Intégration du pare-feu Palo Alto Networks

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

L'intégration du pare-feu Palo Alto Networks et de ESET PROTECT permet l'ingestion et la normalisation d'indicateurs de sécurité réseau sélectionnés (journaux de menaces), ce qui offre une visibilité sur les menaces liées au réseau parallèlement aux événements de sécurité ESET. Les indicateurs peuvent être consultés dans la recherche avancée et sont associés aux incidents.

Comment activer l'intégration

Conditions préalables requises :

Avant de configurer l'intégration, remplissez les conditions préalables suivantes :

•Vérifiez que vous utilisez Palo Alto Networks PAN-OS version 11.1.10 ou ultérieure. L'utilisation de versions antérieures n'est pas recommandée et peut entraîner des problèmes d'intégration ou des vulnérabilités de sécurité.

•Assurez-vous d'avoir configuré le pare-feu Palo Alto avec une adresse IP statique.

•Configurez la surveillance Syslog dans Palo Alto en procédant comme suit.

Si vous utilisez Panorama, pensez à configurer le profil du serveur Syslog et à mettre en place le transfert Syslog dans Panorama. Ensuite, validez et envoyez les modifications au pare-feu Palo Alto. Notez que les règles de politique de sécurité gérées par Panorama sont généralement prioritaires par rapport aux politiques de pare-feu configurées localement.

1.Configurez le profil de serveur Syslog avec les valeurs suivantes dans Palo Alto :

•Syslog Server : nom DNS de votre serveur Syslog en fonction de sa région : eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Configurez le transfert Syslog pour les journaux Threat de Palo Alto. Veillez à spécifier le type de journal Threat dans Log Forwarding Profile Match List et à affecter votre profil de transfert de journaux à la règle Security Policy pour permettre la génération de journaux Threat lorsqu'une détection est effectuée :

•Action Setting > Action—Allow

•Profile Setting > Profile Type—Group ou Profiles ; définissez les types de profils pertinents (Antivirus, Vulnerability Protection, Anti-Spyware, etc.) comme Default au lieu de None pour générer des journaux de menaces.

•Log Setting > Log Forwarding : votre profil de transfert de journaux

Les règles Security Policy sont évaluées de manière séquentielle, de gauche à droite et de haut en bas. Assurez-vous qu'une règle antérieure et plus générale ne prévale pas sur la politique que vous créez. Pour plus d'informations, consultez l'article sur la politique de sécurité Palo Alto.

Ne configurez pas le type de journal Traffic. Il n'est pas nécessaire de configurer le transfert Syslog pour les journaux autres que Threat.

Il n'est pas nécessaire de configurer le format d'en-tête des messages Syslog.

3.Créez le certificat pour une communication Syslog sécurisée dans Palo Alto. Exportez le certificat public créé avec les options suivantes et l'autorité de certification : l'entrée parent de votre certificat public créé marquée comme CA, à l’aide des instructions d'exportation de certificat :

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key : conservez cette case décochée.

Si vous ne disposez pas d'une autorité de certification, vous pouvezcréer un certificat d'autorité de certification racine auto-signé. Vous devez fournir le certificat public exporté et l'autorité de certification lors de la configuration de l'intégration dans la console web ESET PROTECT.

4.Validez les modifications.

Configuration de l'intégration dans la console web ESET PROTECT

Pour installer et configurer l'application d'intégration, sélectionnez la console web ESET PROTECT >Intégrations > Place de marché et suivez les étapes ci-dessous.

1.Sur la page Place de marché, recherchez Pare-feu Palo Alto Networks et cliquez sur Connecter.

2.Passez en revue les conditions d'intégration, puis cliquez sur Commencer la configuration.

3.Dans Configurations préalables, vérifiez que les conditions préalables sont remplies et cochez la case Je confirme que j’ai terminé toutes les configurations nécessaires dans Palo Alto. Cliquez sur Continuer.

4.Dans Configuration générale, renseignez les champs suivants. Cliquez ensuite sur Continuer.

•Nom (facultatif) : saisissez un nom distinct d'intégration.

•Description (facultatif) : saisissez une description de l'intégration.

5.Dans Adresse IP et certificat, renseignez les champs suivants. Cliquez ensuite sur Continuer.

•Adresses IP publiques statiques : indiquez l'adresse IP de sortie publique statique (NAT source) ou les adresses (séparées par un point-virgule) que le trafic sortant de votre pare-feu Palo Alto utilise pour atteindre Internet.

•Certificat : chargez le certificat public pour une communication Syslog sécurisée exportée depuis Palo Alto dans le format Base64 Encoded Certificate (PEM). Le certificat doit être unique et non associé à une autre intégration Palo Alto Networks au sein d'ESET.

•Autorité de certification : chargez l'autorité de certification du certificat public créé exporté depuis Palo Alto.

6.Dans Certificats de soutien, téléchargez les fichiers de certificat fournis, à la fois le certificat de serveur et l'autorité de certification, puis importez-les dans Palo Alto en suivant les instructions d'importation de certificat. Cliquez sur Continuer.

7.Dans Résumé, passez en revue vos paramètres et cliquez sur Terminer. La configuration de l'intégration peut prendre jusqu’à cinq minutes.

Vérification et résolution des problèmes liés à l'intégration

Une fois la configuration de l'intégration terminée, les journaux transférés depuis Palo Alto apparaissent dans la console web ESET PROTECT > Recherche avancée.

Vous pouvez consulter les journaux des menaces générés dans l'interface web Palo Alto > Logs > Threat. Seules les entrées de journal qui correspondent à la règle de politique de sécurité à laquelle le profil de transfert de journal Syslog est affecté sont transférées.

Vous pouvez également consulter les journaux en exécutant la commande tail mp-log logrcvr.log dans la console du pare-feu Palo Alto. Si la commande renvoie des messages d'erreur, la configuration peut présenter des problèmes. Les exemples suivants décrivent les messages d'erreur courants et leurs causes.

Cause du problème	Message renvoyé
Le client a configuré le transfert des journaux avec un nom DNS et/ou un port incorrects.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Le client a configuré le transfert des journaux, mais a défini le transport sur TCP au lieu de SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Le client a chargé sa propre autorité de certification et son propre certificat, mais n'a pas marqué le certificat comme une connexion syslog sécurisée.	Error: [Syslog] Connection reset.
Le client a chargé le certificat du serveur, mais n'a pas chargé l'autorité de certification du serveur.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Le client a chargé l'autorité de certification du serveur, mais n'a pas chargé le certificat de serveur requis.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅