Crie um EDL para o firewall de última geração da Palo Alto Networks
Crie uma Lista dinâmica externa (EDL) em seu ServiceNow AI Platform instância. Uma vez aprovado e ativado, você pode criar entradas para EDLs a partir de observáveis determinados como mal-intencionados em ServiceNow AI Platform Resposta a incidentes de segurança(SIR) incidentes e solicitar aprovação para bloqueá-los.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Crie o EDL em seu ServiceNow AI Platform Instância para que o firewall possa importar objetos (endereços IP, URLs, domínios) incluídos na lista e impor a política. Para impor a política nas entradas de EDL, a lista é referenciada em uma regra ou perfil de política.
As figuras na seção a seguir são mostradas com Formulários com guias Limpo em Configurações do sistema. Para obter mais informações sobre como selecionar e limpar formulários com guias, consulte a seção "Exibir formulários com guias" em Configuring the form layout.
Procedimento
-
Localize Palo Alto Networks Next-Generation Firewall lado a lado e clique Configurar .
-
Clique em Criar nova Lista de EDL .
-
No formulário, preencha os campos.
Tabela 1. Palo Alto Networks Formulário Lista dinâmica externa do firewall Campo Descrição Nome Palo Alto Networks Nome da lista dinâmica do firewall. Inclua o tipo de observável (URL, IP, domínio) neste campo para que o analista de segurança possa reconhecer facilmente a intenção do EDL pelo nome. O nome também deve indicar claramente para qual política de firewall esses objetos EDL estão mapeados. Alguns exemplos de nomes de EDL são IP de Malware de Saída ou URL de Phishing de Saída.
Ativo Esta caixa de seleção é desmarcada por padrão para indicar que o EDL está inativo. Quando inativo, o EDL não pode receber entradas adicionais.
Quando a caixa de seleção é marcada, o EDL é ativado e fica disponível para entradas de EDL.
Marcador de exibição A caixa de seleção é marcada por padrão para marcar automaticamente o observável e o registro de incidente de segurança associado se o observável estiver bloqueado em um EDL. Quando selecionado, o tipo de marcador e o marcador EDL para os campos Observáveis ficam disponíveis no formulário. Nota:Um nome de marcador é criado por padrão a partir do valor inserido em Nome campo com um EDL - Prefixo, por exemplo, IP de saída EDL-Malware. Você pode mudar o nome e a cor do marcador. Consulte: (Opcional) Edite o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall. O nome do marcador é exibido no campo Marcador EDL para observáveis depois que o EDL é salvo.Quando a caixa de seleção está desmarcada, nenhum marcador é criado e o Tipo de marcador e o marcador EDL para os campos Observáveis não estão disponíveis no formulário.
Tipo de observável Selecione um tipo de observável que este EDL aceita na lista de seleção: IP (incluindo CIDR), URL ou domínio. Tipo de marcador Marcadores que estão disponíveis na lista de seleção. Uma lista de bloqueios é uma lista de observáveis que você deseja Palo Alto Networks Next-Generation Firewall para bloquear.
Uma lista de permissões é uma lista de observáveis que você deseja Palo Alto Networks Next-Generation Firewall para permitir.
Por padrão, a cor do marcador da lista de bloqueios é preta e a cor do marcador da lista de permissões é cinza. Você pode mudar a cor. Consulte: (Opcional) Edite o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall.
Criar solicitação de mudança Esta caixa de seleção é marcada por padrão para criar automaticamente uma solicitação de mudança e tarefas de mudança em seu ServiceNow AI Platform Que estão anexadas ao registro EDL. A solicitação de mudança é usada para configurar o URL de recuperação da lista EDL no Palo Alto Networks Next-Generation Firewall servidor.
Esta opção é recomendada se o administrador do firewall também estiver usando o. ServiceNow AI Platform para mudanças de regra ou política de firewall. Se você criar uma solicitação, depois que ela for fechada, a lista EDL será ativada automaticamente.
Desmarque a caixa de seleção para ativar manualmente o EDL depois de receber um aviso por e-mail do administrador do firewall em que a configuração foi ativada Palo Alto Networks concluído.Quando a caixa de seleção Criar solicitação de mudança está desmarcada, o campo Solicitação de mudança fica indisponível.
Marcador EDL de observáveis Este campo será exibido somente se a caixa de seleção Exibir marcador estiver marcada. O campo é preenchido automaticamente depois que o EDL é salvo com um valor padrão do campo Nome. Para obter mais informações sobre como alterar o nome e a cor do marcador padrão, consulte (Opcional) Edite o nome do marcador de segurança para Palo Alto Networks Next-Generation Firewall
Solicitação de mudança Quando a caixa de seleção Criar solicitação de mudança é marcada, o número da solicitação de mudança é exibido no ServiceNow AI Platform Uma vez que o EDL é salvo. Quando a caixa de seleção Criar solicitação de mudança está desmarcada, este campo não é exibido.
Descrição Lista dinâmica de firewall da Palo Alto Networks. Geralmente, o nome contém os tipos de locais e observáveis que você esperaria estar neste EDL, e você pode usar este campo para obter mais detalhes. Período de expiração (dias) Período de expiração do EDL. 0 (o padrão) indica que a entrada EDL nunca expira.
Se você mudar este valor, esta entrada ficará ativa para o número de dias que você inserir. Você pode inserir um valor mínimo de 1 e não há valor máximo.
Por exemplo, se você inserir 30 Às 2:01 do dia 1 de maio, o EDL expirará às 2:01 do dia 31 de maio.
Em seguida, todas as entradas neste EDL herdam este valor por padrão, a menos que você substitua o valor na base de entrada individual.
-
Se a lista Listas dinâmicas externas do Firewall da Palo Alto Networks não for exibida, navegue até e clique em Configuração de EDL do firewall .
A nova EDL é exibida. O status do EDL ainda está inativo ( falso ), o que significa que o EDL não está disponível para aceitar entradas. Se Criar solicitação de mudança foi configurado, uma mensagem é exibida indicando que uma solicitação de mudança e tarefas foram criadas em seu ServiceNow AI Platform instância.
-
Em Nome , clique em um item para abrir o registro.
O registro EDL é exibido. Este exemplo mostra um EDL de IP de saída de malware. Os seguintes campos, opções e links são exibidos no novo registro após o envio e descritos na tabela a seguir.
Tabela 2. URL de recuperação e links de solicitação de mudança no registro EDL Opção Descrição URL de recuperação do firmware do e-mail E-mail com um aviso de que o link EDL está disponível para configuração para Palo Alto Networks administrador de firewall. URL de recuperação do EDL Este URL é colocado em Origem Campo na caixa de diálogo Autenticação de listas dinâmicas externas em Criar lista no Palo Alto Networks site. O URL vincula o. Palo Alto Networks o administrador do firewall usa para configuração no Palo Alto Networks o firewall é gerado e exibido automaticamente.
Nota:Se você tiver as Configurações do sistema definidas como Formulários com guias , este link é exibido no Informações de recuperação de EDL na parte inferior do registro.ServiceNow AI Platform solicitação de mudança Um link para o registro de solicitação de mudança é exibido na seção Solicitações de mudança quando configurado e o número da solicitação é exibido no campo Solicitação de mudança. Atualizar Modifique os dados e atualize os campos editáveis. Excluir Exclua o registro.