Integración del cortafuegos de Palo Alto Networks

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

El cortafuegos de Palo Alto Networks y la integración de ESET PROTECT permiten ingerir y normalizar los indicadores de seguridad de red seleccionados (registros de amenazas), lo que proporciona visibilidad de las amenazas relacionadas con la red junto con los eventos de seguridad de ESET. Los indicadores se pueden investigar en Búsqueda avanzada y se correlacionan con incidentes.

Cómo activar la integración

Requisitos previos

Antes de configurar la integración, complete los siguientes requisitos previos:

•Asegúrese de que está utilizando la versión de Palo Alto Networks PAN-OS 11.1.10 y posteriores. No se recomienda utilizar versiones anteriores, ya que estas pueden provocar fallos de integración o vulnerabilidades de seguridad.

•Asegúrese de haber configurado el cortafuegos de Palo Alto con una dirección IP estática.

•Configure la supervisión de Syslog en Palo Alto siguiendo los pasos que se indican a continuación.

Si está utilizando Panorama, considere la posibilidad de configurar el perfil del servidor de Syslog y configurar el reenvío de Syslog en Panorama. A continuación, confirme e inserte los cambios en el cortafuegos de Palo Alto. Tenga en cuenta que las reglas de políticas de seguridad administradas por Panorama suelen tener prioridad sobre las políticas de cortafuegos configuradas localmente.

1.Configure el perfil del servidor de Syslog con los siguientes valores en Palo Alto:

•Syslog Server: el nombre de DNS del servidor de Syslog en función de su región: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, ,de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Configure el reenvío de Syslog para los registros de Threat en Palo Alto. Asegúrese de especificar el tipo de registro Threat en la regla Log Forwarding Profile Match List y asigne su perfil de reenvío de registros a la regla de la Security Policy para activar la generación de registros de Threat cuando se encuentra una detección:

•Action Setting > Action: Allow

•Profile Setting > Profile Type—Group o Profiles; configure los tipos de perfil pertinentes (Antivirus, Vulnerability Protection, Anti-Spyware, etc.) como Default en lugar de None para generar registros de amenazas.

•Log Setting > Log Forwarding: su perfil de reenvío de registros

Las reglas de la Security Policy se evalúan en secuencia, de izquierda a derecha y de arriba a abajo. Asegúrese de que una regla anterior y más general no tenga prioridad sobre la política que cree. Para obtener más información, consulte el Palo Alto artículo Política de seguridad.

No configure el tipo de registro Traffic. No es necesario configurar el reenvío de Syslog para ningún registro que no sea Threat.

No es necesario configurar el formato del encabezado de los mensajes de Syslog.

3.Cree el certificado para la comunicación segura de Syslog en Palo Alto. Exporte el certificado público creado con las siguientes opciones y la autoridad certificadora: la entrada principal del certificado público creado marcado como CA, utilizando las instrucciones de Exportar un certificado:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key: mantenga esta casilla de verificación desactivada.

Si no dispone de la autoridad certificadora, puede crear un certificado de CA raíz autofirmado. Tendrá que proporcionar tanto el certificado público exportado como la autoridad certificadora durante la configuración de la integración en ESET PROTECT Web Console.

4.Confirme los cambios.

Configuración de la integración en ESET PROTECT Web Console

Para instalar y configurar la aplicación de integración, seleccione ESET PROTECT Web Console > Integraciones > Marketplace y siga los pasos que se indican a continuación.

1.En la página Marketplace, busque Cortafuegos de Palo Alto Networks y haga clic en Conectar.

2.Revise los requisitos de integración y haga clic en Iniciar configuración.

3.En Configuraciones de requisitos previos, compruebe que se han completado los requisitos previos y active la casilla de verificación Confirmo que he completado todas las configuraciones necesarias en Palo Alto. Haga clic en Continuar.

4.En Configuración general, complete los siguientes campos. A continuación, haga clic en Continuar.

•Nombre (opcional): escriba un nombre de integración distintivo.

•Descripción (opcional): escriba la descripción de la integración que desee.

5.En IP y certificado, complete los siguientes campos. A continuación, haga clic en Continuar.

•Direcciones IP públicas estáticas: proporcione la dirección IP o las direcciones IP de salida pública estática (NAT de origen) (separadas por punto y coma) que utiliza el tráfico saliente del cortafuegos de Palo Alto para acceder a Internet.

•Certificado: cargue el certificado público para la comunicación segura de Syslog exportado desde Palo Alto en formato Base64 Encoded Certificate (PEM). El certificado debe ser único y no estar asociado a ninguna otra integración de Palo Alto Networks dentro de ESET.

•Autoridad certificadora: cargue la autoridad certificadora del certificado público creado exportado desde Palo Alto.

6.En Certificados de soporte, descargue los archivos de certificado proporcionados, tanto el Certificado del servidor como la Autoridad certificadora, e impórtelos en Palo Alto siguiendo las instrucciones de Importar un certificado. Haga clic en Continuar.

7.En Resumen, revise la configuración y haga clic en Finalizar. La configuración de la integración puede tardar hasta cinco minutos en completarse.

Verificación de integración y resolución de problemas

Una vez completada la configuración de la integración, los registros reenviados desde Palo Alto aparecen en ESET PROTECT Web Console > Búsqueda avanzada.

Puede consultar los registros de amenazas generados en la interfaz web de Palo Alto > Logs > Threat. Solo se reenvían las entradas de registro que coincidan con la regla de política de seguridad a la que está asignado el perfil de reenvío de registros de Syslog.

Además, puede comprobar los registros si ejecuta el comando tail mp-log logrcvr.log en la consola del cortafuegos de Palo Alto. Si el comando devuelve mensajes de error, es posible que la configuración contenga errores. En los ejemplos siguientes se describen mensajes de error habituales y sus causas.

Causa del problema	Mensaje devuelto
El cliente configuró el reenvío de registros con un nombre de DNS incorrecto o un puerto incorrecto.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
El cliente configuró el reenvío de registros, pero estableció el transporte en TCP en lugar de en SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
El cliente cargó su propia autoridad certificadora y certificado, pero no marcó el certificado como una conexión segura de syslog.	Error: [Syslog] Connection reset.
El cliente cargó el certificado del servidor, pero no cargó la autoridad certificadora del servidor.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
El cliente cargó la autoridad certificadora del servidor, pero no cargó el certificado del servidor necesario.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅