에 대한 보안 인시던트 기록의 EDL 항목 제출 Palo Alto Networks Next-Generation Firewall
보안 인시던트 기록에 첨부된 옵저버블은 승인을 위해 EDL에 외부 동적 목록(EDL) 항목으로 제출됩니다. EDL 항목에 대한 승인 프로세스는 미리 구성된 워크플로의 일부입니다. 방화벽은 EDL 목록에 포함된 EDL 항목(IP 주소, URL, 도메인)을 가져오고 정책을 적용합니다.
시작하기 전에
필요한 역할: sn_si.analyst(EDL 항목 제출) EDL 항목을 승인하려면 다음을 수행합니다. 승인은 기본적으로 sn_si.admin에 할당되지만 이 권한은 조직의 필요에 따라 할당될 수 있습니다.
이 태스크 정보
sn_si.analyst 역할을 가진 사용자는 보안 인시던트 기록에 첨부된 옵저버블에 대한 차단을 요청하여 EDL 항목을 제출합니다. 제출되면 보류 중 상태의 EDL 항목이 생성되고 승인을 위해 전송됩니다. 다음 예제에서는 URL 옵저버블에 대한 차단 요청을 보여 줍니다.
프로시저
-
IoC 표시 관련 링크를 클릭합니다.
-
옵저버블 관련 목록에서 차단할 옵저버블을 선택하고 선택한 행에 대해 수행할 작업 목록에서 차단 요청을 선택합니다.
-
표시되는 대화 상자에서 검색 아이콘(
)을 클릭합니다.
-
표시되는 목록에서 이 항목을 첨부할 EDL을 선택합니다.
주:이 예에서 항목 옵저버블 유형(URL)은 EDL 옵저버블 유형(URL)과 일치해야 합니다.
-
EDL 이름이 구현 필드에 표시된 차단 요청 대화 상자에서 차단을 클릭합니다.
-
다음으로 이동 을 클릭하고 방화벽 EDL 항목을 클릭합니다.
-
Palo Alto Networks 방화벽 외부 동적 목록 항목 목록의 항목 값 열에 있는 옵저버블을 클릭하여 기록을 엽니다.
이 예에서는 mail.dgtnetworks.com 에 대한 기록이 표시됩니다.
상태가 보류 중이고, 활성 확인란의 선택을 취소하며, 작업 메모에 옵저버블 추가 요청이 있다고 표시됩니다. 이 EDL 항목 요청을 승인할 준비가 되었습니다.
항목 값과 옵저버블 필드에는 URL 옵저버블에 대해 서로 다른 형식이 표시됩니다.
옵저버블 필드 옆의 아이콘은 옵저버블 테이블에 대한 Now Platform® 링크입니다.
옵저버블 필드(http://mail.dgtnetworks.com)의 값은 옵저버블 테이블에 연결되며 인시던트 트리거 이벤트에서 보안 인시던트 응답 가져온 형식과 일치합니다.
Now Platform® EDL URL 형식과 Palo Alto Networks 호환되도록 EDL 항목을 자동으로 수정할 수 있습니다.
이 예에서 옵저버블은 http:// 프로토콜(http://mail.dgtnetworks.com)을 사용하여 생성되었으며 이 형식은 옵저버블 필드에 표시됩니다. http:// 프로토콜은 옵저버블 Now Platform® 에서 자동으로 제거되므로 호환 Palo Alto Networks 되며 검색할 수 있습니다. 결과적으로 mail.dgtnetworks.com 항목 값 필드에 표시됩니다.
다음에 수행할 작업
EDL 항목을 승인합니다.