ESET PROTECT – جدول المحتويات

تكامل جدار حماية Palo Alto Networks

يتيح جدار الحماية Palo Alto Networks وتكامل ESET PROTECT استيعاب وتوحيد مؤشرات أمان الشبكة المحدّدة (سجلات التهديدات)، ما يوفر رؤية أوضح للتهديدات المتعلقة بالشبكة، بالإضافة إلى أحداث ESET الأمنية. تكون المؤشرات متاحة للفحص في البحث المتقدم، كما يتم ربطها ضمن الحوادث.

كيفية تمكين التكامل

المتطلبات الأساسية

قبل إعداد التكامل، أكمل المتطلبات الأساسية التالية:

  • تأكد من أنك تستخدم Palo Alto Networks PAN-OS الإصدار 11.1.10 والإصدارات الأحدث. لا يوصى باستخدام الإصدارات السابقة وقد يؤدي ذلك إلى فشل التكامل أو الثغرات الأمنية.
  • تأكد من تكوين جدار حماية Palo Alto باستخدام عنوان IP ثابت.
  • قم بتكوين مراقبة Syslog في Palo Alto باتباع الخطوات أدناه.

هامة

إذا كنت تستخدم Panorama، ففكر في تكوين ملف تعريف خادم Syslog وإعداد إعادة توجيه Syslog في Panorama. بعد ذلك، التزم بالتغييرات وانقلها إلى جدار حماية Palo Alto. لاحظ أن قواعد سياسة الأمان التي تتم إدارتها بواسطة Panorama تكون لها الأولوية عادةً على سياسات جدار الحماية التي يتم تكوينها محلياً.
  1. قم بتكوين ملف تعريف خادم Syslog بالقيم التالية في Palo Alto:
  • Syslog Server - اسم نطاق (DNS) الخاص بخادم Syslog التابع لك حسب منطقته: eu.security-integration.eset.systems، us.security-integration.eset.systems، jpn.security-integration.eset.systems، ca.security-integration.eset.systems، de.security-integration.eset.systems
  • TransportSSL
  • Port6514
  • FormatIETF
  1. قم بتكوين إعادة توجيه Syslog لسجلات Threat في Palo Alto. احرص على تحديد نوع سجل Threat في Log Forwarding Profile Match List وتعيين ملف تعريف إعادة توجيه السجل إلى القاعدة Security Policy من أجل تفعيل إنشاء سجلات Threat عند اكتشاف:
  • Action Setting > ActionAllow
  • Profile Setting > Profile TypeGroup أو Profiles؛ قم بتعيين أنواع ملفات التعريف ذات الصلة (Antivirus، Vulnerability Protection، Anti-Spyware، وما إلى ذلك) على Default بدلاً من None لإنشاء سجلات التهديد.
  • Log Setting > Log Forwarding—ملف تعريف إعادة توجيه السجل الخاص بك

هامة

يتم تقييم قواعد Security Policy بالتسلسل، من اليسار إلى اليمين ومن الأعلى إلى الأسفل. احرص على ألا تتقدّم قاعدة أعم وأقدم في الترتيب على السياسة التي تقوم بإنشائها. لمزيد من المعلومات، اطّلع على مقالة سياسة أمان Palo Alto.

ملاحظة

لا تقم بتكوين نوع سجل Traffic. ليست هناك حاجة لتكوين إعادة توجيه Syslog لأي سجلات غير Threat.

ليست هناك حاجة لتكوين تنسيق عنوان رسائل Syslog.
  1. أنشئ الشهادة للاتصال الآمن بـ Syslog في Palo Alto. قم بتصدير الشهادة العامة التي تم إنشاؤها باستخدام الخيارات التالية ومرجع الشهادة، وهو الإدخال الأصلي للشهادة العامة التي تم إنشاؤها والتي تم وضع علامة عليها كـ CA، باستخدام تعليمات تصدير الشهادات:
  • File Format—Base64 Encoded Certificate (PEM)
  • Export Private Key - لا تحدد خانة الاختيار هذه.

إذا لم يكن لديك سلطة إصدار الشهادات، فيمكنك إنشاء شهادة جذر موقّعة ذاتياً. يجب توفير كل من الشهادة العامة التي تم تصديرها ومرجع الشهادة في أثناء إعداد التكامل في وحدة تحكم ESET PROTECT على شبكة الإنترنت.

  1. نفِّذ التغييرات.

إعداد التكامل في وحدة تحكم ESET PROTECT على الإنترنت

لتثبيت تطبيق التكامل وإعداده، اختَر وحدة تحكم ESET PROTECT على شبكة الإنترنت > عمليات التكامل > السوق واتبع الخطوات أدناه.

  1. في صفحة السوق، ابحث عن جدار حمايةPalo Alto Networks وانقر فوق اتصال.
  2. راجع متطلبات التكامل وانقر فوق بدء الإعداد.
  3. في قسم تكوينات المتطلبات المسبقة، تحقق من اكتمال المتطلبات، ثم حدد مربع الاختيار أؤكد أنني أكملت جميع التكوينات اللازمة في Palo Alto. انقر فوق ‎متابعة.
  4. في الإعداد العام، أكمل الحقول التالية. ثم انقر فوق متابعة.
  • الاسم (اختياري) - اكتب اسماً مميزاً للتكامل.
  • الوصف (اختياري) - اكتب وصف التكامل الذي تفضله.
  1. في عنوان IP والشهادة، أكمل الحقول التالية. ثم انقر فوق متابعة.
  • عناوين IP العامة الثابتة — أدخل عنوان أو عناوين IP العامة الثابتة للخروج (مصدر NAT)، مفصول بفاصلة منقوطة (؛)، والتي تستخدمها حركة البيانات الصادرة من جدار حماية Palo Alto للوصول إلى الإنترنت.
  • الشهادة - حمِّل الشهادة العامة لاتصالات Syslog الآمنة التي تم تصديرها من Palo Alto بالتنسيق Base64 Encoded Certificate (PEM). يجب أن تكون الشهادة فريدة وغير مرتبطة بأي تكامل Palo Alto Networks آخر ضمن ESET.
  • مرجع الشهادة - حمِّل مرجع الشهادة الخاص بالشهادة العامة المنشأة والتي تم تصديرها من Palo Alto.
  1. في الشهادات الداعمة، نزِّل ملفات الشهادات المتوفرة، وشهادة الخادم وومرجع الشهادة، وقم باستيرادها إلى Palo Alto باستخدام تعليمات استيراد الشهادات. انقر فوق ‎متابعة.
  2. في الملخص، راجع إعداداتك وانقر فوق إنهاء. قد يستغرق الأمر ما يصل إلى خمس دقائق لإكمال إعداد التكامل.

التحقق من التكامل واستكشاف الأخطاء وإصلاحها

عند اكتمال إعداد التكامل، تظهر سجلات Palo Alto المُعاد توجيهها في وحدة تحكم ESET PROTECT على شبكة الإنترنت > البحث المتقدم.

يمكنك التحقق من سجلات التهديدات التي تم إنشاؤها في واجهة Palo Alto على شبكة الإنترنت > Logs > Threat. تتم إعادة توجيه إدخالات السجلات التي تطابق قاعدة سياسة الأمان التي تم تعيين ملف تعريف إعادة توجيه سجل Syslog لها فقط.

بالإضافة إلى ذلك، يمكنك التحقق من السجلات عن طريق تشغيل الأمر tail mp-log logrcvr.log في وحدة تحكم جدار حماية Palo Alto. في حال ظهور رسائل خطأ عند تنفيذ الأمر، فمن المحتمل وجود مشكلات في التكوين. تصف الأمثلة التالية رسائل الخطأ الشائعة وأسبابها.

حالة المشكلة

الرسالة المُرجعة

قام البرنامج بتكوين إعادة توجيه السجل باستخدام اسم DNS غير صحيح و/أو منفذ غير صحيح.

Info: [Syslog] Triggered offline log purger for system log type.

Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110)

Info: Connecting to remote address <IP Address> @ fd -1

Error: [Server connect] Failed to connect to server: <IP Address>

Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out.

Error: [Socket init] Failed to initialize socket.

قام البرنامج بتكوين إعادة توجيه السجل، ولكنه قام بتعيين النقل إلى TCP بدلاً من SSL.

Error: [Syslog] TCP send failure, socket is broken errno (32)

Info: Created new cache socket:1024 for <Server>

حمّل البرنامج مرجع الشهادة والشهادة الخاصين به، ولكنه لم يضع علامة على الشهادة باعتبارها اتصال Syslog آمن.

Error: [Syslog] Connection reset.

حمّل البرنامج شهادة الخادم، ولكنه لم يحمّل مرجع شهادة الخادم.

Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate.

Error: [SSL_connect] Error during SSL connection.

Info: Server IPv4 address: <IP Address>

Info: Successfully resolved FQDN IP (<IP Address>)

Info: Client starting. addr=<IP Address> port=6515

Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111)

Info: Connecting to remote address <IP Address> @ fd -1

Error: [Server connect] Failed to connect to server: <IP Address>

Error: [Socket init] Failed to initialize socket.

حمّل العميل مرجع شهادة الخادم ولكنه لم يحمل شهادة الخادم المطلوبة.

Error: [Certificate verification] Verification of the client certificate against the authorized list failed.

Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected.

Error: [X509 validation] Validation of IP address from X509 certificate failed.