhas selecionadas, selecione Solicitação de bloqueio.
      Selecione observáveis e execute a solicitação de bloqueio no registro de incidente de segurança.
    4. Na caixa de diálogo exibida, clique no ícone de pesquisa ( ícone de pesquisa).
    5. Na lista exibida, selecione a EDL à qual você deseja anexar esta entrada.
      Nota:
      Para este exemplo, o tipo de observável de entrada (URL) deve corresponder ao tipo de observável EDL (URL).
      Selecione a EDL para a entrada.
    6. Na caixa de diálogo Solicitação de bloqueio com o nome da EDL exibido no campo Implementação, clique em Bloquear.
      Caixa de diálogo Solicitação de bloqueio.
    7. Navegar até Integração de NGFW com a Palo Alto Networks > Entradas de EDL do Firewall e clique em Entradas de EDL do firewall.
      Lista de entradas de EDL do firewall.
    8. Na lista de Entradas da Lista Dinâmica Externa do Firewall da Palo Alto Networks, clique no seu observável na coluna Valor de entrada para abrir o registro.

      Para este exemplo, o registro de mail.dgtnetworks.com é exibido.

      Registro de entrada de EDL.

      O status é Pendente, a caixa de seleção Ativo está desmarcada e as anotações de trabalho mostram que há uma solicitação para adicionar o observável. Esta solicitação de entrada de EDL está pronta para aprovação.

      Os campos Valor de entrada e Observável mostram formatos diferentes para o observável de URL.

      O campo de valor de entrada e o campo Observável mostram formatos diferentes para o mesmo observável.

      O ícone ao lado do campo Observável é um link para a tabela Now Platform® Observável.

      O valor no campo Observável (http://mail.dgtnetworks.com) é vinculado à tabela Observável e corresponde ao formato que foi trazido do evento de acionamento de incidente Security Incident Response.

      O Now Platform® pode modificar automaticamente as entradas da EDL para que sejam compatíveis com o formato de URL da EDL Palo Alto Networks.

      Neste exemplo, o observável foi criado com o protocolo http:// (http://mail.dgtnetworks.com) e este formato é exibido no campo Observável. O protocolo http:// é removido automaticamente do observável pelo Now Platform®, portanto, é compatível com Palo Alto Networks e pode ser recuperado. Como resultado, mail.dgtnetworks.com é exibido no campo Valor de entrada.

    O que Fazer Depois

    Aprovar entradas de EDL.