Palo Alto Networks Firewall-Integration

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Die Palo Alto Networks Firewall und ESET PROTECT Integration ermöglicht die Erfassung und Normalisierung ausgewählter Netzwerksicherheitsindikatoren (Bedrohungs-Logs), die neben ESET Sicherheitsereignissen auch Einblick in netzwerkbezogene Bedrohungen liefern. Indikatoren sind für Untersuchungen in der erweiterten Suche verfügbar und werden mit Incidents korreliert.

Integration aktivieren

Voraussetzungen

Bevor Sie die Integration einrichten, müssen die folgenden Voraussetzungen erfüllt sein:

•Stellen Sie sicher, dass Sie die Palo Alto Networks PAN-OS Version 11.1.10 oder höher verwenden. Die Verwendung früherer Versionen wird nicht empfohlen und kann zu Integrationsfehlern oder Schwachstellen führen.

•Stellen Sie sicher, dass Sie die Palo Alto Firewall mit einer statischen IP-Adresse konfiguriert haben.

•Konfigurieren Sie die Syslog-Überwachung in Palo Alto, indem Sie die unten beschriebenen Schritte ausführen.

Wenn Sie Panorama verwenden, sollten Sie die Konfiguration des Syslog-Serverprofils und die Einrichtung der Syslog-Weiterleitung in Panorama vornehmen. Speichern und übertragen Sie die Änderungen anschließend an die Palo Alto Firewall. Regeln aus Sicherheits-Policies, die von Panorama verwaltet werden, haben im Allgemeinen Vorrang vor lokal konfigurierten Firewall-Richtlinien.

1.Konfigurieren Sie das Syslog-Serverprofil mit den folgenden Werten in Palo Alto:

•Syslog Server – Der DNS-Name Ihres Syslog-Servers, je nach Region: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Konfigurieren Sie die Syslog-Weiterleitung für die Threat Logs in Palo Alto. Geben Sie den Threat Log-Typ in der Log Forwarding Profile Match List an und weisen Sie Ihr Log-Weiterleitungsprofil der Security Policy zu, damit Threat Logs generieren kann, wenn ein Ereignis erkannt wird:

•Action Setting > Action – Allow

•Profile Setting > Profile Type – Group oder Profiles. Legen Sie die entsprechenden Profiltypen (Antivirus, Vulnerability Protection, Anti-Spyware usw.) als Default anstelle von None fest, um Bedrohungs-Logs zu erstellen.

•Log Setting > Log Forwarding – Ihr Profil für die Log-Weiterleitung

Security Policy-Regeln werden nacheinander von links nach rechts und von oben nach unten ausgewertet. Stellen Sie sicher, dass frühere, allgemeinere Regeln keinen Vorrang vor den zuvor erstellten Policies haben. Weitere Informationen finden Sie im Artikel zur Palo Alto Sicherheits-Policy.

Konfigurieren Sie den Log-Typ Traffic nicht. Es ist nicht nötig, die Syslog-Weiterleitung für andere Logs als Threat zu konfigurieren.

Das Header-Format der Syslog-Nachrichten muss nicht konfiguriert werden.

3.Erstellen Sie das Zertifikat für die sichere Syslog-Kommunikation in Palo Alto. Exportieren Sie das erstellte öffentliche Zertifikat mit den folgenden Optionen und der Zertifizierungsstelle. Markieren Sie den übergeordneten Eintrag Ihres erstellten öffentlichen Zertifikats als CA, indem Sie den Anweisungen zum Exportieren eines Zertifikats folgen:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key – Lassen Sie dieses Kontrollkästchen deaktiviert.

Wenn Sie die Zertifizierungsstelle nicht besitzen, können Sie ein selbstsigniertes Root-ZS-Zertifikat erstellen. Bei der Einrichtung der Integration in der ESET PROTECT Web-Konsole müssen Sie sowohl das exportierte öffentliche Zertifikat als auch die Zertifizierungsstelle angeben.

4.Speichern Sie die Änderungen.

Einrichtung der Integration in der ESET PROTECT Web-Konsole

Navigieren Sie zur ESET PROTECT Web-Konsole > Integrationen > Marktplatz und gehen Sie wie folgt vor, um die Integrationsanwendung zu installieren und einzurichten.

1.Suchen Sie auf der Seite Marktplatz nach Palo Alto Networks Firewall und klicken Sie auf Verbinden.

2.Überprüfen Sie die Integrationsanforderungen und klicken Sie auf Einrichtung beginnen.

3.Vergewissern Sie sich, dass die Konfigurationsvoraussetzungen erfüllt sind, und aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich alle erforderlichen Konfigurationen in Palo Alto vorgenommen habe. Klicken Sie auf Weiter.

4.Füllen Sie unter Allgemeine Einstellungen die folgenden Felder aus. Klicken Sie dann auf Weiter.

•Name (optional) – Geben Sie einen eindeutigen Namen für die Integration ein.

•Beschreibung (optional) – Geben Sie eine beliebige Beschreibung für die Integration ein.

5.Füllen Sie unter IP und Zertifikat die folgenden Felder aus. Klicken Sie dann auf Weiter.

•Statische öffentliche IP-Adressen – Geben Sie eine oder mehrere statische öffentliche ausgehende (Quell-NAT) IP-Adressen mit Semikolon getrennt an, die Ihre Palo Alto Firewall für den ausgehenden Datenverkehr ins Internet verwenden soll.

•Zertifikat – Laden Sie das öffentliche Zertifikat für die sichere Syslog-Kommunikation hoch, das Sie im Base64 Encoded Certificate (PEM)-Format aus Palo Alto exportiert haben. Das Zertifikat muss eindeutig sein und darf mit keiner anderen Palo Alto Networks-Integration innerhalb von ESET verknüpft sein.

•Zertifizierungsstelle – Laden Sie die Zertifizierungsstelle des erstellten öffentlichen Zertifikats hoch, das Sie aus Palo Alto exportiert haben.

6.Laden Sie unter Unterstützende Zertifikate die bereitgestellten Zertifikatsdateien herunter (Serverzertifikat und Zertifizierungsstelle) und folgen Sie den Anweisungen zum Importieren eines Zertifikats, um sie in Palo Alto zu importieren. Klicken Sie auf Weiter.

7.Überprüfen Sie Ihre Einstellungen unter Zusammenfassung und klicken Sie auf Fertig stellen. Die Einrichtung der Integration kann bis zu fünf Minuten dauern.

Überprüfen der Integration und Fehlerbehebung

Nach Abschluss der Einrichtung der Integration erscheinen die weitergeleiteten Logs aus Palo Alto unter ESET PROTECT Web-Konsole > Erweiterte Suche.

Sie können die generierten Bedrohungs-Logs in der Palo Alto Weboberfläche unter Logs > Threat überprüfen. Es werden nur Log-Einträge weitergeleitet, die mit der Policy-Regel übereinstimmen, der das Syslog-Log-Weiterleitungsprofil zugewiesen ist.

Sie können die Logs auch überprüfen, indem Sie den Befehl tail mp-log logrcvr.log in der Konsole der Palo Alto Firewall ausführen. Wenn der Befehl Fehlermeldungen zurückgibt, kann dies auf Konfigurationsprobleme hindeuten. Die folgenden Beispiele beschreiben häufige Fehlermeldungen und ihre Ursachen.

Problemursache	Zurückgegebene Nachricht
Log-Weiterleitung wurde mit einem falschen DNS-Namen und/oder einem falschen Port konfiguriert.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Die Log-Weiterleitung wurde zwar konfiguriert, aber Transport wurde auf TCP anstelle von SSL festgelegt.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Eine eigene Zertifizierungsstelle und ein eigenes Zertifikat wurden hochgeladen, aber das Zertifikat ist nicht als sichere Syslog-Verbindung markiert.	Error: [Syslog] Connection reset.
Es wurde nur ein Serverzertifikat hochgeladen, aber keine Serverzertifizierungsstelle.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Die Serverzertifizierungsstelle wurde hochgeladen, aber nicht das erforderliche Serverzertifikat.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅