Palo Alto Networks Next-Generation Firewall에 대한 차단 목록에서 EDL 항목 제출
악성으로 확인되고 특정 Now Platform 보안 인시던트와 연결되지 않은 옵저버블의 경우 차단 목록에서 EDL(외부 동적 목록) 항목을 제출합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
프로시저
-
다음으로 이동 .
-
표시되는 새 레코드의 항목 값 필드에 옵저버블에 대한 값을 입력합니다.
이 항목의 가능한 두 가지 결과:
- 양식의 나머지 필드는 자동으로 작성됩니다.
- 일치하는 옵저버블이 발견되면 일치하는 옵저버블이 존재한다는 메시지가 표시됩니다. 이 항목을 연결할 EDL을 선택하고 제출을 클릭합니다. 만료 기간을 설정하기 전에 이 항목을 연결할 EDL을 선택합니다.
- 양식을 작성하도록 요청하는 메시지가 표시됩니다.
- 일치하는 옵저버블을 찾을 수 없으므로, 양식을 작성해야 합니다. 완료 후 옵저버블을 연결할 EDL을 선택하고 제출을 클릭합니다. 옵저버블 기록이 생성됩니다.
다음 그림은 기존 도메인 옵저버블의 예와 필드가 자동으로 완료되는 방법을 보여줍니다.
-
나머지 정보를 수동으로 입력하도록 요청하는 메시지가 표시되면 필드에 내용을 입력합니다.
필드 설명 옵저버블 유형 대화 상자에서 지원되는 옵저버블 유형입니다. EDL 이름 항목을 첨부할 EDL입니다. 주:만료 기간을 설정하기 전에 항목을 연결할 EDL을 선택합니다.재정의 사용(기본값이 선택됨) 조회 결과 또는 소스입니다. 구성된 경우 조회 결과 와 결과를 찾는 데 사용되는 소스를 입력할 수 있습니다. 이러한 필드는 일반적으로 보안 인시던트 기록이 생성될 때 채워집니다. 이 경우 조회 결과나 소스가 없으며 이러한 필드를 수동으로 채웁니다. 조회 결과 알 수 없음 또는 악성을 선택합니다. 소스 EDL 항목에서 위협 조회를 수행하는 소스(예: ThreatCrowd 등) 만료 기간 기본적으로 EDL에서 상속된 만료 기간입니다. 이 값을 재정의할 수 있지만 항목을 생성하는 동안에만 가능합니다. 0 은 EDL 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 이 항목은 입력한 일수 동안 활성화됩니다. 최소값은 1로 입력할 수 있으며 최댓값은 없습니다.
예를 들어 5월 1일 오후 2시 1분에 30 일을 입력하면 EDL 항목은 5월 31일 오후 2시 1분에 만료됩니다.
-
제출을 클릭합니다.
EDL 항목의 기본 만료 기간을 변경한 경우 기간이 선택한 EDL과 다르다는 경고 확인 대화 상자가 표시됩니다.
-
표시되지 않으면 Palo Alto Networks 방화벽 외부 동적 목록 항목 목록으로 이동하여 항목의 상태가 보류 중인지 확인합니다.
이제 항목을 승인할 준비가 되었습니다.