Soumettre des entrées EDL de la liste de blocage pour Palo Alto Networks - Next-Generation Firewall

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Pour les observables déterminés comme malveillants et non associés à un incident de sécurité spécifique Now Platform , vous soumettez des entrées de liste dynamique externe (EDL) à partir de la liste de blocage.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Lorsque vous souhaitez bloquer un observable que vous avez déterminé comme malveillant, ou autoriser un observable que vous avez déterminé comme non malveillant et que l’observable n’est pas associé à un enregistrement d’incident de sécurité spécifique Now Platform , vous soumettez des entrées EDL directement à partir de la liste de blocage. Des exemples de ces types d’entrées EDL peuvent être des URL ou des domaines pour des sites spécifiques.

    Procédure

    1. Accédez à la Tout > Intégration NGFW de Palo Alto Networks > Entrées EDL du pare-feu.
      Entrées EDL de pare-feu sur le navigateur d’application.
    2. Cliquez sur le module Entrées EDL du pare-feu .
    3. Dans la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks, cliquez sur Nouveau.
    4. Dans le nouvel enregistrement qui s’affiche, dans le champ Valeur d’entrée , saisissez une valeur pour votre observable.
      Les deux résultats possibles de cette entrée :
      Les autres champs du formulaire sont renseignés automatiquement.
      Un observable correspondant est trouvé et un message s’affiche indiquant qu’un observable correspondant existe. Sélectionnez l’EDL à laquelle vous souhaitez joindre cette entrée, puis cliquez sur Soumettre. Sélectionnez l’EDL à laquelle vous souhaitez attacher cette entrée avant de définir la période d’expiration.
      Un message vous demandant de remplir le formulaire s’affiche.
      Aucun observable correspondant n’a été trouvé et vous devez remplir le formulaire. Une fois que vous l’avez terminée, sélectionnez l’EDL à laquelle vous souhaitez joindre l’observable, puis cliquez sur Soumettre. Un enregistrement d’observable est créé.

      La figure suivante montre un exemple d’observable de domaine existant et comment les champs sont complétés automatiquement.

      Un observable correspondant existe.
    5. Cliquez sur l’icône de recherche pour sélectionner l’EDL à laquelle vous souhaitez joindre l’entrée.
    6. Cliquez sur Envoyer.
      Si l’approbation par e-mail est configurée dans votre workflow, une demande d’approbation par e-mail est envoyée.
    7. Si un message s’affiche vous demandant de renseigner manuellement le reste des informations, renseignez les champs.
      Il n’existe aucun observable correspondant.
      Champ Description
      Type d'observable Type d’observable pris en charge à partir de la boîte de dialogue.
      Nom de l’EDL EDL à laquelle vous souhaitez joindre l’entrée.
      Remarque :
      Sélectionnez l’EDL à laquelle vous souhaitez joindre l’entrée avant de définir la période d’expiration.
      Activer le remplacement (sélectionné par défaut) Rechercher le résultat ou la source. Une fois configurée, elle vous permet d’entrer un résultat de recherche et la source utilisée pour trouver les résultats. Ces champs sont généralement renseignés lors de la création d’un enregistrement d’incident de sécurité. Dans ce cas, il n’y a pas de résultat ou de source de recherche, et vous renseignez ces champs manuellement.
      Rechercher un résultat Sélectionnez Inconnu ou Malicieux.
      Source Source qui effectue une recherche de menace sur l’entrée EDL, par exemple, ThreatCrowd...
      Période d’expiration La période d’expiration héritée de l’EDL par défaut. Vous pouvez remplacer cette valeur, mais uniquement lors de la création de l’entrée.

      0 indique que l’entrée EDL n’expire jamais.

      Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.

      Par exemple, si vous saisissez 30 jours à 14h01 le 1er mai, l’entrée EDL expirera à 14h01 le 31 mai.
    8. Cliquez sur Envoyer.
      Si vous avez modifié la période d’expiration par défaut de l’entrée EDL, une boîte de dialogue de confirmation d’avertissement s’affiche indiquant que la période diffère de l’EDL sélectionnée.
      Boîte de dialogue de confirmation de la période d’expiration.
    9. Choisissez une option pour configurer la période d’expiration.
      OptionDescription
      Oui Confirme votre remplacement d’expiration, sauvegarde l’enregistrement et vous renvoie à la liste Entrées de la liste dynamique externe du pare-feu Palo Alto Networks . Si l’approbation par e-mail est configurée dans votre workflow, une demande d’approbation par e-mail est envoyée.
      Non Annule le remplacement. À ce stade, vous pouvez modifier la valeur de la période d’expiration.

      Après avoir modifié la valeur, cliquez sur Soumettre pour revenir à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks .
    10. Si elle n’est pas affichée, accédez à la liste des entrées de la liste dynamique externe du pare-feu Palo Alto Networks et notez que l’état de l’entrée est En attente.
      Liste d’entrées EDL de pare-feu avec entrée en attente.
      L’entrée est maintenant prête à être approuvée.

    Que faire ensuite

    Approuver les entrées EDL.