ESET PROTECT – 目次

Palo Alto Networksファイアウォール統合

Palo Alto NetworksファイアウォールとESET PROTECTの統合により、選択したネットワークセキュリティインジケーター(脅威ログ)の取り込みと正規化が可能になり、ESETセキュリティイベントとともにネットワーク関連の脅威を可視化できます。インジケーターは詳細検索での調査に使用でき、インシデントに関連付けられます。

統合を有効にする方法

前提条件

統合を設定するには、次の前提条件を満たしてください。

Palo Alto Networks PAN-OSバージョン11.1.10以降を使用していることを確認します。以前のバージョンを使用することは推奨されません。統合の失敗やセキュリティの脆弱性につながる可能性があります。

静的IPアドレスを使用してPalo Altoファイアウォールを設定していることを確認します。

以下の手順に従ってPalo AltoでSyslog監視を設定します。

重要

Panoramaを使用している場合は、PanoramaでのSyslogサーバープロファイルの設定とSyslog転送の設定を検討してください。次に、変更をコミットしてPalo Alto Firewallにプッシュします。通常、Panoramaによって管理されるセキュリティポリシールールは、ローカルで設定されたファイアウォールポリシーよりも優先されます。

1.Palo Altoで次の値を使用してSyslogサーバープロファイルを設定します

Syslog Server - リージョンに基づくSyslogサーバーのDNS名(eu.security-integration.eset.systems、us.security-integration.eset.systems、jpn.security-integration.eset.systems、ca.security-integration.eset.systems、de.security-integration.eset.systems)

TransportSSL

Port6514

FormatIETF

2.Palo AltoでThreatログのSyslog転送を設定しますLog Forwarding Profile Match ListThreatログタイプを指定し、ログ転送プロファイルをSecurity Policyに割り当てて、検出が見つかったときのThreatログ生成を有効にしていることを確認します。

Action Setting > Action - Allow

Profile Setting > Profile Type - GroupまたはProfiles。関連するプロファイルタイプ(Antivirus、Vulnerability Protection、Anti-Spywareなど)をNoneではなくDefaultに設定して脅威ログを生成します。

Log Setting > Log Forwarding - ログ転送プロファイル

重要

Security Policyルールは、左から右、上から下に順番に評価されます。以前の広範なルールが、作成したポリシーよりも優先されないようにします。詳細については、Palo Altoセキュリティポリシーの記事を参照してください。

注意

Trafficログタイプは設定しないでください。Threat以外のログのSyslog転送を設定する必要はありません。

Syslogメッセージのヘッダー形式を設定する必要はありません。

3.Palo Altoで安全なSyslog通信の証明書を作成します証明書のエクスポートの手順を使用して、次のオプションを使用して作成した公開証明書と認証局(CAとしてマークされた作成済みの公開証明書の親エントリ)をエクスポートします。

File Format—Base64 Encoded Certificate (PEM)

Export Private Key - このチェックボックスはオフのままにします。

認証局がない場合は、自己署名ルートCA証明書を作成できます。ESET PROTECT Webコンソールでの統合設定中に、エクスポートされた公開証明書と認証局の両方を指定する必要があります。

4.変更をコミットします。

ESET PROTECT Webコンソールでの統合設定

統合アプリケーションをインストールして設定するには、ESET PROTECT Webコンソール > 統合 > Marketplaceを選択し、以下の手順に従います。

1.Marketplaceページで、Palo Alto Networksファイアウォールを見つけて接続をクリックします。

2.統合要件を確認し、セットアップの開始をクリックします。

3.前提条件の設定で、前提条件が満たされていることを確認し、Palo Altoで必要な設定をすべて完了したことを確認するチェックボックスをオンにします。続行をクリックします。

4.一般的な設定で、次のフィールドに入力します。次に、続行をクリックします。

名前(任意) - 個別の統合名を入力します。

説明(任意) - 任意の統合の説明を入力します。

5.IPと証明書で、次のフィールドに入力します。次に、続行をクリックします。

静的パブリックIPアドレス - Palo Altoファイアウォールの送信トラフィックがインターネットに到達するために使用する静的パブリックエグレス(送信元NAT) IPアドレス(複数の場合はセミコロンで区切る)を指定します。

証明書 - Palo Altoからエクスポートされた安全なSyslog通信の公開証明書をBase64 Encoded Certificate (PEM)形式でアップロードします。証明書は一意である必要があり、ESET内の他のPalo Alto Networks統合に関連付けられていない必要があります。

認証局 - Palo Altoからエクスポートされた、作成済みの公開証明書の認証局をアップロードします。

6.サポート証明書で、提供された証明書ファイル(サーバー証明書認証局の両方)をダウンロードし、証明書のインポート手順を使用してPalo Altoにインポートします。続行をクリックします。

7.概要で設定を確認し、完了をクリックします。統合の設定が完了するまでに最大5分かかる場合があります。

統合の検証とトラブルシューティング

統合の設定が完了すると、Palo Altoから転送されたログがESET PROTECT Webコンソール > 詳細検索に表示されます。

生成された脅威ログは、Palo Alto Webインターフェイス > Logs > Threatで確認できます。Syslogログ転送プロファイルが割り当てられているセキュリティポリシールールに一致するログエントリのみが転送されます。

また、Palo Altoファイアウォールコンソールでtail mp-log logrcvr.logコマンドを実行して、ログを確認することもできます。コマンドがエラーメッセージを返す場合は、設定に問題がある可能性があります。次の例では、一般的なエラーメッセージとその原因について説明しています。

問題の原因

返されるメッセージ

クライアントは、正しくないDNS名または正しくないポートでログ転送を設定しました。

Info: [Syslog] Triggered offline log purger for system log type.

Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110)

Info: Connecting to remote address <IP Address> @ fd -1

Error: [Server connect] Failed to connect to server: <IP Address>

Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out.

Error: [Socket init] Failed to initialize socket.

クライアントはログ転送を設定しましたが、転送SSLではなくTCPに設定しました。

Error: [Syslog] TCP send failure, socket is broken errno (32)

Info: Created new cache socket:1024 for <Server>

クライアントは独自の認証局と証明書をアップロードしましたが、証明書を安全なSyslog接続としてマークしませんでした。

Error: [Syslog] Connection reset.

クライアントはサーバー証明書をアップロードしましたが、サーバー認証局をアップロードしませんでした。

Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate.

Error: [SSL_connect] Error during SSL connection.

Info: Server IPv4 address: <IP Address>

Info: Successfully resolved FQDN IP (<IP Address>)

Info: Client starting. addr=<IP Address> port=6515

Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111)

Info: Connecting to remote address <IP Address> @ fd -1

Error: [Server connect] Failed to connect to server: <IP Address>

Error: [Socket init] Failed to initialize socket.

クライアントはサーバー認証局をアップロードしましたが、必要なサーバー証明書をアップロードしませんでした。

Error: [Certificate verification] Verification of the client certificate against the authorized list failed.

Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected.

Error: [X509 validation] Validation of IP address from X509 certificate failed.