Intégration du pare-feu Palo Alto Networks

Copier l'URL de l'article actuel Envoyer par courriel

Cet article (PDF) Documentation complète (PDF)

Le pare-feu Palo Alto Networks et l’intégration ESET PROTECT permettent d’ingérer et de normaliser certains indicateurs de sécurité réseau (journaux de menaces), offrant une visibilité sur les menaces liées au réseau ainsi que sur les événements de sécurité ESET. Des indicateurs sont disponibles pour enquête dans la recherche avancée et sont corrélés aux Incidents.

Comment activer l’intégration

Configuration requise

Avant de configurer l’intégration, veillez à ce que les conditions suivantes soient remplies :

•Assurez-vous d’utiliser Palo Alto Networks PAN-OS version 11.1.10 et les versions ultérieures. L’utilisation de versions antérieures n’est pas recommandée et peut entraîner des problèmes d’intégration ou des failles de sécurité.

•Assurez-vous d’avoir configuré le pare-feu Palo Alto avec une adresse IP statique.

•Configurez la surveillance Syslog dans Palo Alto en suivant les étapes ci-dessous.

Si vous utilisez Panorama, envisagez de configurer le profil serveur Syslog et de configurer le transfert Syslog dans Panorama. Ensuite, validez et transmettez les modifications au pare-feu Palo Alto. Notez que les règles de politique de sécurité gérées par Panorama ont généralement la priorité sur les politiques de pare-feu configurées localement.

1.Configurez le profil du serveur Syslog avec les valeurs suivantes dans Palo Alto :

•Syslog Server — Le nom DNS de votre serveur Syslog selon sa région : eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Configurez le transfert Syslog pour les journaux Threat dans Palo Alto. Assurez-vous de spécifier le type de journal Threat dans Log Forwarding Profile Match List et d’assigner votre profil de redirection de journaux à la règle Security Policy pour activer la génération des journaux Threat lorsqu’une détection se produit :

•Action Setting > Action — Allow

•Profile Setting > Profile Type—Group ou Profiles; définissez les types de profil pertinents (Antivirus, Vulnerability Protection, Anti-Spyware, etc.) comme Default au lieu de None pour générer les journaux de menace.

•Log Setting > Log Forwarding — votre profil de redirection de journal

Les règles Security Policy sont évaluées séquentiellement, de gauche à droite et de haut en bas. Assurez-vous qu’une règle antérieure plus générale ne prévale pas sur la politique que vous créez. Pour plus d’informations, consultez l’article sur la politique de sécurité de Palo Alto.

Ne configurez pas le type de journal Traffic. Il n’est pas nécessaire de configurer le transfert Syslog pour des journaux autres que Threat.

Il n’est pas nécessaire de configurer le format de l’en-tête des messages Syslog.

3.Créez le certificat pour une communication Syslog sécurisée dans Palo Alto. Exportez le certificat public créé avec les options suivantes et l’autorité de certification, l’entrée parente de votre certificat public créé marquée comme CA, en utilisant les instructions d’exportation de certificats :

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key : gardez cette case décochée.

Si vous ne disposez pas d’une autorité de certification, vous pouvez créer un certificat CA racine auto-signé. Vous devez fournir à la fois le certificat public exporté et l’autorité de certification lors de la configuration de l’intégration dans ESET PROTECT Web Console.

4.Validez les modifications.

Configuration de l’intégration dans ESET PROTECT Web Console

Pour installer et configurer l’application d’intégration, sélectionnez ESET PROTECT Web Console > Intégrations > Place de marché et suivez les étapes ci-dessous.

1.Sur la page Place de marché, recherchez le pare-feu Palo Alto Networks et cliquez sur Connecter.

2.Examinez les exigences d’intégration et cliquez sur Commencer la configuration.

3.Dans Configurations préalables, vérifiez que les prérequis sont satisfaits et cochez la case Je confirme que j’ai effectué toutes les configurations Palo Alto nécessaires. Cliquez sur Continuer.

4.Dans Configuration générale, remplissez les champs suivants. Ensuite, cliquez sur Continuer.

•Nom (optionnel) : saisissez un nom distinct d’intégration.

•Description (optionnelle) : saisissez une description d’intégration selon votre préférence.

5.Dans IP et Certificat, remplissez les champs suivants. Ensuite, cliquez sur Continuer.

•Adresses IP publiques statiques : indiquez l’adresse IP publique statique de sortie (NAT source) ou les adresses IP (séparées par des points-virgules) que le trafic sortant de votre pare-feu Palo Alto utilise pour accéder à Internet.

•Certificat : téléverser le certificat public pour la communication Syslog sécurisée exportée de Palo Alto au format Base64 Encoded Certificate (PEM). Le certificat doit être unique et ne pas être associé à une autre intégration Palo Alto Networks dans ESET.

•Autorité de certification : téléverser l’autorité de certification du certificat public créé et exporté de Palo Alto.

6.Dans Certificats pris en charge, téléchargez les fichiers de certificat fournis, le certificat serveur et l’autorité de certification, et importez-les dans Palo Alto en utilisant les instructions d’importation de certificats. Cliquez sur Continuer.

7.Dans Résumé, vérifiez vos paramètres et cliquez sur Terminer. La configuration de l’intégration peut prendre jusqu’à cinq minutes.

Vérification et dépannage de l’intégration

Lorsque la configuration de l’intégration est terminée, les journaux transférés de Palo Alto sont consultables dans ESET PROTECT Web Console > Recherche avancée.

Vous pouvez consulter les journaux de menaces générés dans Palo Alto Web Interface > Logs > Threat. Seules les entrées de journal correspondant à la règle de politique de sécurité à laquelle le profil de redirection de journal Syslog est attribué sont transférées.

De plus, vous pouvez vérifier les journaux en exécutant la commande tail mp-log logrcvr.log dans la console du pare-feu de Palo Alto. Si la commande renvoie des messages d’erreur, la configuration comporte peut-être des problèmes. Les exemples suivants décrivent les messages d’erreur courants et leurs causes.

Cause du problème	Message renvoyé
Le client a configuré la redirection de journaux avec un nom de DNS incorrect et/ou un port incorrect.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Le client a configuré la redirection de journaux, mais a configuré le paramètre Transport sur TCP au lieu de SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Le client a téléchargé sa propre autorité de certification et son certificat, mais n’a pas marqué le certificat comme une connexion syslog sécurisée.	Error: [Syslog] Connection reset.
Le client a téléchargé le certificat serveur, mais n’a pas téléchargé l’autorité de certification serveur.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Le client a téléchargé l’autorité de certification serveur, mais n’a pas téléchargé le certificat serveur requis.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅