Envie entradas de EDL da lista de bloqueios para Palo Alto Networks Next-Generation Firewall

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Para observáveis determinados como mal-intencionados e não associados a um específico Now PlatformIncidente de segurança, você envia entradas da Lista dinâmica externa (EDL) da lista de bloqueios.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você deseja bloquear um observável que você determinou como malicioso ou permitir que um observável que você determinou não é malicioso e o observável não está associado a um específico Now PlatformRegistro de incidente de segurança, você envia entradas de EDL diretamente da lista de bloqueios. Exemplos desses tipos de entradas de EDL podem ser URLs ou domínios para sites específicos.

    Procedimento

    1. Navegar até Tudo > Integração do NGFW da Palo Alto Networks > Entradas de EDL do firewall.
      Entradas de EDL do firewall no navegador de aplicações.
    2. Clique em Entradas de EDL do firewall módulo.
    3. Na lista Entradas da lista dinâmica externa do firewall da Palo Alto Networks, clique em Novo .
    4. No novo registro exibido, no Valor de entrada insira um valor para o observável.
      Os dois resultados possíveis desta entrada:
      Os campos restantes no formulário são preenchidos automaticamente.
      Um observável correspondente foi encontrado e uma mensagem é exibida informando que existe um observável correspondente. Selecione o EDL ao qual você deseja anexar esta entrada e clique em Enviar . Selecione o EDL ao qual você deseja anexar esta entrada antes de definir o Período de expiração.
      É exibida uma mensagem instruindo você a preencher o formulário.
      Não foi encontrado um observável correspondente e você deve preencher o formulário. Depois de concluí-lo, selecione o EDL ao qual você deseja anexar o observável e clique em Enviar . Um registro observável é criado.

      A figura a seguir mostra um exemplo de um observável de domínio existente e como os campos são preenchidos automaticamente.

      Existe observável correspondente.
    5. Clique no ícone de pesquisa para selecionar o EDL ao qual você deseja anexar a entrada.
    6. Clique em Enviar.
      Se você tiver a aprovação de e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada.
    7. Se for exibida uma mensagem solicitando que você preencha o restante das informações manualmente, preencha os campos.
      Não existe observável correspondente.
      Campo Descrição
      Tipo de observável Tipo de observável compatível com a caixa de diálogo.
      Nome do EDL EDL ao qual você deseja anexar a entrada.
      Nota:
      Selecione a EDL à qual deseja anexar a entrada antes de definir o Período de expiração.
      Ativar substituição (o padrão é selecionado) Origem ou resultado da pesquisa. Quando configurado, permite que você insira um Resultado da pesquisa e a origem usada para encontrar os resultados. Normalmente, esses campos são preenchidos quando um registro de incidente de segurança é criado. Nesse caso, não há resultado ou origem de pesquisa e você preenche esses campos manualmente.
      Resultado da pesquisa Selecione Desconhecido ou Mal-intencionado .
      Origem Origem que executa uma pesquisa de ameaça na entrada do EDL, por exemplo, ThreatCrowd etc.
      Período de expiração O período de expiração herdado do EDL por padrão. Você pode substituir este valor, mas somente durante a criação da entrada.

      0 Indica que a entrada de EDL nunca expira.

      Se você mudar este valor, esta entrada ficará ativa para o número de dias que você inserir. Você pode inserir um valor mínimo de 1 e não há valor máximo.

      Por exemplo, se você inserir 30 Às 2:01 PM de 1 de maio, a entrada de EDL expirará às 2:01 PM de 31 de maio.
    8. Clique em Enviar.
      Se você tiver alterado o período de expiração padrão da entrada de EDL, uma caixa de diálogo de confirmação de aviso será exibida indicando que o período é diferente da EDL selecionada.
      Caixa de diálogo de confirmação do período de expiração.
    9. Escolha uma opção para configurar o período de expiração.
      OpçãoDescrição
      Sim Confirma sua substituição de expiração, salva o registro e retorna você para Entradas da lista dinâmica externa do firewall da Palo Alto Networks lista. Se você tiver a aprovação de e-mail configurada em seu fluxo de trabalho, uma solicitação de e-mail de aprovação será enviada.
      Não Cancela a substituição. Neste ponto, você pode alterar o valor de Período de expiração .

      Depois de alterar o valor, clique em Enviar para retornar ao Entradas da lista dinâmica externa do firewall da Palo Alto Networks lista.
    10. Se não for exibido, navegue até Entradas da lista dinâmica externa do firewall da Palo Alto Networks E observe que o status da entrada é Pendente.
      Lista de entradas de EDL do firewall com entrada pendente.
      A entrada agora está pronta para aprovação.

    O que Fazer Depois

    Aprovar entradas de EDL.