Übermitteln Sie EDL-Einträge aus der Blockliste für Palo Alto Networks Next-Generation Firewall

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Für erkennbare Elemente, die als schädlich eingestuft und keinem bestimmten zugeordnet sind ServiceNow AI Platform Security Incident senden Sie EDL-Einträge (External Dynamic List) aus der Blockliste.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie ein erkennbares Element blockieren möchten, das Sie als böswillig eingestuft haben, oder zulassen möchten, dass ein erkennbares Element nicht böswillig ist und das erkennbare Element keinem bestimmten zugeordnet ist ServiceNow AI Platform Security Incident-Datensatz senden Sie EDL-Einträge direkt aus der Blockliste. Beispiele für diese Arten von EDL-Einträgen können URLs oder Domänen für bestimmte Sites sein.

    Prozedur

    1. Navigieren zu Alle > Palo Alto Networks – NGFW-Integration > Firewall-EDL-Einträgean.
      Firewall-EDL-Einträge im Anwendungsnavigator.
    2. Klicken Sie auf Firewall-EDL-Einträge Modul.
    3. Klicken Sie in der Liste „externe dynamische Listeneinträge der Palo Alto Networks-Firewall“ auf Neu .
    4. Im neuen Datensatz, der angezeigt wird, in Eingabewert Geben Sie einen Wert für Ihr erkennbares Element ein.
      Die beiden möglichen Ergebnisse dieses Eintrags:
      Die verbleibenden Felder im Formular werden automatisch ausgefüllt.
      Ein übereinstimmendes erkennbares Element wurde gefunden, und es wird eine Meldung angezeigt, dass ein übereinstimmendes erkennbares Element vorhanden ist. Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, und klicken Sie auf Übermitteln . Wählen Sie die EDL aus, an die Sie diesen Eintrag anhängen möchten, bevor Sie den Ablaufzeitraum festlegen.
      Es wird eine Nachricht angezeigt, die Sie anweist, das Formular auszufüllen.
      Es wurde kein übereinstimmendes erkennbares Element gefunden, und Sie müssen das Formular ausfüllen. Wählen Sie nach Abschluss die EDL aus, an die Sie das erkennbare Element anhängen möchten, und klicken Sie auf Übermitteln . Ein Datensatz eines erkennbaren Elements wird erstellt.

      Die folgende Abbildung zeigt ein Beispiel für ein vorhandenes erkennbares Domänenelement und wie die Felder automatisch ausgefüllt werden.

      Übereinstimmendes erkennbares Element ist vorhanden.
    5. Klicken Sie auf das Suchsymbol, um die EDL auszuwählen, an die Sie den Eintrag anhängen möchten.
    6. Klicken Sie auf Absenden.
      Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
    7. Wenn eine Nachricht angezeigt wird, in der Sie aufgefordert werden, den Rest der Informationen manuell auszufüllen, füllen Sie die Felder aus.
      Kein übereinstimmendes erkennbares Element vorhanden.
      Feld Beschreibung
      Typ des erkennbaren Elements Typ des erkennbaren Elements, der vom Dialogfeld unterstützt wird.
      EDL-Name EDL, an die Sie den Eintrag anhängen möchten.
      Hinweis:
      Wählen Sie die EDL aus, an die der Eintrag angehängt werden soll, bevor Sie den Ablaufzeitraum festlegen.
      Überschreibung aktivieren (Standard ist ausgewählt) Suchergebnis oder Quelle. Wenn konfiguriert, können Sie einen eingeben Suchergebnis Und die Quelle, die zum Suchen der Ergebnisse verwendet wird. Diese Felder werden normalerweise ausgefüllt, wenn ein Security Incident-Datensatz erstellt wird. In diesem Fall gibt es kein Suchergebnis oder keine Quelle, und Sie füllen diese Felder manuell aus.
      Suchergebnis Wählen Sie Aus Unbekannt Oder Böswillig .
      Quelle Quelle, die eine Bedrohungssuche für den EDL-Eintrag durchführt, z. B. ThreatCrowd usw.
      Ablaufzeitraum Der standardmäßig von der EDL geerbte Ablaufzeitraum. Sie können diesen Wert überschreiben, aber nur während der Erstellung des Eintrags.

      0 Gibt an, dass der EDL-Eintrag nie abläuft.

      Wenn Sie diesen Wert ändern, ist dieser Eintrag für die von Ihnen eingegebene Anzahl von Tagen aktiv. Sie können einen Mindestwert von eingeben 1 , Und es gibt keinen Höchstwert.

      Beispiel: Wenn Sie eingeben 30 Tage um 14:01 Uhr am 1. Mai läuft der EDL-Eintrag am 31. Mai um 14:01 Uhr ab.
    8. Klicken Sie auf Absenden.
      Wenn Sie den standardmäßigen Ablaufzeitraum des EDL-Eintrags geändert haben, wird ein Bestätigungsdialogfeld für Warnungen angezeigt, das angibt, dass sich der Zeitraum vom ausgewählten EDL unterscheidet.
      Bestätigungsdialogfeld für Ablaufzeitraum.
    9. Wählen Sie eine Option aus, um den Ablaufzeitraum zu konfigurieren.
      OptionBeschreibung
      Ja Bestätigt die Ablaufüberschreibung, speichert den Datensatz und kehrt zum zurück Externe Dynamische Listeneinträge Der Palo Alto Networks-Firewall Liste. Wenn Sie in Ihrem Workflow eine E-Mail-Genehmigung konfiguriert haben, wird eine Genehmigungs-E-Mail-Anforderung gesendet.
      Nein Bricht die Überschreibung ab. Jetzt können Sie den Wert für ändern Ablaufzeitraum .

      Klicken Sie nach dem Ändern des Werts auf Übermitteln Um zu zurückzukehren Externe Dynamische Listeneinträge Der Palo Alto Networks-Firewall Liste.
    10. Wenn nicht angezeigt, navigieren Sie zu Externe Dynamische Listeneinträge Der Palo Alto Networks-Firewall Listen Sie auf, und beachten Sie, dass der Status für den Eintrag „Ausstehend“ lautet.
      Firewall-EDL-Eintragsliste mit ausstehendem Eintrag.
      Der Eintrag ist jetzt zur Genehmigung bereit.

    Nächste Maßnahme

    Genehmigen Sie EDL-Einträge.