Guide Palo Alto Networks

Utilisez ce guide pour enregistrer Cybora comme External Dynamic List (EDL) sur les pare-feu Palo Alto Networks. Les EDL font partie des integrations natives les plus efficaces pour la threat intelligence, car le pare-feu peut rafraichir la liste automatiquement et appliquer les entrees mises a jour sans nouveau commit a chaque changement.

Ce que Palo Alto peut faire avec un flux Cybora

• Les flux Cybora bases sur des IP peuvent etre utilises comme objets de correspondance source ou destination dans les Security policy rules.
• Les flux bases sur des domains peuvent etre utilises dans les security profiles pris en charge et dans les controles base sur les domaines.
• Les flux bases sur des URL peuvent etre appliques dans les workflows de policy et de profile sensibles aux URL.
• Une fois l’EDL configuree et commit, les mises a jour ulterieures de la liste sont recuperees dynamiquement par le pare-feu sans nouveau policy commit.

Avant de commencer

• Utilisez une version de PAN-OS qui prend en charge les External Dynamic Lists.
• Assurez-vous que le pare-feu peut atteindre l’URL du flux Cybora via la service route configuree.
• Choisissez le type d’EDL approprie pour le flux recu : IP, Domain ou URL.
• Le type du flux doit correspondre a son format. Une IP EDL ne doit contenir que des entrees IP, une Domain EDL uniquement des domaines et une URL EDL uniquement des URL.

Creer l’EDL

1. Allez dans Objects > External Dynamic Lists et ajoutez une nouvelle liste.
2. Saisissez un nom clair et, si souhaite, une description.
3. Selectionnez le type de liste correspondant a votre flux Cybora.
4. Collez l’URL du flux Cybora dans le champ source.
5. Configurez l’authentification uniquement si votre flux l’exige.
6. Utilisez Test Source URL si disponible pour confirmer que le pare-feu peut atteindre le flux.
7. Definissez Check for updates exactement selon votre plan Cybora. Une seule requete est permise dans l’intervalle autorise. Si le pare-feu rafraichit le flux plus souvent que votre plan ne l’autorise, le flux peut etre bloque.
8. Commit la configuration.

Appliquer la policy sur l’EDL

1. Ajoutez l’EDL a la Security policy rule appropriee ou au profile pris en charge.
2. Pour les IP EDL, utilisez la liste comme objet source ou destination dans la regle.
3. Pour les Domain ou URL EDL, utilisez la liste dans le controle de securite pris en charge ou ce type de liste est applique.
4. Placez la regle de facon a ce que les correspondances Cybora soient evaluees dans l’ordre voulu.
5. Commit le changement de policy.

Validation

1. Ouvrez l’EDL et verifiez que le pare-feu peut recuperer la source correctement.
2. Utilisez List Entries et Exceptions pour confirmer que les entrees attendues ont ete importees.
3. Si necessaire, utilisez Import Now pour forcer un rafraichissement immediat depuis le serveur web.
4. Confirmez que l’EDL est effectivement referencee dans la regle ou le profile prevu, car une liste non utilisee ne protege aucun trafic.
5. Testez avec un trafic connu correspondant et examinez les journaux traffic, threat ou URL correspondants.

Liens utiles

• Use an External Dynamic List in Policy
• External Dynamic List
• Objects > External Dynamic Lists
• View External Dynamic List Entries
• Formatting Guidelines for an External Dynamic List