차단 목록에서 EDL 항목 제출 Palo Alto Networks Next-Generation Firewall
악의적인 것으로 확인되고 특정 Now Platform 보안 인시던트와 관련이 없는 옵저버블의 경우 차단 목록에서 EDL(외부 동적 목록) 항목을 제출합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
프로시저
-
다음으로 이동 레이블이 표시됩니다.
-
표시되는 새 기록의 항목 값 필드에 옵저버블의 값을 입력합니다.
이 항목의 두 가지 가능한 결과는 다음과 같습니다.
- 양식의 나머지 필드는 자동으로 작성됩니다.
- 일치하는 옵저버블이 발견되고 일치하는 옵저버블이 존재한다는 메시지가 표시됩니다. 이 항목을 연결할 EDL을 선택하고 제출을 클릭합니다. 만료 기간을 설정하기 전에 이 항목을 첨부할 EDL을 선택합니다.
- 양식을 작성하도록 지시하는 메시지가 표시됩니다.
- 일치하는 옵저버블이 없으므로 양식을 작성해야 합니다. 완료한 후 옵저버블을 연결할 EDL을 선택하고 제출을 클릭합니다. 옵저버블 기록이 생성됩니다.
다음 그림에서는 기존 도메인 옵저버블의 예와 필드가 자동으로 완성되는 방식을 보여줍니다.
-
나머지 정보를 수동으로 입력하라는 메시지가 표시되면 필드에 내용을 입력합니다.
필드 설명 옵저버블 유형 대화 상자에서 지원되는 옵저버블 유형입니다. EDL 이름 항목을 첨부하려는 EDL입니다. 주:만료 기간을 설정하기 전에 항목을 첨부할 EDL을 선택합니다.무효화 사용(기본값이 선택됨) 조회 결과 또는 소스입니다. 구성되면 조회 결과 와 결과를 찾는 데 사용되는 소스를 입력할 수 있습니다. 이러한 필드는 일반적으로 보안 인시던트 기록이 생성될 때 채워집니다. 이 경우 조회 결과나 소스가 없으며 이러한 필드를 수동으로 채웁니다. 조회 결과 알 수 없음 또는 악성을 선택합니다. 소스 EDL 항목에서 위협 조회를 수행하는 소스입니다(예: ThreatCrowd 등). 만료 기간 기본적으로 EDL에서 상속된 만료 기간입니다. 이 값은 재정의할 수 있지만 항목을 만드는 동안에만 재정의할 수 있습니다. 0 은 EDL 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 입력한 일 수 동안 이 항목이 활성 상태가 됩니다. 최솟값 1을 입력할 수 있으며 최댓값은 없습니다.
예를 들어 5월 1일 오후 2시 1분에 30 일을 입력하면 EDL 항목은 5월 31일 오후 2시 1분에 만료됩니다.
-
제출을 클릭합니다.
EDL 항목의 기본 만료 기간을 변경한 경우 기간이 선택한 EDL과 다르다는 경고 확인 대화 상자가 표시됩니다.
-
표시되지 않으면 Palo Alto Networks 방화벽 외부 동적 목록 항목 목록으로 이동하여 항목의 상태가 보류 중인지 확인합니다.
이제 항목을 승인할 준비가 되었습니다.