Integração de Palo Alto Networks Next-Generation Firewall

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Depois de instalado e configurado, o analista de incidentes de segurança usa essa integração para bloquear endereços IP mal-intencionados, URLs e domínios usando recursos de Lista dinâmica externa (EDL) com os produtos ServiceNow Security Incident Response (SIR). O analista de incidentes de segurança cria entradas para uma EDL a partir de observáveis determinados como mal-intencionados em ServiceNow SIR incidentes de segurança.

    Uma EDL é um arquivo de texto hospedado em um servidor Web externo. Para esta integração, este servidor Web é sua instância Now Platform, que permite que o Palo Alto Networks Next-Generation Firewall importe objetos que estão incluídos na lista, endereços IP, URLs e domínios e aplique a política.

    Para impor a política nas entradas da EDL, a lista é referenciada em uma regra de política ou perfil. Conforme as entradas da EDL são modificadas, o firewall importa dinamicamente a lista no intervalo configurado e impõe a política sem uma mudança de configuração ou uma confirmação no firewall. Para esta integração, Now Platform criou uma tabela contendo entradas EDL que são recuperadas por Palo Alto Networks Next-Generation Firewalls autorizados nos intervalos de recuperação configurados.

    A integração inclui os seguintes recursos:
    • Flexibilidade para criar várias EDLs que se aplicam a diferentes políticas de negação ou permissão de firewall.
    • Relatórios detalhados sobre os tipos de sites que estão sendo bloqueados (phishing, malware e sites permitidos listados).
    • Marcação de Now Platform incidentes de segurança com entradas de EDL pelo tipo de observável (URL, domínio, endereço IP).
    • Configurar períodos de expiração de EDL para manter o tamanho da lista de EDL expirando ou removendo automaticamente entradas mais antigas.
    • Pesquisar, excluir ou migrar entradas de EDL entre listas de EDL.
    • Vincular entradas de EDL a registros observáveis e incidentes de segurança que incluem resultados de inteligência contra ameaças e detalhes sobre o motivo pelo qual uma entrada está bloqueada.

    A integração requer que os plug-ins (com.snc.security_incident) e (com.snc.secops.orchestration) do produto Security Incident Response estejam ativados.

    Esta integração é compatível somente com Palo Alto Networks (PAN-OS 8.x). Versões anteriores não são compatíveis.

    Esta integração é compatível com as versões Kingston, London, Madrid e New York da Now Platform®.

    Nota:
    Os tópicos a seguir são numerados. Para uma instalação, configuração e verificação dos resultados esperados sem problemas, siga os tópicos na ordem em que são apresentados.