Créer une EDL pour le pare-feu de nouvelle génération Palo Alto Networks
Créez une liste dynamique externe (EDL) dans votre Now Platform instance. Une fois approuvées et activées, vous pouvez créer des entrées pour les EDL à partir d’observables identifiés comme malveillants sur Now Platform Réponse aux incidents de sécurité des incidents (SIR) et demander l’approbation pour les bloquer.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Créez l’EDL sur votre Now Platform instance afin que le pare-feu puisse importer des objets (adresses IP, URL, domaines) inclus dans la liste et appliquer la politique. Pour appliquer la politique sur les entrées EDL, la liste est référencée dans une règle ou un profil de politique.
Les chiffres de la section suivante sont affichés avec les formulaires à onglets effacés dans Paramètres système. Pour plus d’informations sur la sélection et l’effacement des formulaires à onglets, reportez-vous à la section « Afficher les formulaires à onglets » dans Configuring the form layout.
Procédure
-
Localisez la Palo Alto Networks - Next-Generation Firewall tuile et cliquez sur Configurer.
-
Cliquez sur Créer une nouvelle liste EDL.
-
Renseignez les champs du formulaire.
Tableau 1. Palo Alto Networks Formulaire de liste dynamique externe de pare-feu Champ Description Nom Palo Alto Networks Nom de la liste dynamique du pare-feu. Incluez le type d’observable (URL, adresse IP, domaine) dans ce champ afin que l’analyste de sécurité puisse facilement reconnaître l’intention de l’EDL par son nom. Le nom doit également indiquer clairement à quelle stratégie de pare-feu ces objets EDL sont mappés. Voici quelques exemples de noms EDL : IP de programme malveillant sortant ou URL d’hameçonnage sortant.
Actifs Cette case est décochée par défaut pour indiquer que l’EDL est inactive. Lorsqu’elle est inactive, l’EDL ne peut pas recevoir d’entrées supplémentaires.
Lorsque la case est cochée, l’EDL est activée et disponible pour les entrées EDL.
Balise d’affichage La case à cocher est sélectionnée par défaut pour baliser automatiquement l’observable et l’enregistrement d’incident de sécurité associé si l’observable est bloqué sur une EDL. Lorsque cette option est sélectionnée, les champs Type de balise et Balise EDL pour les observables sont disponibles sur le formulaire. Remarque :Un nom de balise est créé par défaut à partir de la valeur que vous entrez dans le champ Nom avec un préfixe EDL, par exemple, EDL-Malware OutBound IP. Vous pouvez modifier le nom et la couleur de la balise. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall. Le nom de la balise est affiché dans le champ Balise EDL pour les observables une fois que l’EDL est enregistrée.Lorsque la case est décochée, aucune balise n’est créée et les champs Type de balise et Balise EDL pour les observables ne sont pas disponibles sur le formulaire.
Type observable Sélectionnez un type d’observable que cette EDL accepte dans la liste de choix : adresse IP (y compris CIDR), URL ou domaine. Type de balise Balises disponibles dans la liste de choix. Une liste de blocs est une liste d’observables Palo Alto Networks - Next-Generation Firewall que vous souhaitez bloquer.
Une liste d’autorisation est une liste d’observables Palo Alto Networks - Next-Generation Firewall que vous souhaitez autoriser.
Par défaut, la couleur de la balise de la liste de blocs est noire et la couleur de la balise de la liste d’autorisation est grise. Vous pouvez changer la couleur. Voir : (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall.
Création d’une demande de changement Cette case à cocher est sélectionnée par défaut pour créer automatiquement une demande de changement et des tâches de changement dans votre Now Platform instance, qui sont jointes à l’enregistrement EDL. La demande de changement est utilisée pour configurer l’URL de récupération de liste des EDL dans le Palo Alto Networks - Next-Generation Firewall serveur.
Cette option est recommandée si votre administrateur de pare-feu utilise également le pour modifier la politique ou les règles du Now Platform pare-feu. Si vous créez une demande, une fois qu’elle est fermée, la liste EDL est automatiquement activée.
Décochez la case pour activer manuellement l’EDL après avoir reçu une notification par e-mail de l’administrateur du pare-feu indiquant que la configuration Palo Alto Networks est terminée.Lorsque la case Créer une demande de changement est décochée, le champ Demande de changement n’est pas disponible.
Balise EDL pour les observables ce champ n’est affiché que si la case Afficher la balise est cochée. Le champ est automatiquement renseigné une fois l’EDL enregistrée avec une valeur par défaut du champ Nom. Pour plus d’informations sur la modification du nom et de la couleur de la balise par défaut, consultez (Facultatif) Modifier le nom de la balise de sécurité pour Palo Alto Networks - Next-Generation Firewall
Demande de changement Lorsque la case Créer une demande de changement est cochée, le numéro de la demande de changement s’affiche sur l’instance Now Platform une fois l’EDL enregistrée. Lorsque la case à cocher Créer une demande de changement est désactivée, ce champ n’apparaît pas.
Description Description de la liste dynamique du pare-feu Palo Alto Networks. Le nom contient généralement les types de sites et d’observables que vous vous attendez à trouver sur cette EDL, et vous pouvez utiliser ce champ pour plus de détails. Période d'expiration (jours) Période d’expiration de l’EDL. 0 (valeur par défaut) indique que l’entrée EDL n’expire jamais.
Si vous modifiez cette valeur, cette entrée est active pendant le nombre de jours que vous saisissez. Vous pouvez entrer une valeur minimale de 1, mais il n’y a pas de valeur maximale.
Par exemple, si vous saisissez 30 jours à 14h01 le 1er mai, l’EDL expirera à 14h01 le 31 mai.
Toutes les entrées de cette EDL héritent alors de cette valeur par défaut, sauf si vous remplacez la valeur sur une base individuelle.
-
Si la liste des listes dynamiques externes du pare-feu Palo Alto Networks n’est pas affichée, accédez à et cliquez sur Configuration de l’EDL du pare-feu.
La nouvelle EDL s’affiche. L’état de l’EDL est toujours inactif (faux), ce qui signifie que l’EDL n’est pas disponible pour accepter des entrées. Si la création d’une demande de changement a été configurée, un message s’affiche indiquant qu’une demande de changement et des tâches ont été créées dans votre Now Platform instance.
-
Dans la colonne Nom , cliquez sur un élément pour ouvrir l’enregistrement.
L’enregistrement EDL s’affiche. Cet exemple montre une EDL IP sortante de programme malveillant. Les champs, options et liens suivants sont affichés dans le nouvel enregistrement après soumission et décrits dans le tableau suivant.
Tableau 2. URL de récupération et liens de demande de changement sur l’enregistrement EDL Option Description Envoyer par e-mail l'URL de récupération de transfert Envoie par e-mail un avis indiquant que le lien EDL est disponible pour configuration à l’administrateur du Palo Alto Networks pare-feu. URL de récupération de l’EDL Cette URL est placée dans le champ Source de la boîte de dialogue d’authentification des listes dynamiques externes de l’onglet Créer une liste sur le Palo Alto Networks site Web. Le lien URL que l’administrateur Palo Alto Networks de pare-feu utilise pour la configuration dans le Palo Alto Networks pare-feu est automatiquement généré et affiché.
Remarque :Si vos paramètres système sont définis sur Formulaires à onglets, ce lien s’affiche dans l’onglet Informations de récupération de l’EDL au bas de l’enregistrement.Now Platform Demande de changement Un lien vers l’enregistrement de la demande de changement s’affiche dans la section Demandes de changement lorsqu’elle est configurée, et le numéro de la demande s’affiche dans le champ Demande de changement. Mettre à jour Modifiez les données et mettez à jour les champs modifiables. Supprimer Supprimez l’enregistrement.