Palo Alto Networks Anleitung

Verwenden Sie diese Anleitung, um Cybora auf Palo Alto Networks Firewalls als External Dynamic List (EDL) zu registrieren. EDLs gehoeren zu den staerksten nativen Integrationen fuer Threat Intelligence, weil die Firewall die Liste automatisch aktualisieren und die aktualisierten Eintraege ohne neuen Commit durchsetzen kann.

Was Palo Alto mit einem Cybora-Feed machen kann

• IP-basierte Cybora-Feeds koennen als Source- oder Destination-Match-Objekte in Security Policy Rules verwendet werden.
• Domain-basierte Feeds koennen in unterstuetzten Security Profiles und domainbasierten Kontrollen eingesetzt werden.
• URL-basierte Feeds koennen in URL-bezogenen Policy- und Profile-Workflows durchgesetzt werden.
• Nachdem die EDL konfiguriert und committed wurde, werden spaetere Listenupdates dynamisch von der Firewall geladen, ohne dass erneut ein Policy Commit noetig ist.

Bevor Sie beginnen

• Verwenden Sie eine PAN-OS-Version, die External Dynamic Lists unterstuetzt.
• Stellen Sie sicher, dass die Firewall die Cybora-Feed-URL ueber die konfigurierte Service Route erreichen kann.
• Waehlen Sie den korrekten EDL-Typ fuer den gelieferten Feed: IP, Domain oder URL.
• Halten Sie Feed-Typ und Inhaltsformat konsistent. Eine IP EDL darf nur IP-Eintraege enthalten, eine Domain EDL nur Domains und eine URL EDL nur URLs.

EDL erstellen

1. Gehen Sie zu Objects > External Dynamic Lists und fuegen Sie eine neue Liste hinzu.
2. Geben Sie einen klaren Namen und optional eine Beschreibung ein.
3. Waehlen Sie den Listentyp, der zu Ihrem Cybora-Feed passt.
4. Fuegen Sie die Cybora-Feed-URL in das Source-Feld ein.
5. Konfigurieren Sie Authentifizierung nur dann, wenn Ihr konkreter Feed dies verlangt.
6. Verwenden Sie, falls verfuegbar, Test Source URL, um zu bestaetigen, dass die Firewall den Feed erreichen kann.
7. Setzen Sie Check for updates exakt passend zu Ihrem Cybora-Plan. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Wenn die Firewall den Feed haeufiger aktualisiert, als Ihr Plan erlaubt, kann der Feed blockiert werden.
8. Committen Sie die Konfiguration.

Policy auf der EDL durchsetzen

1. Fuegen Sie die EDL der relevanten Security Policy Rule oder dem passenden unterstuetzten Profil hinzu.
2. Verwenden Sie bei IP EDLs die Liste als Source- oder Destination-Objekt in der Regel.
3. Verwenden Sie bei Domain- oder URL-EDLs die Liste in der unterstuetzten Security Control, in der dieser Listentyp durchgesetzt wird.
4. Platzieren Sie die Regel so, dass Cybora-Treffer in der gewuenschten Reihenfolge ausgewertet werden.
5. Committen Sie die Policy-Aenderung.

Validierung

1. Oeffnen Sie die EDL und pruefen Sie, ob die Firewall die Quelle erfolgreich abrufen kann.
2. Verwenden Sie List Entries und Exceptions, um zu bestaetigen, dass die erwarteten Eintraege importiert wurden.
3. Falls noetig, verwenden Sie Import Now, um eine Aktualisierung vom Webserver sofort auszufuehren.
4. Bestaetigen Sie, dass die EDL tatsaechlich in der vorgesehenen Regel oder dem Profil referenziert wird, denn eine ungenutzte Liste schuetzt keinen Traffic.
5. Testen Sie mit bekanntem passendem Traffic und pruefen Sie die entsprechenden Traffic-, Threat- oder URL-Logs.

Weiterfuehrende Links

• Use an External Dynamic List in Policy
• External Dynamic List
• Objects > External Dynamic Lists
• View External Dynamic List Entries
• Formatting Guidelines for an External Dynamic List