Integrazione del firewall di Palo Alto Networks

Copia l’URL dell’articolo corrente Invia tramite e-mail

Questo articolo (PDF) Tutta la documentazione (PDF)

Il firewall Palo Alto Networks e l’integrazione ESET PROTECT consentono di effettuare l’acquisizione e la normalizzazione di indicatori di sicurezza di rete selezionati (rapporti delle minacce), fornendo visibilità sulle minacce correlate alla rete insieme agli eventi di sicurezza ESET. Gli indicatori sono disponibili per l’analisi in Ricerca avanzata e sono correlati agli Incidenti.

Come abilitare l’integrazione

Prerequisiti

Prima di configurare l’integrazione, fare in modo che vengano soddisfatti i seguenti prerequisiti:

•Assicurarsi di utilizzare Palo Alto Networks PAN-OS versione 11.1.10 e successive. L’utilizzo di versioni precedenti non è consigliato e potrebbe causare errori di integrazione o vulnerabilità di protezione.

•Assicurarsi di aver configurato il firewall Palo Alto con un indirizzo IP statico.

•Configurare il monitoraggio Syslog in Palo Alto utilizzando la procedura sottostante.

Se si utilizza Panorama, è consigliabile configurare il profilo del server Syslog e configurare l’inoltro Syslog in Panorama. Eseguire quindi il commit e il push delle modifiche al firewall di Palo Alto. Si tenga presente che le regole dei criteri di protezione gestite da Panorama hanno generalmente la precedenza sui criteri del firewall configurati localmente.

1.Configurare il profilo del server Syslog con i seguenti valori in Palo Alto:

•Syslog Server: nome DNS del server Syslog in base alla relativa regione: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.Configura l’inoltro Syslog per i rapporti Threat in Palo Alto. Assicurarsi di specificare il tipo di rapporto Threat (Minaccia) in Log Forwarding Profile Match List (Elenco di corrispondenza dei profili di inoltro dei rapporti) e di assegnare il profilo di inoltro dei rapporti alla regola Security Policy (Criterio di protezione) per abilitare i rapporti Threat (Minaccia) da generare in caso di rilevamento di una minaccia:

•Action Setting (Impostazione azione) > Action (Azione): Allow (Consenti)

•Profile Setting (Impostazione profilo) > Profile Type (Tipo di profilo): Group (Gruppo) o Profiles (Profili); impostare i tipi di profili pertinenti (Antivirus, Vulnerability Protection (Protezione vulnerabilità), Anti-Spyware, ecc.) come Default (Predefiniti) al posto di None (Nessuno) per generare i rapporti delle minacce.

•Log Setting (Impostazione rapporto) > Log Forwarding (Inoltro rapporti): profilo di inoltro dei rapporti

Le regole Security Policy (Criterio di protezione) vengono valutate in sequenza, da sinistra a destra e dall’alto verso il basso. Assicurarsi che una regola precedente e più ampia non abbia la precedenza sul criterio creato. Per ulteriori informazioni, consultare l’articolo Criteri di protezione Palo Alto.

Non configurare il tipo di rapporto Traffic (Traffico). Non è necessario configurare l’inoltro Syslog per rapporti diversi da Threat (Minaccia).

Non è necessario configurare il formato dell’intestazione dei messaggi Syslog.

3.Creare il certificato per la comunicazione Syslog protetta in Palo Alto. Esportare il certificato pubblico creato con le seguenti opzioni e l’autorità di certificazione, ovvero la voce principale del certificato pubblico creato contrassegnato come CA, utilizzando le istruzioni Esporta un certificato:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key (Esporta chiave privata): consente di mantenere deselezionata questa casella di controllo.

Se non si dispone dell’autorità di certificazione, è possibile creare un certificato dell’autorità di certificazione radice autofirmato. Durante la configurazione dell’integrazione in ESET PROTECT Web Console, è necessario fornire sia il certificato pubblico esportato sia l’autorità di certificazione.

4.Eseguire il commit delle modifiche.

Configurazione dell’integrazione in ESET PROTECT Web Console

Per installare e configurare l’applicazione di integrazione, selezionare ESET PROTECT Web Console > Integrazioni > Marketplace e seguire i passaggi sottostanti.

1.Nella pagina Marketplace trovare Palo Alto Networks Firewall e fare clic su Connetti.

2.Rivedere i requisiti di integrazione e fare clic su Inizia configurazione.

3.In Configurazioni dei prerequisiti verificare che i prerequisiti siano stati rispettati e selezionare la casella di controllo Confermo di aver completato tutte le configurazioni necessarie in Palo Alto. Fare clic su Continua.

4.In Configurazione generale completare i seguenti campi. Fare quindi clic su Continua.

•Nome (facoltativo): digitare un nome distinto per l’integrazione.

•Descrizione (facoltativo): digitare una descrizione dell’integrazione delle proprie preferenze.

5.In IP e certificato completare i seguenti campi. Fare quindi clic su Continua.

•Indirizzi IP pubblici statici: fornire l’indirizzo IP o gli indirizzi IP in uscita pubblici statici (NAT di origine) (separati da punti e virgola) utilizzati dal traffico in uscita del firewall di Palo Alto per raggiungere Internet.

•Certificato: consente di caricare il certificato pubblico per la comunicazione Syslog protetta esportata da Palo Alto nel formato Base64 Encoded Certificate (PEM). Il certificato deve essere univoco e non associato ad altre integrazioni Palo Alto Networks all’interno di ESET.

•Autorità di certificazione: consente di caricare l’autorità di certificazione del certificato pubblico creato esportato da Palo Alto.

6.In Certificati di supporto scaricare i file del certificato forniti, sia il Certificato del server che l’Autorità di certificazione, e importarli in Palo Alto utilizzando le istruzioni Importa un certificato. Fare clic su Continua.

7.In Riepilogo rivedere le impostazioni e fare clic su Fine. Potrebbero essere necessari fino a cinque minuti per completare la configurazione dell’integrazione.

Verifica e risoluzione dei problemi relativi all’integrazione

Al termine della configurazione dell’integrazione, i rapporti inoltrati da Palo Alto vengono visualizzati in ESET PROTECT Web Console > Ricerca avanzata.

È possibile controllare i rapporti delle minacce generati in Interfaccia web Palo Alto > Logs (Rapporti) > Threat (Minaccia). Vengono inoltrate solo le voci del rapporto che corrispondono alla regola del criterio di protezione a cui è assegnato il profilo di inoltro dei rapporti Syslog.

È inoltre possibile controllare i rapporti eseguendo il comando tail mp-log logrcvr.log nella console del firewall di Palo Alto. Se il comando restituisce messaggi di errore, la configurazione potrebbe contenere problemi. Negli esempi seguenti vengono descritti i messaggi di errore comuni e le relative cause.

Causa del problema	Messaggio restituito
Il client ha configurato l’inoltro dei rapporti con un Nome DNS errato e/o una Porta errata.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Il client ha configurato l’inoltro dei rapporti, ma ha impostato il Trasporto su TCP invece di SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Il client ha caricato la propria autorità di certificazione e il proprio certificato, ma non ha contrassegnato il certificato come Connessione Syslog protetta.	Error: [Syslog] Connection reset.
Il client ha caricato il certificato del server, ma non ha caricato l’Autorità di certificazione del server.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Il client ha caricato l’Autorità di certificazione del server ma non ha caricato il certificato del server richiesto.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅