Integracija firewalla Palo Alto Networks

Kopirajte URL-a trenutačnog članka Podijelite putem e-pošte

Ovaj članak (PDF) Cjelokupna dokumentacija (PDF)

Palo Alto Networks Firewall i integracija omogućuju ESET PROTECT unos i normalizaciju odabranih mrežnih sigurnosnih indikatora (dnevnika prijetnji), pružajući uvid u mrežne prijetnje uz ESET sigurnosne događaje. Indikatori su dostupni za istraživanje u naprednoj pretrazi i povezani su s incidentima.

Kako omogućiti integraciju

Preduvjeti

Prije postavljanja integracije, ispunite sljedeće preduvjete:

•Pobrinite se da koristite Palo Alto Networks PAN-OS verziju 11.1.10 i novije verzije. Korištenje ranijih verzija se ne preporučuje i može rezultirati neuspjehom integracije ili sigurnosnim ranjivostima.

•Provjerite jeste li konfigurirali Palo Alto Firewall sa statičkom IP adresom.

•Konfigurirajte nadzor Palo Alto Sysloga pomoću sljedećih koraka.

Ako koristite Panorama, razmislite o konfiguriranju Syslog server profila i postavljanju Syslog prosljeđivanja u Panorama. Zatim spremite i pošaljite promjene na Palo Alto Firewall. Imajte na umu da pravila o sigurnosnim pravilima kojima upravlja obično Panorama imaju prednost nad lokalno konfiguriranim firewall politikama.

1.Konfigurirajte profil Syslog poslužitelja sa sljedećim vrijednostima u Palo Alto:

•Syslog Server—DNS naziv vašeg Syslog poslužitelja na temelju njegove regije: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Konfigurirajte prosljeđivanje Sysloga za logove Threat u Palo Alto. Obavezno odredite vrstu dnevnika Threat u Log Forwarding Profile Match List i dodijelite svoj profil prosljeđivanja zapisa pravilu Security Policy kako biste omogućili dnevnike Threat koji se generiraju kada se otkrije detekcija:

•Action Setting > Action—Allow

•Profile Setting > Profile Type—Group or Profiles; postavite relevantne vrste profila (Antivirus, Vulnerability Protection, Anti-Spyware, itd.) kao Default umjesto None za generiranje dnevnika prijetnji.

•Log Setting > Log Forwarding—vaš profil za prosljeđivanje dnevnika

Security Policy pravila se ocjenjuju sekvencijalno, s lijeva na desno i odozgo prema dolje. Pobrinite se da ranije, šire pravilo ne prevlada nad policom koju kreirate. Za više informacija pogledajte članak o sigurnosnom pravilu Palo Alto.

Nemojte konfigurirati vrstu dnevnika Traffic. Nema potrebe konfigurirati Syslog prosljeđivanje za bilo koje logove osim Threat.

Nema potrebe konfigurirati format zaglavlja Syslog poruka.

3.Kreirajte certifikat za sigurnu Syslog komunikaciju u Palo Alto. Izvezite kreirani javni certifikat s sljedećim opcijama i Certifikacijskim tijelom — roditeljskim unosom vašeg kreiranog javnog certifikata označenim kao CA, koristeći upute za izvoz certifikata:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key—Ostavi ovu kvačicu neoznačenom.

Ako nemate certifikacijsku vlast, možete kreirati samostalno potpisani root CA certifikat. Tijekom postavljanja integracije u Web Consoleu ESET PROTECT morate dostaviti i izvezeni javni certifikat i Certifikacijsku vještinu.

4.Potvrdi promjene.

Postavljanje integracije u Web Consoleu ESET PROTECT

Za instalaciju i postavljanje aplikacije za integraciju odaberite ESET PROTECT web konzolu > Integracije > Marketplace i slijedite korake u nastavku.

1.Na stranici Marketplace pronađite Palo Alto Networks Firewall i kliknite Connect.

2.Pregledajte zahtjeve za integraciju i kliknite Početak postavljanja.

3.U Konfiguracijama preduvjeta, provjerite jesu li preduvjeti ispunjeni i odaberite opciju Potvrđujem da sam završio sve potrebne konfiguracije u Palo Alto kvačici. Kliknite Dalje.

4.U Općem postavljanju ispunite sljedeća polja. Zatim kliknite Nastavi.

•Ime (opcionalno)—Upišite jedinstveno ime integracije.

•Opis (opcionalno)—Upišite opis integracije po želji.

5.U IP i certifikat ispunite sljedeća polja. Zatim kliknite Nastavi.

•Statičke javne IP adrese—Dajte statičku javnu izlaznu (izvornu NAT) IP adresu ili adrese (odvojene točka-zarezom) koje koristi odlazni promet vašeg Palo Alto firewalla za pristup internetu.

•Certifikat—Učitajte javni certifikat za sigurnu Syslog komunikaciju izvezenu u Palo Alto tom formatu Base64 Encoded Certificate (PEM). Certifikat mora biti jedinstven i ne smije biti povezan s bilo kojom drugom Palo Alto Networks integracijom unutar ESET.

•Certifikacijski autoritet—Učitajte Certifikacijsko tijelo kreiranog javnog certifikata izvezenog iz Palo Alto.

6.U Supporting Certificates, preuzmite priložene datoteke certifikata, i Server Certificate i Certificate Authority, i uvezite ih koristeći Palo Alto upute Import a Certificate. Kliknite Dalje.

7.U sažetku, pregledajte svoje postavke i kliknite Završi. Integracija može trajati do pet minuta.

Verifikacija integracije i otklanjanje problema

Kada je integracija dovršena, proslijeđeni zapisi Palo Alto pojavljuju se u ESET PROTECT Web Console > Advanced Search.

Možete provjeriti generirane dnevnike prijetnji u Palo Alto Web sučelju > Logs > Threat. Prosljeđuju se samo unosi u dnevniku koji odgovaraju pravilu o sigurnosnom pravilu kojem je dodijeljen Syslog profil za prosljeđivanje dnevnika.

Dodatno, možete provjeriti logove pokretanjem naredbe tail mp-log logrcvr.log u Firewall konzoli Palo Alto. Ako naredba vraća poruke o pogrešci, konfiguracija može sadržavati probleme. Sljedeći primjeri opisuju uobičajene poruke o pogreškama i njihove uzroke.

Uzrok problema	Povratna poruka
Klijent je konfigurirao prosljeđivanje logova s pogrešnim DNS imenom i/ili pogrešnim portom.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Klijent je konfigurirao prosljeđivanje logova, ali je postavio Transport na TCP. SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Klijent je učitao vlastiti Certificate Authority i certifikat, ali nije označio certifikat kao Secure Syslog Connection.	Error: [Syslog] Connection reset.
Klijent je učitao certifikat poslužitelja, ali nije učitao Certifikacijsku vlast poslužitelja.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Klijent je učitao poslužiteljsku certifikacijsku vlast, ali nije učitao potrebni poslužiteljski certifikat.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅