Palo Alto Networks 방화벽 통합
Palo Alto Networks 방화벽과 ESET PROTECT의 통합을 사용하면 선택된 네트워크 보안 지표(위협 로그)를 수집 및 표준화하여 ESET 보안 이벤트와 함께 네트워크 관련 위협에 대한 가시성을 확보할 수 있습니다. 지표는 고급 검색에서 조사할 수 있으며, 인시던트와 연계됩니다.
통합 활성화 방법
필수 구성 요소
통합을 설정하기 전에 다음 필수 구성 요소를 완료합니다.
•Palo Alto Networks PAN-OS 버전 11.1.10 이상을 사용하고 있는지 확인합니다. 이전 버전을 사용하는 것은 권장되지 않으며, 통합 실패 또는 보안 취약성으로 이어질 수 있습니다.
•고정 IP 주소로 Palo Alto 방화벽을 구성했는지 확인합니다.
•아래 단계에 따라 Palo Alto에서 Syslog 모니터링을 구성합니다.
|
Panorama를 사용하고 있다면 Panorama에서 Syslog 서버 프로필을 구성하고 Syslog 전달을 설정하는 것을 고려합니다. 그런 다음 변경 사항을 커밋하고 Palo Alto 방화벽에 푸시합니다. Panorama에서 관리되는 보안 정책 규칙은 일반적으로 로컬에 구성된 방화벽 정책보다 우선 적용됩니다. |
1.다음 값을 Palo Alto에 입력하여 Syslog 서버 프로필을 구성합니다.
•Syslog Server - 지역에 따른 Syslog 서버의 DNS 이름: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Palo Alto에서 Threat 로그에 대한 Syslog 전달을 구성합니다. Threat 로그 유형을 Log Forwarding Profile Match List에 지정하고, 탐지가 발견되면 Threat 로그가 생성되도록 Security Policy 규칙에 로그 전달 프로필을 할당해야 합니다.
•Action Setting > Action - Allow
•Profile Setting > Profile Type - Group 또는 Profiles. 관련 프로필 유형(Antivirus, Vulnerability Protection, Anti-Spyware 등)을 None이 아닌 Default로 설정하여 위협 로그를 생성합니다.
•Log Setting > Log Forwarding - 로그 전달 프로필
|
Security Policy 규칙은 왼쪽에서 오른쪽, 위쪽에서 아래쪽 순서로 평가됩니다. 기존의 더 포괄적인 규칙이 새로 생성하는 정책보다 우선하지 않도록 합니다. 자세한 내용은 Palo Alto 보안 정책 문서를 참조하십시오. |
|
Traffic 로그 유형을 구성하지 마십시오. Threat 외 다른 로그에 대해서는 Syslog 전달을 구성할 필요가 없습니다. Syslog 메시지의 헤더 형식을 구성할 필요가 없습니다. |
3.Palo Alto에서 보안 Syslog 통신을 위한 인증서를 생성합니다. 생성된 공개 인증서를 다음 옵션 및 인증 기관(생성된 공개 인증서의 상위 항목인 CA)을 사용하여 내보냅니다. 이때 인증서 내보내기 지침을 준수합니다.
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key - 이 확인란은 선택 취소된 상태로 유지합니다.
인증 기관이 없는 경우 자체 서명 루트 CA 인증서를 생성할 수 있습니다. ESET PROTECT 웹 콘솔에서 통합 설정을 진행하는 동안 내보낸 공개 인증서와 인증 기관을 모두 제공해야 합니다.
4.변경 사항을 커밋합니다.
ESET PROTECT 웹 콘솔에서 통합 설정
통합 애플리케이션을 설치하고 설정하려면 ESET PROTECT 웹 콘솔 > 통합 > 마켓플레이스를 선택하여 아래 단계를 따릅니다.
1.마켓플레이스 페이지에서 Palo Alto Networks 방화벽을 찾아 연결을 클릭합니다.
2.통합 요구 사항을 검토하고 설정 시작을 클릭합니다.
3.필수 구성에서 필수 구성이 완료되었는지 확인하고, Palo Alto에서 필요한 모든 구성을 완료했음을 확인합니다 확인란을 선택합니다. 계속을 클릭합니다.
4.일반 설정에서 다음 필드를 작성합니다. 그런 다음 계속을 클릭합니다.
•이름(선택 사항) - 통합의 고유 이름을 입력합니다.
•설명(선택 사항) - 원하는 통합 설명을 입력합니다.
5.IP 및 인증서에서 다음 필드를 작성합니다. 그런 다음 계속을 클릭합니다.
•고정 공용 IP 주소 - Palo Alto 방화벽의 아웃바운드 트래픽이 인터넷에 연결하는 데 사용하는 고정 공용 이그레스(소스 NAT) IP 주소를 제공합니다. 여러 개일 경우 세미콜론으로 구분합니다.
•인증서 - 보안 Syslog 통신을 위한 공개 인증서를 Palo Alto에서 Base64 Encoded Certificate (PEM) 형식으로 내보낸 다음 업로드합니다. 인증서는 고유해야 하며 ESET 내의 다른 Palo Alto Networks 통합과 연결되어서는 안 됩니다.
•인증 기관 - 생성된 공개 인증서의 인증 기관을 Palo Alto에서 내보낸 다음 업로드합니다.
6.지원 인증서에서 제공된 인증서 파일(서버 인증서 및 인증 기관 모두)을 다운로드하고, 인증서 가져오기 지침을 사용하여 Palo Alto로 가져옵니다. 계속을 클릭합니다.
7.요약에서 설정을 검토하고 마침을 클릭합니다. 통합 설정 완료에 최대 5분이 소요될 수 있습니다.
통합 검증 및 문제 해결
통합 설정이 완료되면 Palo Alto에서 전달된 로그가 ESET PROTECT 웹 콘솔 > 고급 검색에 표시됩니다.
생성된 위협 로그는 Palo Alto 웹 인터페이스 > Logs > Threat에서 확인할 수 있습니다. Syslog 로그 전달 프로필이 할당된 보안 정책 규칙과 일치하는 로그 항목만 전달됩니다.
또한 Palo Alto 방화벽 콘솔에서 tail mp-log logrcvr.log 명령을 실행하여 로그를 확인할 수 있습니다. 명령 실행 시 오류 메시지가 반환되면 구성에 문제가 있을 수 있습니다. 다음 예시는 일반적인 오류 메시지와 그 원인을 설명합니다.
문제 원인 |
반환되는 메시지 |
|---|---|
클라이언트가 잘못된 DNS 이름 및/또는 잘못된 포트로 로그 전달을 구성했습니다. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
클라이언트가 로그 전달을 구성했지만 전송을 SSL이 아닌 TCP로 설정했습니다. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
클라이언트가 자체 인증 기관과 인증서를 업로드했지만 해당 인증서를 보안 Syslog 연결로 표시하지 않았습니다. |
Error: [Syslog] Connection reset. |
클라이언트가 서버 인증서를 업로드했지만 서버 인증 기관은 업로드하지 않았습니다. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
클라이언트가 서버 인증 기관을 업로드했지만 필수 서버 인증서는 업로드하지 않았습니다. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |