Enviar entradas de EDL da lista de bloqueios para Palo Alto Networks Next-Generation Firewall

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Para observáveis determinados como mal-intencionados e não associados a um incidente de segurança Now Platform específico, envie entradas de Lista dinâmica externa (EDL) da lista de bloqueios.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você quiser bloquear um observável que você determinou que é malicioso ou permitir que um observável que você determinou não seja malicioso e o observável não esteja associado a um registro de incidente de segurança Now Platform específico, envie entradas de EDL diretamente da lista de bloqueios. Exemplos desses tipos de entradas EDL podem ser URLs ou domínios para sites específicos.

    Procedimento

    1. Navegar até Todos > Integração de NGFW com a Palo Alto Networks > Entradas de EDL do Firewall.
      Entradas de EDL do firewall no navegador de aplicações.
    2. Clique no módulo Entradas de EDL do Firewall.
    3. Na lista de Entradas da Lista Dinâmica Externa do Firewall da Palo Alto Networks, clique em Novo.
    4. No novo registro exibido, no campo Valor de entrada, insira um valor para o seu observável.
      Os dois resultados possíveis desta entrada:
      Os campos restantes no formulário são preenchidos automaticamente.
      Um observável correspondente é encontrado e uma mensagem é exibida informando que existe um observável correspondente. Selecione a EDL à qual você deseja anexar esta entrada e clique em Enviar. Selecione a EDL à qual você deseja anexar esta entrada antes de definir o período de expiração.
      Uma mensagem será exibida instruindo você a preencher o formulário.
      Um observável correspondente não foi encontrado e você deve preencher o formulário. Depois de concluir, selecione a EDL à qual você deseja anexar o observável e clique em Enviar. Um registro observável é criado.

      A figura a seguir mostra um exemplo de um observável de domínio existente e como os campos são preenchidos automaticamente.

      Existe um observável correspondente.
    5. Clique no ícone de pesquisa para selecionar a EDL à qual você deseja anexar a entrada.
    6. Clique em Enviar.
      Se você tiver a aprovação por e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada.
    7. Se for exibida uma mensagem solicitando que você preencha o restante das informações manualmente, preencha os campos.
      Não existe nenhum observável correspondente.
      Campo Descrição
      Tipo de observável Tipo de observável compatível com a caixa de diálogo.
      Nome da EDL EDL ao qual você deseja anexar a entrada.
      Nota:
      Selecione a EDL à qual você deseja anexar a entrada antes de definir o período de expiração.
      Habilitar substituição (o padrão é selecionado) Origem ou resultado da pesquisa. Quando configurado, permite que você insira um resultado de pesquisa e a origem usada para encontrar os resultados. Esses campos são normalmente preenchidos quando um registro de incidente de segurança é criado. Nesse caso, não há resultado de pesquisa ou origem e você preenche esses campos manualmente.
      Resultado da pesquisa Selecione Desconhecido ou Mal-intencionado.
      Origem Origem que executa uma pesquisa de ameaça na entrada EDL, por exemplo, ThreatCrowd etc.
      Período de expiração O período de expiração herdado da EDL por padrão. Você pode substituir este valor, mas somente durante a criação da entrada.

      0 indica que a entrada EDL nunca expira.

      Se você alterar este valor, esta entrada ficará ativa para o número de dias inseridos. Você pode inserir um valor mínimo de 1e não há valor máximo.

      Por exemplo, se você inserir 30 dias às 14h01 de 1º de maio, a entrada da EDL expirará às 14h01 de 31 de maio.
    8. Clique em Enviar.
      Se você alterou o período de expiração padrão da entrada da EDL, uma caixa de diálogo de confirmação de aviso será exibida indicando que o período é diferente da EDL selecionada.
      Caixa de diálogo de confirmação do período de expiração.
    9. Escolha uma opção para configurar o período de expiração.
      OpçãoDescrição
      Sim Confirma sua substituição de expiração, salva o registro e retorna para a lista de Entradas da Lista Dinâmica Externa do Firewall da Palo Alto Networks. Se você tiver a aprovação por e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada.
      Não Cancela a substituição. Neste ponto, você pode alterar o valor do período de expiração.

      Depois de alterar o valor, clique em Enviar para retornar à lista de Entradas da Lista Dinâmica Externa do Firewall da Palo Alto Networks.
    10. Se não for exibido, navegue até a lista Entradas da Lista Dinâmica Externa do Firewall da Palo Alto Networks e observe que o status da entrada é Pendente.
      Lista de entradas de EDL de firewall com entrada pendente.
      A entrada está pronta para aprovação.

    O que Fazer Depois

    Aprovar entradas de EDL.