Ενοποίηση τείχους προστασίας Palo Alto Networks

Αντιγραφή διεύθυνσης URL τρέχοντος άρθρου Κοινοποίηση μέσω email

Αυτό το άρθρο (PDF) Πλήρης τεκμηρίωση (PDF)

Το τείχος προστασίας Palo Alto Networks και η ενσωμάτωση ESET PROTECT επιτρέπουν την πρόσληψη και την κανονικοποίηση επιλεγμένων δεικτών ασφάλειας δικτύου (αρχεία καταγραφής απειλών), παρέχοντας ορατότητα σε απειλές που σχετίζονται με το δίκτυο και συμβάντα ασφαλείας ESET. Οι δείκτες είναι διαθέσιμοι για διερεύνηση στην Αναζήτηση για προχωρημένους και συσχετίζονται με Συμβάντα.

Πώς να ενεργοποιήσετε την ενοποίηση

Προαπαιτούμενα

Προτού ρυθμίσετε την ενοποίηση, ολοκληρώστε τα ακόλουθα προαπαιτούμενα:

•Βεβαιωθείτε ότι χρησιμοποιείτε το Palo Alto Networks PAN-OS έκδοση 11.1.10 και νεότερες εκδόσεις. Η χρήση παλαιότερων εκδόσεων δεν συνιστάται και μπορεί να έχει ως αποτέλεσμα την αποτυχία της ενοποίησης ή τρωτά σημεία ασφάλειας.

•Βεβαιωθείτε ότι έχετε ρυθμίσει τις παραμέτρους του τείχους προστασίας Palo Alto με στατική διεύθυνση IP.

•Ρυθμίστε τις παραμέτρους της παρακολούθησης Syslog στο Palo Alto χρησιμοποιώντας τα παρακάτω βήματα.

Εάν χρησιμοποιείτε το Panorama, εξετάστε το ενδεχόμενο να ρυθμίσετε τις παραμέτρους του προφίλ διακομιστή Syslog και να ρυθμίσετε την προώθηση Syslog στο Panorama. Στη συνέχεια, δεσμεύστε και προωθήστε τις αλλαγές στο Τείχος προστασίας Palo Alto. Σημειώστε ότι οι κανόνες της πολιτικής ασφάλειας που διαχειρίζεται το Panorama έχουν γενικά προτεραιότητα έναντι των πολιτικών τείχους προστασίας με τοπική ρύθμιση παραμέτρων.

1.Ρυθμίστε τις παραμέτρους του προφίλ διακομιστή Syslog με τις ακόλουθες τιμές στο Palo Alto:

•Syslog Server – Το όνομα DNS του διακομιστή Syslog με βάση την περιοχή του: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Ρυθμίστε τις παραμέτρους της προώθησης Syslog για τα αρχεία καταγραφής Threat στο Palo Alto. Βεβαιωθείτε ότι έχετε καθορίσει τον τύπο αρχείου καταγραφής Threat στο Log Forwarding Profile Match List και αντιστοιχίστε το προφίλ προώθησης αρχείων καταγραφής στον κανόνα Security Policy για να ενεργοποιήσετε τη δημιουργία αρχείων καταγραφής Threat όταν εντοπίζεται μια ανίχνευση:

•Action Setting > Action – Allow

•Profile Setting > Profile Type—Group ή Profiles. Ορίστε τους σχετικούς τύπους προφίλ (Antivirus, Vulnerability Protection, Anti-Spyware κ.λπ.) ως Default αντί για None για τη δημιουργία αρχείων καταγραφής απειλών.

•Log Setting > Log Forwarding – το προφίλ προώθησης αρχείων καταγραφής

Οι κανόνες Security Policy αξιολογούνται διαδοχικά, από τα αριστερά προς τα δεξιά και από πάνω προς τα κάτω. Βεβαιωθείτε ότι ένας προηγούμενος, ευρύτερος κανόνας δεν υπερισχύει της πολιτικής που δημιουργείτε. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο Πολιτικής ασφάλειας Palo Alto.

Μην ρυθμίσετε τις παραμέτρους του τύπου καταγραφής Traffic. Δεν χρειάζεται να ρυθμίσετε τις παραμέτρους της προώθησης Syslog για οποιαδήποτε άλλα αρχεία καταγραφής εκτός από τα Threat.

Δεν χρειάζεται να ρυθμίσετε τις παραμέτρους της μορφής κεφαλίδας των μηνυμάτων Syslog.

3.Δημιουργήστε το πιστοποιητικό για ασφαλή επικοινωνία Syslog στο Palo Alto. Εξαγωγή του δημόσιου πιστοποιητικού που δημιουργήθηκε με τις ακόλουθες επιλογές και την Αρχή έκδοσης πιστοποιητικών – τη γονική καταχώρηση του δημόσιου πιστοποιητικού που δημιουργήσατε με την επισήμανση CA, χρησιμοποιώντας τις οδηγίες εξαγωγής πιστοποιητικού:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key – Διατηρήστε μη επιλεγμένο αυτό το πλαίσιο ελέγχου.

Εάν δεν διαθέτετε την Αρχή έκδοσης πιστοποιητικών, μπορείτε να δημιουργήσετε ένα αυτουπογεγραμμένο πιστοποιητικό αρχής έκδοσης πιστοποιητικών ρίζας. Πρέπει να παράσχετε τόσο το δημόσιο πιστοποιητικό εξαγωγής όσο και την αρχή έκδοσης πιστοποιητικών κατά τη ρύθμιση της ενοποίησης στην Κονσόλα διαδικτύου ESET PROTECT.

4.Δεσμεύστε τις αλλαγές.

Ρύθμιση ενοποίησης στην Κονσόλα διαδικτύου ESET PROTECT

Για να εγκαταστήσετε και να ρυθμίσετε την εφαρμογή ενοποίησης, επιλέξτε ESET PROTECT Web Console > Ενοποιήσεις > Marketplace και ακολουθήστε τα παρακάτω βήματα.

1.Στη σελίδα Marketplace, εντοπίστε το στοιχείο Τείχος προστασίας Palo Alto Networks και κάντε κλικ στο στοιχείο Σύνδεση.

2.Ελέγξτε τις απαιτήσεις ενοποίησης και κάντε κλικ στο στοιχείο Έναρξη ρύθμισης.

3.Στο στοιχείο Προαπαιτούμενες ρυθμίσεις παραμέτρων, βεβαιωθείτε ότι έχουν ολοκληρωθεί τα προαπαιτούμενα και επιλέξτε το πλαίσιο ελέγχου Επιβεβαιώνω ότι έχω ολοκληρώσει όλες τις απαραίτητες ρυθμίσεις παραμέτρων στο Palo Alto. Κάντε κλικ στο κουμπί Συνέχεια.

4.Στο στοιχείο Γενικές ρυθμίσεις, συμπληρώστε τα ακόλουθα πεδία. Στη συνέχεια, κάντε κλικ στο στοιχείο Συνέχεια.

•Όνομα (προαιρετικά) – Πληκτρολογήστε ένα ξεχωριστό όνομα για την ενοποίηση.

•Περιγραφή (προαιρετικά) – Πληκτρολογήστε μια περιγραφή της προτίμησής σας για την ενοποίηση.

5.Στο στοιχείο Διεύθυνση IP και πιστοποιητικό, συμπληρώστε τα ακόλουθα πεδία. Στη συνέχεια, κάντε κλικ στο στοιχείο Συνέχεια.

•Στατικές δημόσιες διευθύνσεις IP – Συμπληρώστε τη στατική δημόσια διεύθυνση IP εξόδου (NAT προέλευσης) ή τις διευθύνσεις (διαχωρισμένες με ερωτηματικό) που χρησιμοποιεί η εξερχόμενη κίνηση του Τείχους προστασίας του Palo Alto για πρόσβαση στο διαδίκτυο.

•Πιστοποιητικό – Αποστείλετε το δημόσιο πιστοποιητικό για ασφαλή επικοινωνία Syslog που εξάγεται από το Palo Alto σε μορφή Base64 Encoded Certificate (PEM). Το πιστοποιητικό πρέπει να είναι μοναδικό και να μην συσχετίζεται με καμία άλλη ενοποίηση του Palo Alto Networks στην ESET.

•Αρχή έκδοσης πιστοποιητικών – Αποστείλετε την αρχή έκδοσης πιστοποιητικών του δημόσιου πιστοποιητικού που δημιουργήθηκε και εξήχθη από το Palo Alto.

6.Στην ενότητα Υποστηρικτικά πιστοποιητικά, πραγματοποιήστε λήψη των παρεχόμενων αρχείων πιστοποιητικών, τόσο του Πιστοποιητικού διακομιστή όσο και της Αρχής έκδοσης πιστοποιητικών, και εισαγάγετέ τα στο Palo Alto χρησιμοποιώντας τις Οδηγίες εισαγωγής πιστοποιητικού. Κάντε κλικ στο κουμπί Συνέχεια.

7.Στην Περίληψη, ελέγξτε τις ρυθμίσεις σας και κάντε κλικ στο στοιχείο Τέλος. Η ολοκλήρωση της ρύθμισης της ενοποίησης μπορεί να διαρκέσει μέχρι και πέντε λεπτά.

Επαλήθευση της ενοποίησης και αντιμετώπιση προβλημάτων

Όταν ολοκληρωθεί η ρύθμιση της ενοποίησης, τα προωθημένα αρχεία καταγραφής από το Palo Alto εμφανίζονται στη διαδρομή Κονσόλα διαδικτύου ESET PROTECT > Σύνθετη αναζήτηση.

Μπορείτε να ελέγξετε τα αρχεία καταγραφής απειλών που δημιουργούνται στη Διασύνδεση διαδικτύου του Palo Alto > Logs > Threat. Προωθούνται μόνο οι καταχωρήσεις αρχείου καταγραφής που ταιριάζουν με τον κανόνα πολιτικής ασφάλειας στον οποίο έχει αντιστοιχιστεί το προφίλ προώθησης αρχείων καταγραφής Syslog.

Επιπλέον, μπορείτε να ελέγξετε τα αρχεία καταγραφής εκτελώντας την εντολή tail mp-log logrcvr.log στην κονσόλα του τείχους προστασίας Palo Alto. Εάν η εντολή επιστρέψει μηνύματα σφάλματος, η ρύθμιση παραμέτρων ενδέχεται να περιέχει ζητήματα. Τα ακόλουθα παραδείγματα περιγράφουν συνήθη μηνύματα σφάλματος και τις αιτίες τους.

Αιτία ζητήματος	Μήνυμα επιστροφής
Οι ρυθμίσεις παραμέτρων στον υπολογιστή-πελάτη για την προώθηση αρχείων καταγραφής έχουν λανθασμένο Όνομα DNS ή/και εσφαλμένη Θύρα.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Στον υπολογιστή-πελάτη έγινε ρύθμιση παραμέτρων για την προώθηση αρχείων καταγραφής, αλλά το στοιχείο Μεταφορά ρυθμίστηκε σε TCP αντί για SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Ο υπολογιστής-πελάτης απέστειλε τη δική του Αρχή έκδοσης πιστοποιητικών και το δικό του πιστοποιητικό, αλλά δεν επισήμανε το πιστοποιητικό ως Ασφαλής σύνδεση Syslog.	Error: [Syslog] Connection reset.
Ο υπολογιστής-πελάτης απέστειλε το πιστοποιητικό διακομιστή, αλλά δεν απέστειλε την Αρχή έκδοσης πιστοποιητικών του διακομιστή.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Ο υπολογιστής-πελάτης απέστειλε την Αρχή έκδοσης πιστοποιητικών του διακομιστή, αλλά δεν απέστειλε το απαιτούμενο πιστοποιητικό διακομιστή.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅