Erstellen Sie eine EDL für die Firewall der nächsten Generation von Palo Alto Networks

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Erstellen Sie eine externe dynamische Liste (EDL) in Now PlatformInstanz. Nach der Genehmigung und Aktivierung können Sie Einträge für EDLs aus erkennbaren Elementen erstellen, die als böswillig ermittelt wurden Now Platform Security Incident Response(SIR) Incidents und fordern Sie die Genehmigung an, um sie zu blockieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie die EDL auf Ihrem Now PlatformInstanz, damit die Firewall Objekte importieren kann – IP-Adressen, URLs, Domänen – die in der Liste enthalten sind und die Richtlinie erzwingen kann. Um die Richtlinie für die EDL-Einträge durchzusetzen, wird in einer Richtlinienregel oder einem Profil auf die Liste verwiesen.

    Die Zahlen im folgenden Abschnitt werden mit angezeigt Formulare mit Registerkarten In Systemeinstellungen gelöscht. Weitere Informationen zum Auswählen und Löschen von Formularen mit Registerkarten finden Sie im Abschnitt „Formulare mit Registerkarten anzeigen“ in Configuring the form layout.

    Prozedur

    1. Navigieren Sie nach Abschluss der Anwendungsinstallation zu Integrationen > Integrationskonfigurationenan.
    2. Suchen Sie Palo Alto Networks Next-Generation FirewallKachel und klicken Sie auf Konfigurieren .
      Palo Alto-Netzwerke – Schaltfläche „Firewall der nächsten Generation konfigurieren“
    3. Klicken Sie Auf Erstellen Sie eine neue EDL-Liste .
      Erstellen Sie eine neue EDL-Liste.
    4. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Palo Alto Networks Formular „externe dynamische Liste“ für Firewall
      Feld Beschreibung
      Name Palo Alto Networks Name der dynamischen Firewall-Liste.

      Fügen Sie den Typ des erkennbaren Elements (URL, IP, Domäne) in dieses Feld ein, damit der Sicherheitsanalysten die Absicht der EDL leicht anhand ihres Namens erkennen kann. Der Name muss auch deutlich angeben, welcher Firewall-Richtlinie diese EDL-Objekte zugeordnet sind. Einige Beispiele für EDL-Namen sind: Ausgehende Malware-IP oder ausgehende Phishing-URL.
      Aktiv Dieses Kontrollkästchen ist standardmäßig deaktiviert, um anzugeben, dass die EDL inaktiv ist.

      Wenn diese Option inaktiv ist, kann die EDL keine zusätzlichen Einträge empfangen.

      Wenn das Kontrollkästchen aktiviert ist, ist die EDL aktiviert und für EDL-Einträge verfügbar.
      Tag anzeigen Das Kontrollkästchen ist standardmäßig aktiviert, um das erkennbare Element und den zugehörigen Security Incident-Datensatz automatisch zu kennzeichnen, wenn das erkennbare Element in einer EDL blockiert ist. Wenn diese Option ausgewählt ist, sind der Tag-Typ und das EDL-Tag für die Felder erkennbarer Elemente im Formular verfügbar.
      Hinweis:
      Ein Tag-Name wird standardmäßig aus dem Wert erstellt, den Sie in eingeben Name Feld mit EDL – Präfix, z. B. ausgehende EDL-Malware-IP. Sie können den Tag-Namen und die Farbe ändern. Siehe: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall. Der Tag-Name wird im Feld „EDL-Tag für erkennbare Elemente“ angezeigt, sobald die EDL gespeichert wurde.

      Wenn das Kontrollkästchen deaktiviert ist, wird kein Tag erstellt, und die Felder „Tag-Typ“ und „EDL-Tag“ für erkennbare Elemente sind im Formular nicht verfügbar.
      Erkennbarer Typ Wählen Sie einen Typ des erkennbaren Elements aus der Auswahlliste aus, den diese EDL akzeptiert: IP (einschließlich CIDR), URL oder Domäne.
      Tag-Typ Tags, die in der Auswahlliste verfügbar sind.

      Eine Sperrliste ist eine Liste der erkennbaren Elemente, die Sie verwenden möchten Palo Alto Networks Next-Generation FirewallZu blockieren.

      Eine Allow-Liste ist eine Liste der erkennbaren Elemente, die Sie verwenden möchten Palo Alto Networks Next-Generation FirewallZu zulassen.

      Standardmäßig ist die Tag-Farbe der Sperrliste schwarz und die Tag-Farbe der Allow-Liste grau. Sie können die Farbe ändern. Siehe: (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall.
      Change-Anforderungen erstellen Dieses Kontrollkästchen ist standardmäßig aktiviert, um automatisch eine Change-Anforderung und Change-Aufgaben in zu erstellen Now PlatformInstanz, die an den EDL-Datensatz angehängt sind.

      Die Change-Anforderung wird verwendet, um die EDL-Listenabruf-URL in zu konfigurieren Palo Alto Networks Next-Generation FirewallServer.

      Diese Option wird empfohlen, wenn Ihr Firewall-Administrator auch verwendet Now PlatformFür Firewall-Richtlinien- oder -Regeländerungen. Wenn Sie eine Anforderung erstellen, wird die EDL-Liste nach dem Schließen automatisch aktiviert.

      Deaktivieren Sie das Kontrollkästchen, um die EDL manuell zu aktivieren, nachdem Sie eine Benachrichtigung per E-Mail vom Firewall-Administrator erhalten haben, dass die Konfiguration aktiviert ist Palo Alto NetworksIst abgeschlossen.

      Wenn das Kontrollkästchen „Change-Anforderung erstellen“ deaktiviert ist, ist das Feld „Change-Anforderung“ nicht verfügbar.
      EDL-Tag für erkennbare Elemente Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Tag anzeigen aktiviert ist. Das Feld wird automatisch ausgefüllt, nachdem die EDL mit einem Standardwert aus dem Feld Name gespeichert wurde.

      Weitere Informationen zum Ändern des Standard-Tag-Namens und der Farbe finden Sie unter (Optional) Bearbeiten Sie den Sicherheits-Tag-Namen für Palo Alto Networks Next-Generation Firewall
      Change-Anforderung Wenn das Kontrollkästchen Change-Anforderung erstellen aktiviert ist, wird die Change-Anforderungsnummer auf angezeigt Now PlatformInstanz, sobald die EDL gespeichert wurde.

      Wenn das Kontrollkästchen „Change-Anforderung erstellen“ deaktiviert ist, wird dieses Feld nicht angezeigt.
      Beschreibung Beschreibung der dynamischen Liste der Palo-Alto-Netzwerke-Firewall. Der Name enthält im Allgemeinen die Typen von Sites und erkennbaren Elementen, die Sie in dieser EDL erwarten, und Sie können dieses Feld für weitere Details verwenden.
      Ablaufzeitraum (in Tagen) Ablaufzeitraum der EDL.

      0 (Standard) gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl der Tage aktiv. Sie können einen Mindestwert von 1 eingeben, und es gibt keinen Höchstwert.

      Beispiel: Wenn Sie eingeben 30 Tage um 14:01 Uhr am 1. Mai läuft die EDL um 14:01 Uhr am 31. Mai ab.

      Alle Einträge in dieser EDL erben diesen Wert standardmäßig, es sei denn, Sie überschreiben den Wert für einzelne Einträge.
      Abgeschlossener EDL-Datensatz bereit zur Übermittlung.
    5. Klicken Sie auf Absenden.
    6. Wenn die Liste „externe dynamische Listen der Palo-Alto-Netzwerke-Firewall“ nicht angezeigt wird, navigieren Sie zu Palo Alto Networks NGFW-Integration > Firewall-EDL-Konfiguration Und klicken Sie auf Firewall-EDL-Konfiguration .
      Wählen Sie Firewall-EDL-Konfiguration aus.
      Die neue EDL wird angezeigt. Der EDL-Status ist noch inaktiv ( Falsch ), was bedeutet, dass die EDL nicht zum Akzeptieren von Einträgen verfügbar ist. Wenn Erstellen Sie eine Change-Anforderung Wurde konfiguriert, wird eine Nachricht angezeigt, die angibt, dass eine Change-Anforderung und Aufgaben in erstellt wurden Now PlatformInstanz.
      Change-Anforderungsnachricht in der EDL-Liste.
    7. In Name Spalte, klicken Sie auf ein Element, um den Datensatz zu öffnen.
      Der EDL-Datensatz wird angezeigt. Dieses Beispiel zeigt eine ausgehende IP-EDL von Malware. Die folgenden Felder, Optionen und Links werden nach der Übermittlung im neuen Datensatz angezeigt und in der folgenden Tabelle beschrieben.
      EDL-Abruf-URL, Schaltfläche „E-Mail-Abruf-URL“ und Link zur Change-Anforderung.
      Tabelle : 2. Abruf-URL und Change-Anforderungslinks im EDL-Datensatz
      Option Beschreibung
      FW-Abruf-URL mailen Per E-Mail wird benachrichtigt, dass der EDL-Link für die Konfiguration verfügbar ist Palo Alto NetworksFirewall-Administrator.
      EDL-Abruf-URL Diese URL wird in platziert Quelle Feld im Dialogfeld Authentifizierung externer dynamischer Listen auf der Erstellen Sie Eine Liste Registerkarte auf Palo Alto NetworksWebsite.

      Die URL-Verknüpfung mit Palo Alto NetworksFirewall-Administrator verwendet für die Konfiguration in Palo Alto NetworksFirewall wird automatisch generiert und angezeigt.

      Hinweis:
      Wenn Ihre Systemeinstellungen auf festgelegt sind Formulare mit Registerkarten , Dieser Link wird auf angezeigt EDL-Abrufinformationen Registerkarte unten im Datensatz.
      Now Platform Change-Anforderung Ein Link zum Change-Anforderungsdatensatz wird im Abschnitt „Change-Anforderungen“ angezeigt, wenn konfiguriert, und die Anforderungsnummer wird im Feld „Change-Anforderung“ angezeigt.
      Aktualisieren Ändern Sie Daten, und aktualisieren Sie die bearbeitbaren Felder.
      Löschen Löschen Sie den Datensatz.
    8. Erstellen und fügen Sie nach Bedarf weitere EDLs hinzu.
      Die EDLs werden auf angezeigt Palo Alto NetworksExterne dynamische Listen-Liste.

    Nächste Maßnahme

    Aktivieren Sie eine EDL manuell oder mit Now PlatformChange-Anforderung.