Integración de firewall de Palo Alto Networks

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

La integración del firewall de Palo Alto Networks y ESET PROTECT habilita la ingesta y normalización de indicadores de seguridad de red seleccionados (registros de amenazas), lo que proporciona visibilidad de las amenazas relacionadas con la red, así como de eventos de seguridad de ESET. Los indicadores están disponibles para la investigación en la búsqueda avanzada y se correlacionan con los incidentes.

Cómo habilitar la integración

Requisitos previos

Antes de configurar la integración, complete los siguientes requisitos previos:

•Asegúrese de estar usando la versión 11.1.10 y versiones posteriores de Palo Alto Networks PAN-OS. No se recomienda usar versiones anteriores, ya que puede provocar fallas de integración o vulnerabilidades de seguridad.

•Asegúrese de haber configurado el firewall de Palo Alto con una dirección IP estática.

•Configure la monitorización de Syslog en Palo Alto a partir de los pasos que se indican a continuación.

Si está usando Panorama, considere la posibilidad de configurar el perfil del servidor de Syslog y de definir el reenvío de Syslog en Panorama. A continuación, confirme e inserte los cambios en el firewall de Palo Alto. Tenga en cuenta que las reglas de políticas de seguridad administradas por Panorama generalmente tienen prioridad sobre las políticas de firewall configuradas a nivel local.

1.Configure el perfil del servidor de Syslog con los siguientes valores en Palo Alto:

•Syslog Server (el nombre de DNS del servidor de Syslog en función de su región): eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Configure el reenvío de Syslog para los registros Threat en Palo Alto. Asegúrese de especificar el tipo de registro Threat en la Log Forwarding Profile Match List y de asignar su perfil de reenvío de registros a la regla de la Security Policy para habilitar la generación de registros de Threat cuando se produce una detección:

•Action Setting > Action—Allow

•Profile Setting > Profile Type—Group o Profiles; establezca los tipos de perfil pertinentes (Antivirus, Vulnerability Protection, Anti-Spyware, etc.) como Default en lugar de None para generar registros de amenazas.

•Log Setting > Log Forwarding: su perfil de reenvío de registros

Las reglas de la Security Policy se evalúan de forma secuencial, de izquierda a derecha y de arriba abajo. Asegúrese de que una regla anterior y más amplia no tenga prioridad sobre la política que cree. Para obtener más información, consulte el artículo sobre la política de seguridad de Palo Alto.

No configure el tipo de registro Traffic. No es necesario configurar el reenvío de Syslog para ningún registro que no sea Threat.

No es necesario configurar el formato de encabezado de los mensajes de Syslog.

3.Cree el certificado para la comunicación segura de Syslog en Palo Alto. Exporte el certificado público creado con las siguientes opciones y la autoridad de certificación (la entrada principal del certificado público creado que se marcó como) CA a partir de las instrucciones sobre cómo exportar un certificado:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key: mantenga esta casilla de verificación sin seleccionar.

Si no dispone de la autoridad certificadora, puede crear un certificado de CA raíz autofirmado. Tendrá que proporcionar tanto el certificado público exportado como la autoridad de certificación durante la configuración de la integración en la consola web de ESET PROTECT.

4.Confirme los cambios.

Configuración de la integración en la consola web de ESET PROTECT

Para instalar y configurar la aplicación de integración, seleccione la consola web de ESET PROTECT > Integraciones > Marketplace y siga los pasos que se indican a continuación.

1.En la página Marketplace, busque el Firewall de Palo Alto Networks y haga clic en Conectar.

2.Revise los requisitos de integración y haga clic en Iniciar configuración.

3.En Configuraciones de requisitos previos, compruebe que se hayan completado los requisitos previos y seleccione la casilla de verificación Confirmo que completé todas las configuraciones necesarias en Palo Alto. Haga clic en Continuar.

4.En Configuración general, complete los siguientes campos. A continuación, haga clic en Continuar.

•Nombre (opcional): escriba un nombre distinto de integración.

•Descripción (opcional): escriba una descripción de integración de sus preferencias.

5.En IP y certificado, complete los siguientes campos. A continuación, haga clic en Continuar.

•Direcciones IP públicas estáticas: proporcione la dirección IP o las direcciones IP de salida pública estática (NAT de origen) (separadas por punto y coma) que el tráfico saliente del firewall de Palo Alto usa para llegar a Internet.

•Certificado: cargue el certificado público para la comunicación segura de Syslog exportado desde Palo Alto en el formato Base64 Encoded Certificate (PEM). El certificado debe ser único y no debe estar asociado con ninguna otra integración de Palo Alto Networks dentro de ESET.

•Autoridad de certificación: cargue la autoridad de certificación del certificado público creado que se exportó desde Palo Alto.

6.En Certificados compatibles, descargue los archivos de certificado proporcionados, tanto el certificado del servidor como la autoridad de certificación, e impórtelos en Palo Alto a partir de las instrucciones sobre cómo importar un certificado. Haga clic en Continuar.

7.En Resumen, revise la configuración y haga clic en Finalizar. La configuración de la integración puede tardar hasta cinco minutos en completarse.

Verificación de integración y resolución de problemas

Luego de completar la configuración de la integración, los registros reenviados desde Palo Alto aparecen en la consola web de ESET PROTECT > Búsqueda avanzada.

Puede consultar los registros de amenazas generados en la interfaz web de Palo Alto > Logs > Threat. Solo se reenvían las entradas de registro que coinciden con la regla de la política de seguridad a la que está asignado el perfil de reenvío de registros de Syslog.

Además, puede comprobar los registros si ejecuta el comando tail mp-log logrcvr.log en la consola del firewall de Palo Alto. Si el comando devuelve mensajes de error, es posible que la configuración contenga problemas. En los ejemplos siguientes, se describen mensajes de error comunes y sus causas.

Motivo de emisión	Mensaje devuelto
El cliente configuró el reenvío de registros con un nombre DNS o un puerto incorrectos.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
El cliente configuró el reenvío de registros, pero estableció el transporte en TCP en lugar de hacerlo en SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
El cliente cargó su propia autoridad de certificación y certificado, pero no marcó el certificado como una conexión segura de syslog.	Error: [Syslog] Connection reset.
El cliente cargó el certificado del servidor, pero no cargó la autoridad de certificación del servidor.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
El cliente cargó la autoridad de certificación del servidor, pero no cargó el certificado del servidor necesario.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅