Palo Alto Networks Next-Generation Firewall용 EDL 만들기
인스턴스에 EDL(외부 동적 목록)을 Now Platform 만듭니다. 승인 및 활성화되면 (SIR) 인시던트에서 악성 Now Platform 보안 인시던트 응답 으로 확인된 옵저버블에서 EDL에 대한 항목을 생성하고 승인을 요청하여 차단할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
이 태스크 정보
방화벽이 목록에 포함된 객체(IP 주소, URL, 도메인)를 가져오고 정책을 적용할 수 있도록 인스턴스에 EDL Now Platform 을 생성합니다. EDL 항목에 정책을 적용하기 위해 정책 규칙 또는 프로필에서 목록을 참조합니다.
다음 섹션의 그림은 시스템 설정에서 선택 취소된 탭 양식 과 함께 표시됩니다. 탭 양식 선택 및 선택 취소에 대한 자세한 내용은 의 Configuring the form layout"탭 양식 표시" 섹션을 참조하십시오.
프로시저
-
타일을 Palo Alto Networks Next-Generation Firewall 찾아 구성을 클릭합니다.
-
Create new EDL List(새 EDL 목록 만들기)를 클릭합니다.
-
양식의 필드에 내용을 입력합니다.
표 1. Palo Alto Networks 방화벽 외부 동적 목록 양식 필드 설명 이름 Palo Alto Networks 방화벽 동적 목록 이름입니다. 보안 분석가가 이름으로 EDL의 의도를 쉽게 인식할 수 있도록 이 필드에 옵저버블 유형(URL, IP, 도메인)을 포함합니다. 또한 이름은 이러한 EDL 개체가 매핑되는 방화벽 정책을 명확하게 나타내야 합니다. EDL 이름의 몇 가지 예로는 아웃바운드 맬웨어 IP 또는 아웃바운드 피싱 URL이 있습니다.
활성 이 확인란은 EDL이 비활성 상태임을 나타내기 위해 기본적으로 선택되어 있지 않습니다. 비활성화된 경우 EDL은 추가 항목을 받을 수 없습니다.
이 확인란을 선택하면 EDL이 활성화되고 EDL 항목에 사용할 수 있습니다.
태그 표시 옵저버블이 EDL에서 차단된 경우 옵저버블 및 관련 보안 인시던트 기록에 자동으로 태그를 지정하려면 기본적으로 확인란이 선택됩니다. 선택하면 양식에서 옵저버블 필드의 태그 유형 및 EDL 태그를 사용할 수 있습니다. 주:태그 이름은 기본적으로 EDL 접두사를 사용하여 이름 필드에 입력하는 값에서 생성됩니다(예: EDL-Malware OutBound IP). 태그 이름과 색상을 변경할 수 있습니다. 참조: (선택 사항) 의 보안 태그 이름 편집 Palo Alto Networks Next-Generation Firewall. EDL이 저장되면 옵저버블에 대한 EDL 태그 필드에 태그 이름이 표시됩니다.확인란의 선택을 취소하면 태그가 생성되지 않으며, 양식에서 옵저버블 필드에 대한 태그 유형 및 EDL 태그를 사용할 수 없습니다.
옵저버블 유형 선택 목록에서 이 EDL이 수락하는 옵저버블 유형(IP(CIDR 포함), URL 또는 도메인)을 선택합니다. 태그 유형 선택 목록에서 사용할 수 있는 태그입니다. 차단 목록은 차단하려는 Palo Alto Networks Next-Generation Firewall 옵저버블 목록입니다.
허용 목록은 허용하려는 옵저버블 목록입니다 Palo Alto Networks Next-Generation Firewall .
기본적으로 차단 목록 태그 색은 검은색이고 허용 목록 태그 색은 회색입니다. 색상을 변경할 수 있습니다. 참조: (선택 사항) 의 보안 태그 이름 편집 Palo Alto Networks Next-Generation Firewall.
변경 요청 생성 이 확인란은 EDL 기록에 첨부된 인스턴스에서 Now Platform 변경 요청 및 변경 작업을 자동으로 생성하기 위해 기본적으로 선택되어 있습니다. 변경 요청은 서버에서 EDL 목록 검색 URL을 Palo Alto Networks Next-Generation Firewall 구성하는 데 사용됩니다.
방화벽 관리자가 방화벽 정책 또는 규칙 변경에 Now Platform 대해서도 사용 중인 경우 이 옵션을 사용하는 것이 좋습니다. 요청을 만드는 경우 요청이 종결되면 EDL 목록이 자동으로 활성화됩니다.
방화벽 관리자로부터 전자 메일을 통해 구성 Palo Alto Networks 이 완료되었다는 알림을 받은 후 EDL을 수동으로 활성화하려면 확인란의 선택을 취소합니다.변경 요청 생성 확인란의 선택을 취소하면 변경 요청 필드를 사용할 수 없습니다.
옵저버블에 대한 EDL 태그 이 필드는 태그 표시 확인란을 선택한 경우에만 표시됩니다. EDL이 이름 필드의 기본값으로 저장된 후 필드가 자동으로 채워집니다. 기본 태그 이름 및 색상 변경에 대한 자세한 내용은 (선택 사항) 의 보안 태그 이름 편집 Palo Alto Networks Next-Generation Firewall
변경 요청 변경 요청 생성 확인란을 선택하면 EDL이 저장될 때 인스턴스에 변경 요청 번호가 표시됩니다 Now Platform . 변경 요청 생성 확인란의 선택을 취소하면 이 필드는 표시되지 않습니다.
설명 Palo Alto Networks 방화벽 동적 목록에 대한 설명입니다. 이름에는 일반적으로 이 EDL에 있을 것으로 예상되는 사이트 및 관찰 가능 개체의 유형이 포함되며 이 필드를 사용하여 자세한 내용을 확인할 수 있습니다. 만료 기간(일) EDL의 만료 기간입니다. 0(기본값)은 EDL 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 입력한 일 수 동안 이 항목이 활성 상태가 됩니다. 최솟값 1을 입력할 수 있으며 최댓값은 없습니다.
예를 들어 5월 1일 오후 2시 1분에 30 일을 입력하면 EDL은 5월 31일 오후 2시 1분에 만료됩니다.
그런 다음 개별 항목을 기준으로 값을 재정의하지 않는 한 이 EDL의 모든 항목은 기본적으로 이 값을 상속합니다.
-
Palo Alto Networks 방화벽 외부 동적 목록 목록이 표시되지 않으면 다음으로 이동합니다. 을 클릭하고 방화벽 EDL 구성을 클릭합니다.
새 EDL이 표시됩니다. EDL 상태가 여전히 비활성 상태(false)이므로 EDL을 항목을 수락할 수 없습니다. 변경 요청 생성이 구성된 경우 인스턴스에서 Now Platform 변경 요청 및 작업이 생성되었음을 나타내는 메시지가 표시됩니다.
-
이름 열에서 항목을 클릭하여 기록을 엽니다.
EDL 기록이 표시됩니다. 이 예에서는 악성코드 아웃바운드 IP EDL을 보여줍니다. 다음 필드, 옵션 및 링크는 제출 후 새 기록에 표시되며 다음 테이블에 설명되어 있습니다.
표 2. EDL 기록의 검색 URL 및 변경 요청 링크 옵션 설명 이메일 FW 검색 URL 방화벽 관리자에게 EDL 링크를 구성할 수 있다는 알림을 이메일로 Palo Alto Networks 보냅니다. EDL 검색 URL 이 URL은 웹 사이트의 목록 만들기 탭 Palo Alto Networks 에 있는 외부 동적 목록 인증 대화 상자의 소스 필드에 있습니다. 방화벽 관리자가 방화벽의 Palo Alto Networks 구성에 사용하는 URL 링크가 Palo Alto Networks 자동으로 생성되고 표시됩니다.
주:시스템 설정을 탭 양식으로 설정한 경우 이 링크는 레코드 하단의 EDL 검색 정보 탭에 표시됩니다.Now Platform 변경 요청 구성 시 변경 요청 섹션에 변경 요청 기록에 대한 링크가 표시되고 변경 요청 필드에 요청 번호가 표시됩니다. 업데이트 데이터를 수정하고 편집 가능한 필드를 업데이트합니다. 삭제 기록을 삭제합니다.