Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

Gestion de la sécurité Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Yokohama

ft:clusterId

security

bundleId

security

workflow

Technology

Soumettre des entrées EDL à partir d’un enregistrement d’incident de sécurité pour Palo Alto Networks - Next-Generation Firewall

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Les observables joints à un enregistrement d’incident de sécurité sont soumis pour approbation en tant qu’entrées de liste dynamique externe (EDL) aux EDL. Un processus d’approbation des entrées EDL fait partie du workflow préconfiguré. Le pare-feu importe les entrées EDL (adresses IP, URL, domaines) qui sont incluses dans les listes EDL et applique la politique.

Avant de commencer

Rôle requis : sn_si.analyst pour soumettre des entrées EDL. Pour approuver des entrées EDL : l’approbation est affectée à sn_si.admin par défaut, mais cette autorisation peut être attribuée à la demande de votre organisation.

Pourquoi et quand exécuter cette tâche

Les utilisateurs disposant du rôle sn_si.analyst soumettent des entrées EDL en demandant un blocage sur les observables joints à un enregistrement d’incident de sécurité. Une fois soumise, une entrée EDL avec l’état En attente est générée et envoyée pour approbation. L’exemple suivant montre une demande de bloc pour un observable d’URL.

Procédure

Accédez à la Tout > Incident de sécurité > Incidents > Afficher les incidentset cliquez sur un enregistrement d’incident de sécurité pour l’ouvrir.
Cliquez sur le lien connexe Afficher l’IoC .
Dans la liste connexe Observables, sélectionnez les observables que vous voulez bloquer et, dans la liste Actions sur les lignes sélectionnées , sélectionnez Demande de bloc.
Dans la boîte de dialogue qui s’affiche, cliquez sur l’icône de recherche ( ).
Dans la liste qui s’affiche, sélectionnez l’EDL à laquelle vous souhaitez joindre cette entrée.

Remarque :
Pour cet exemple, le type observable d’entrée (URL) doit correspondre au type observable EDL (URL).
Dans la boîte de dialogue Demande de bloc avec le nom de l’EDL affiché dans le champ Implémentation , cliquez sur Bloquer.
Accédez à la Intégration NGFW de Palo Alto Networks > Entrées EDL du pare-feu et cliquez sur Entrées EDL de pare-feu.
Dans la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur votre observable dans la colonne Valeur d’entrée pour ouvrir l’enregistrement.

Pour cet exemple, l’enregistrement de mail.dgtnetworks.com s’affiche .

L’état est En attente, la case Actif est décochée et les notes de travail indiquent qu’il existe une demande d’ajout de l’observable. Cette demande d’entrée EDL est prête à être approuvée.

Les champs Valeur d’entrée et Observable présentent des formats différents pour l’observable d’URL.

L’icône en regard du champ Observable est un lien vers la Now Platform® table Observable.

La valeur du champ Observable (http://mail.dgtnetworks.com) est liée à la table Observable et correspond au format qui a été apporté à partir de l’événement déclenchant l’incident Réponse aux incidents de sécurité .

Le Now Platform® peut modifier automatiquement les entrées EDL afin qu’elles soient compatibles avec le format d’URL EDL Palo Alto Networks .

Dans cet exemple, l’observable a été créé avec le protocole http:// (http://mail.dgtnetworks.com), et ce format est affiché dans le champ Observable. Le protocole http:// est automatiquement supprimé de l’observable par le afin qu’il Now Platform® soit compatible avec Palo Alto Networks et puisse être récupéré. Par conséquent, mail.dgtnetworks.com s’affiche dans le champ Valeur d’entrée .

Que faire ensuite

Approuver les entrées EDL.