Übermitteln Sie EDL-Einträge aus einem Security Incident-Datensatz für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erkennbare Elemente, die an einen Security Incident-Datensatz angehängt sind, werden als EDL-Einträge (External Dynamic List) an EDLs übermittelt. Ein Genehmigungsprozess für EDL-Einträge ist Teil des vorkonfigurierten Workflows. Die Firewall importiert EDL-Einträge – IP-Adressen, URLs, Domänen –, die in EDL-Listen enthalten sind, und erzwingt die Richtlinie.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst zum Senden von EDL-Einträgen. Zum Genehmigen von EDL-Einträgen: Die Genehmigung ist standardmäßig sn_si.admin zugewiesen, diese Berechtigung kann jedoch nach Bedarf von Ihrer Organisation zugewiesen werden.

    Warum und wann dieser Vorgang ausgeführt wird

    Anwender mit der Rolle „sn_si.Analyst“ übermitteln EDL-Einträge, indem sie eine Blockierung für erkennbare Elemente anfordern, die an einen Security Incident-Datensatz angehängt sind. Nach der Übermittlung wird ein EDL-Eintrag mit dem Status Ausstehend generiert und zur Genehmigung gesendet. Das folgende Beispiel zeigt eine Blockanforderung für ein erkennbares URL-Element.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen, Und klicken Sie auf einen Security Incident-Datensatz, um ihn zu öffnen.
    2. Klicken Sie auf IOC anzeigen Zugehöriger Link.
      Zugehörigen IOC-Link im Security Incident-Datensatz anzeigen.
    3. Wählen Sie in der zugehörigen Liste erkennbare Elemente die erkennbaren Elemente aus, die Sie blockieren möchten, und aus Aktionen für ausgewählte Zeilen Liste, wählen Sie aus Anforderung Blockieren .
      Wählen Sie erkennbare Elemente aus, und führen Sie eine Blockanforderung für den Security Incident-Datensatz aus.
    4. Klicken Sie im angezeigten Dialogfeld auf das Suchsymbol ( Suchsymbol).
    5. Wählen Sie in der angezeigten Liste die EDL aus, an die Sie diesen Eintrag anhängen möchten.
      Hinweis:
      In diesem Beispiel muss der Eintrag „erkennbarer Typ“ (URL) mit dem erkennbaren EDL-Typ (URL) übereinstimmen.
      Wählen Sie die EDL für den Eintrag aus.
    6. Im Dialogfeld „Blockieranforderung“ mit dem EDL-Namen, der in angezeigt wird Implementierung Feld klicken Sie auf Blockieren .
      Dialogfeld „Anforderung blockieren“.
    7. Navigieren zu Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträge Und klicken Sie auf Firewall-EDL-Einträge .
      Firewall-EDL-Eintragsliste.
    8. Klicken Sie in der Liste „externe dynamische Listeneinträge der Palo Alto Networks-Firewall“ auf Ihr erkennbares Element im Eingabewert Spalte zum Öffnen des Datensatzes.

      In diesem Beispiel der Datensatz für mail.dgtnetworks.com Wird angezeigt.

      EDL-Eintragsdatensatz.

      Der Status ist Ausstehend, das Kontrollkästchen aktiv ist deaktiviert, und die Arbeitsnotizen zeigen an, dass eine Anforderung zum Hinzufügen des erkennbaren Elements vorhanden ist. Diese EDL-Eintragsanforderung ist bereit zur Genehmigung.

      Die Felder „Eintragswert“ und „erkennbares Element“ zeigen verschiedene Formate für das erkennbare URL-Element an.

      Eingabewertfeld und Feld für erkennbares Element zeigen verschiedene Formate für dasselbe erkennbare Element an.

      Das Symbol neben dem Erkennbares Element Das Feld ist ein Link zu ServiceNow AI Platform® Tabelle des erkennbaren Elements.

      Der Wert in Erkennbares Element Feld ( http://mail.dgtnetworks.com ) Verknüpft mit der Tabelle des erkennbaren Elements und stimmt mit dem Format überein, das von übernommen wurde Security Incident Response Incident-auslösendes Ereignis.

      Die ServiceNow AI Platform® Kann EDL-Einträge automatisch so ändern, dass sie mit kompatibel sind Palo Alto Networks EDL-URL-Format.

      In diesem Beispiel wurde das erkennbare Element mit dem Protokoll http:// ( http://mail.dgtnetworks.com ), und dieses Format wird im Feld erkennbares Element angezeigt. Das HTTP://-Protokoll wird vom automatisch aus dem erkennbaren Element entfernt ServiceNow AI Platform® Daher ist es kompatibel mit Palo Alto Networks Und können abgerufen werden. Infolgedessen mail.dgtnetworks.com Wird in angezeigt Eingabewert Feld.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.