Übermitteln Sie EDL-Einträge aus der Blockliste für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Für erkennbare Elemente, die als böswillig bestimmt und keinem bestimmten zugeordnet sind Now PlatformSecurity Incident: Sie übermitteln Einträge der externen dynamischen Liste (EDL) aus der Sperrliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, das Sie als böswillig eingestuft haben, oder zulassen möchten, dass ein erkennbares Element nicht böswillig ist und das erkennbare Element keinem bestimmten zugeordnet ist Now PlatformSecurity Incident-Datensatz: Sie übermitteln EDL-Einträge direkt aus der Blockliste. Beispiele für diese Typen von EDL-Einträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Palo Alto Networks NGFW-Integration > Firewall-EDL-Einträgean.
      Firewall-EDL-Einträge im Anwendungsnavigator.
    2. Klicken Sie auf Firewall-EDL-Einträge Modul.
    3. Klicken Sie in der Liste „externe dynamische Listeneinträge der Palo-Alto-Netzwerke-Firewall“ auf Neu .
    4. Im neuen Datensatz, der angezeigt wird, in Eingabewert Geben Sie einen Wert für Ihr erkennbares Element ein.
      Die zwei möglichen Ergebnisse dieses Eintrags:
      Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      Ein übereinstimmendes erkennbares Element wurde gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Übermitteln . Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Eine Nachricht wird angezeigt, die Sie anweist, das Formular auszufüllen.
      Es wurde kein übereinstimmendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die EDL aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Übermitteln . Ein Datensatz für erkennbares Element wird erstellt.

      Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.

      Übereinstimmendes erkennbares Element vorhanden.
    5. Klicken Sie auf das Suchsymbol, um die EDL auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
      Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
    7. Wenn eine Nachricht angezeigt wird, in der Sie aufgefordert werden, den Rest der Informationen manuell auszufüllen, füllen Sie die Felder aus.
      Kein übereinstimmendes erkennbares Element vorhanden.
      Feld Beschreibung
      Erkennbarer Typ Typ des erkennbaren Elements, der vom Dialogfeld unterstützt wird.
      EDL-Name EDL, an die Sie den Eintrag anhängen möchten.
      Hinweis:
      Wählen Sie die EDL aus, an die der Eintrag angehängt werden soll, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder Quelle. Wenn konfiguriert, können Sie eine eingeben Suchergebnis Und die Quelle, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Aus Unbekannt Oder Böswillig .
      Quelle Quelle, die eine Bedrohungssuche für den EDL-Eintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der standardmäßig von der EDL geerbte Ablaufzeitraum. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 Gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl der Tage aktiv. Sie können einen Mindestwert von eingeben 1 , Und es gibt keinen Höchstwert.

      Beispiel: Wenn Sie eingeben 30 Tage um 14:01 Uhr am 1. Mai läuft der EDL-Eintrag um 14:01 Uhr am 31. Mai ab.

    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des EDL-Eintrags geändert haben, wird ein Bestätigungsdialogfeld für Warnungen angezeigt, das angibt, dass sich der Zeitraum vom ausgewählten EDL unterscheidet.
      Bestätigungsdialogfeld für Ablaufzeitraum.
    9. Wählen Sie eine Option aus, um den Ablaufzeitraum zu konfigurieren.
      OptionBeschreibung
      Ja Bestätigt die Ablaufüberschreibung, speichert den Datensatz und kehrt zu zurück Externe Dynamische Listeneinträge Der Palo-Alto-Netzwerke-Firewall Liste. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. An dieser Stelle können Sie den Wert für ändern Ablaufzeitraum .

      Klicken Sie nach dem Ändern des Werts auf Übermitteln Um zu zurückzukehren Externe Dynamische Listeneinträge Der Palo-Alto-Netzwerke-Firewall Liste.

    10. Wenn nicht angezeigt, navigieren Sie zu Externe Dynamische Listeneinträge Der Palo-Alto-Netzwerke-Firewall Listen Sie auf, und beachten Sie, dass der Status für den Eintrag „Ausstehend“ lautet.
      Firewall-EDL-Eintragsliste mit ausstehendem Eintrag.
      Der Eintrag ist jetzt zur Genehmigung bereit.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.