Guida Palo Alto Networks

Utilizza questa guida per registrare Cybora come External Dynamic List (EDL) sui firewall Palo Alto Networks. Le EDL sono una delle integrazioni native piu efficaci per la threat intelligence, perche il firewall puo aggiornare automaticamente la lista e applicare le voci aggiornate senza richiedere un nuovo commit ogni volta che la lista cambia.

Cosa puo fare Palo Alto con un feed Cybora

• I feed Cybora basati su IP possono essere usati come oggetti di match source o destination nelle Security policy rules.
• I feed basati su domain possono essere usati nei security profiles supportati e nei controlli basati su dominio.
• I feed basati su URL possono essere applicati nei workflow di policy e profile sensibili alle URL.
• Una volta configurata e committed l’EDL, gli aggiornamenti successivi della lista vengono recuperati dinamicamente dal firewall senza un altro policy commit.

Prima di iniziare

• Usa una versione di PAN-OS che supporti le External Dynamic Lists.
• Assicurati che il firewall possa raggiungere la URL del feed Cybora tramite la service route configurata.
• Scegli il tipo corretto di EDL per il feed ricevuto: IP, Domain o URL.
• Il tipo di feed deve restare coerente con il formato del contenuto. Una IP EDL deve contenere solo voci IP, una Domain EDL solo domini e una URL EDL solo URL.

Creare l’EDL

1. Vai su Objects > External Dynamic Lists e aggiungi una nuova lista.
2. Inserisci un nome chiaro e, se vuoi, una descrizione.
3. Seleziona il tipo di lista che corrisponde al tuo feed Cybora.
4. Incolla la URL del feed Cybora nel campo source.
5. Configura l’autenticazione solo se il tuo feed la richiede.
6. Usa Test Source URL, se disponibile, per confermare che il firewall possa raggiungere il feed.
7. Imposta Check for updates esattamente in base al tuo piano Cybora. E consentita una sola richiesta nell’intervallo permesso. Se il firewall aggiorna il feed piu spesso di quanto il tuo piano consenta, il feed potrebbe essere bloccato.
8. Esegui il commit della configurazione.

Applicare la policy sull’EDL

1. Aggiungi l’EDL alla Security policy rule pertinente o al profile supportato.
2. Per le IP EDL, usa la lista come oggetto source o destination nella regola.
3. Per le Domain o URL EDL, usa la lista nel controllo di sicurezza supportato dove quel tipo di lista viene applicato.
4. Posiziona la regola in modo che i match di Cybora vengano valutati nell’ordine desiderato.
5. Esegui il commit della modifica alla policy.

Verifica

1. Apri l’EDL e verifica che il firewall riesca a recuperare correttamente la sorgente.
2. Usa List Entries e Exceptions per confermare che siano state importate le voci attese.
3. Se necessario, usa Import Now per forzare un aggiornamento immediato dal web server.
4. Conferma che l’EDL sia effettivamente referenziata nella regola o nel profile previsto, perche una lista non utilizzata non protegge il traffico.
5. Testa con traffico noto che dovrebbe corrispondere e controlla i relativi log di traffic, threat o URL.

Ulteriori letture

• Use an External Dynamic List in Policy
• External Dynamic List
• Objects > External Dynamic Lists
• View External Dynamic List Entries
• Formatting Guidelines for an External Dynamic List