Guia de Palo Alto Networks

Utilice esta guia para registrar Cybora como una External Dynamic List (EDL) en firewalls de Palo Alto Networks. Las EDL son una de las integraciones nativas mas potentes para threat intelligence porque el firewall puede refrescar la lista automaticamente y aplicar las entradas actualizadas sin necesitar un nuevo commit cada vez que cambia la lista.

Lo que Palo Alto puede hacer con un feed de Cybora

• Los feeds de Cybora basados en IP pueden utilizarse como objetos de coincidencia de source o destination en Security policy rules.
• Los feeds basados en domains pueden utilizarse en security profiles compatibles y en controles basados en dominios.
• Los feeds basados en URL pueden aplicarse en flujos de policy y profile orientados a URL.
• Una vez configurada y committed la EDL, las actualizaciones posteriores de la lista se recuperan dinamicamente por el firewall sin otro policy commit.

Antes de empezar

• Utilice una version de PAN-OS que admita External Dynamic Lists.
• Asegurese de que el firewall puede acceder a la URL del feed de Cybora mediante la service route configurada.
• Elija el tipo correcto de EDL para el feed recibido: IP, Domain o URL.
• El tipo de feed debe coincidir con el formato del contenido. Una IP EDL solo debe contener entradas IP, una Domain EDL solo domains y una URL EDL solo URLs.

Crear la EDL

1. Vaya a Objects > External Dynamic Lists y agregue una nueva lista.
2. Introduzca un nombre claro y, si lo desea, una descripcion.
3. Seleccione el tipo de lista que coincide con su feed de Cybora.
4. Pegue la URL del feed de Cybora en el campo source.
5. Configure autenticacion solo si su feed la requiere.
6. Use Test Source URL si esta disponible para confirmar que el firewall puede acceder al feed.
7. Configure Check for updates exactamente segun su plan de Cybora. Solo se permite una solicitud dentro del intervalo autorizado. Si el firewall refresca el feed con mas frecuencia de la permitida por su plan, el feed puede ser bloqueado.
8. Haga commit de la configuracion.

Aplicar la policy sobre la EDL

1. Agregue la EDL a la Security policy rule correspondiente o al profile compatible.
2. Para IP EDL, utilice la lista como objeto de source o destination en la regla.
3. Para Domain o URL EDL, utilice la lista en el control de seguridad compatible donde se aplique ese tipo de lista.
4. Coloque la regla de forma que las coincidencias de Cybora se evalueen en el orden deseado.
5. Haga commit del cambio de policy.

Validacion

1. Abra la EDL y verifique que el firewall puede obtener la fuente correctamente.
2. Use List Entries y Exceptions para confirmar que se han importado las entradas esperadas.
3. Si es necesario, utilice Import Now para forzar una actualizacion inmediata desde el servidor web.
4. Confirme que la EDL esta realmente referenciada en la regla o el profile previsto, ya que una lista no utilizada no protege ningun trafico.
5. Pruebe con trafico conocido que deba coincidir y revise los registros de traffic, threat o URL correspondientes.

Lecturas adicionales

• Use an External Dynamic List in Policy
• External Dynamic List
• Objects > External Dynamic Lists
• View External Dynamic List Entries
• Formatting Guidelines for an External Dynamic List