Integrace firewallu Palo Alto Networks

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

Integrace firewallu Palo Alto Networks a ESET PROTECT umožňuje ingestování a normalizaci vybraných indikátorů síťové bezpečnosti (protokoly hrozeb) a poskytuje přehled o hrozbách souvisejících se sítí společně s bezpečnostními událostmi ESET. Indikátory jsou k dispozici k analýze v Pokročilém vyhledávání a jsou korelovány s incidenty.

Jak povolit integraci

Předpoklady

Před nastavením integrace nejprve splňte následující předpoklady:

•Ujistěte se, že používáte verzi Palo Alto Networks PAN-OS 11.1.10 nebo novější. Použití starších verzí se nedoporučuje a může vést k selhání integrace nebo bezpečnostním zranitelnostem.

•Ujistěte se, že máte nakonfigurovaný firewall Palo Alto se statickou IP adresou.

•Pomocí níže uvedených kroků nakonfigurujte monitorování syslogu v produktu Palo Alto.

Pokud používáte Panorama, zvažte nakonfigurování profilu syslog serveru a nastavení přeposílání syslogu v Panorama. Pak potvrďte a odešlete změny do firewallu Palo Alto. Upozorňujeme, že pravidla bezpečnostní politiky spravovaná platformou Panorama mají obvykle přednost před místně nakonfigurovanými politikami firewallu.

1.Nakonfigurujte profil Syslog serveru s následujícími hodnotami v Palo Alto:

•Syslog Server – DNS název vašeho Syslog serveru na základě oblasti: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Nakonfigurujte přeposílání syslogu Threat pro protokoly v Palo Alto. Nezapomeňte zadat typ protokolu Threat v seznamu Log Forwarding Profile Match List a přiřaďte svůj profil pro přesměrování protokolů k pravidlu Security Policy, aby se při nalezení detekce generovaly protokoly Threat:

•Action Setting > Action – Allow

•Profile Setting > Profile Type –Group nebo Profiles; pro generování protokolů o hrozbách nastavte příslušné typy profilů (Antivirus, Vulnerability Protection, Anti-Spyware, atd.) jako Default místo None.

•Log Setting > Log Forwarding – váš profil pro přeposílání protokolů

Pravidla Security Policy jsou vyhodnocována postupně, zleva doprava a shora dolů. Ujistěte se, že dřívější obecnější pravidlo nemá přednost před politikou, které vytvoříte. Další informace se dozvíte v článku o bezpečnostní politice Palo Alto.

Nekonfigurujte typ protokolu Traffic. Není třeba konfigurovat přeposílání syslogu pro jiné protokoly než Threat.

Není třeba konfigurovat formát hlaviček zpráv syslogu.

3.Vytvořte certifikát pro zabezpečenou komunikaci syslogu v Palo Alto. Vyexportujte vytvořený veřejný certifikát s následujícími možnostmi a certifikační autoritu – nadřazenou položku vašeho vytvořeného veřejného certifikátu označenou jako CA – podle pokynů pro exportování certifikátů:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key – Toto políčko nechejte nezaškrtnuté.

Pokud nemáte certifikační autoritu, můžete vytvořit samopodepsaný kořenový certifikát CA. Během nastavování integrace ve webové konzoli ESET PROTECT je nutné zadat vyexportovaný veřejný certifikát i certifikační autoritu.

4.Potvrďte změny.

Nastavení integrace ve webové konzoli ESET PROTECT

Chcete-li nainstalovat a nastavit integrační aplikaci, vyberte webovou konzoli ESET PROTECT > Integrace > Marketplace a postupujte podle následujících kroků.

1.Na stránce Marketplace najděte Firewall Palo Alto Networks a klikněte na Připojit.

2.Zkontrolujte požadavky na integraci a klikněte na Zahájení nastavení.

3.V části Požadované konfigurace ověřte, že jsou splněny všechny požadavky, a zaškrtněte políčko Potvrzuji, že jsem dokončil/a všechny potřebné konfigurace v Palo Alto. Klikněte na tlačítko Pokračovat.

4.V části Obecné nastavení vyplňte následující pole. Pak klikněte na Pokračovat.

•Název (volitelné) – Zadejte jedinečný název integrace.

•Popis (volitelné) – Zadejte požadovaný popis integrace.

5.V části IP a certifikát vyplňte následující pole. Pak klikněte na Pokračovat.

•Statické veřejné IP adresy – Zadejte statické veřejné IP adresy odchozího přenosu dat (SNAT) oddělené středníkem, které odchozí provoz vašeho firewallu Palo Alto používá pro přístup k internetu.

•Certifikát – Nahrajte veřejný certifikát pro zabezpečenou komunikaci syslogu vyexportovaný z Palo Alto ve formátu Base64 Encoded Certificate (PEM). Certifikát musí být jedinečný a nesmí být spojen s žádnou jinou integrací Palo Alto Networks v rámci ESET.

•Certifikační autorita – Nahrajte certifikační autoritu vytvořeného veřejného certifikátu vyexportovaného z Palo Alto.

6.V části Certifikáty ke stažení si stáhněte poskytnuté soubory certifikátů, tzn. jak certifikát serveru, tak certifikační autoritu, a naimportujte je do Palo Alto podle pokynů pro import certifikátů. Klikněte na tlačítko Pokračovat.

7.V části Souhrn zkontrolujte nastavení a klikněte na Dokončit. Dokončení nastavení integrace může trvat až pět minut.

Ověření integrace a řešení problémů

Po dokončení nastavení integrace se přeposlané protokoly z Palo Alto zobrazí tady: webová konzole ESET PROTECT > Rozšířené vyhledávání.

Vygenerované zachycené hrozby si můžete prohlédnout tady: webové rozhraní Palo Alto > Logs > Threat. Přeposílají se pouze záznamy protokolů, které odpovídají pravidlu bezpečnostní politiky, ke kterému je přiřazen profil přeposílání protokolů Syslog.

Kromě toho můžete protokoly zkontrolovat spuštěním příkazu tail mp-log logrcvr.log v konzoli firewallu Palo Alto. Pokud příkaz vrací chybové zprávy, konfigurace může obsahovat chyby. Následující příklady popisují běžné chybové zprávy a jejich příčiny.

Příčina problému	Vrácená zpráva
Klient nakonfiguroval přeposílání protokolů s nesprávným názvem DNS a/nebo nesprávným portem.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Klient nakonfiguroval přeposílání protokolů, ale nastavil přenos na TCP místo na SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Klient nahrál vlastní certifikační autoritu a certifikát, ale neoznačil certifikát jako zabezpečené připojení Syslog.	Error: [Syslog] Connection reset.
Klient nahrál certifikát serveru, ale nenahrál certifikační autoritu serveru.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Klient nahrál certifikační autoritu serveru, ale nenahrál požadovaný certifikát serveru.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅