Palo Alto Networks Next-Generation Firewall-Integration
Nach der Installation und Konfiguration verwendet der Security Incident-Analyst diese Integration, um schädliche IP-Adressen, URLs und Domänen mithilfe von EDL-Funktionen (External Dynamic List) mit zu blockieren ServiceNow Security Incident Response( SIR) Produkte. Der Security Incident-Analyst erstellt Einträge für eine EDL aus erkennbaren Elementen, die als böswillig ermittelt wurden ServiceNow SIRSecurity Incidents.
Eine EDL ist eine Textdatei, die auf einem externen Webserver gehostet wird. Für diese Integration ist dieser Webserver Ihr Now PlatformInstanz, die zulässt Palo Alto Networks Next-Generation FirewallDient zum Importieren von Objekten, die in der Liste enthalten sind, IP-Adressen, URLs und Domänen und zum Erzwingen der Richtlinie.
Um die Richtlinie für die EDL-Einträge durchzusetzen, wird in einer Richtlinienregel oder einem Profil auf die Liste verwiesen. Wenn die EDL-Einträge geändert werden, importiert die Firewall die Liste dynamisch im konfigurierten Intervall und erzwingt die Richtlinie ohne Konfigurationsänderung oder Commit in der Firewall. Für diese Integration Now PlatformHat eine Tabelle mit EDL-Einträgen erstellt, die von einer autorisierten Person abgerufen werden Palo Alto Networks Next-Generation FirewallIn den konfigurierten Abrufintervallen.
- Flexibilität zum Erstellen mehrerer EDLs, die für verschiedene Firewall-Deny- oder Allow-Richtlinien gelten.
- Detaillierte Berichterstellung zu den Arten der blockierten Websites (Phishing, Malware und Allow-Sites).
- Tagging von Now PlatformSecurity Incidents mit EDL-Einträgen nach Typ des erkennbaren Elements (URL, Domäne, IP-Adresse).
- Konfigurieren von EDL-Ablaufzeiträumen, um die EDL-Listengröße beizubehalten, indem ältere Einträge automatisch ablaufen oder entfernt werden.
- EDL-Einträge zwischen EDL-Listen werden gesucht, gelöscht oder migriert.
- Verknüpfen von EDL-Einträgen mit Datensätzen erkennbarer Elemente und Security Incidents, die Threat Intelligence-Ergebnisse und Details dazu enthalten, warum ein Eintrag blockiert wird.
Die Integration erfordert, dass die Plugins (com.snc.security_incident) und (com.snc.secops.orchestration) von Security Incident ResponseProdukt ist aktiviert.
Diese Integration unterstützt nur Palo Alto Networks(PAN-OS 8.x). Frühere Versionen werden nicht unterstützt.
Diese Integration ist mit den Releases Kingston, London, Madrid und New York von kompatibel Now Platform®.