Intergacja zapory Palo Alto Networks
Zapora Palo Alto Networks i integracja ESET PROTECT umożliwiają pobieranie i normalizację wybranych wskaźników bezpieczeństwa sieci (dzienników zagrożeń), zapewniając wgląd w zagrożenia związane z siecią oraz zdarzenia bezpieczeństwa ESET. Wskaźniki są dostępne do zbadania w sekcji Wyszukiwanie zaawansowane i są powiązane z Incydentami.
Jak włączyć integrację
Wymagania wstępne
Przed skonfigurowaniem integracji zrealizuj następujące wymagania wstępne:
•Upewnij się, że używasz wersji Palo Alto Networks PAN-OS 11.1.10 i nowszych. Korzystanie z wcześniejszych wersji nie jest zalecane i może skutkować niepowodzeniem integracji lub lukami w zabezpieczeniach.
•Upewnij się, że masz skonfigurowaną zaporę Palo Alto ze statycznym adresem IP.
•Skonfiguruj monitorowanie dzienników systemowych w Palo Alto zgodnie z poniższymi krokami.
|
Jeśli używasz Panorama, rozważ skonfigurowanie profilu serwera dziennika systemowego i skonfigurowanie przekierowywania tego dziennika w Panorama. Następnie potwierdź i przekaż zmiany do zapory Palo Alto. Należy zauważyć, że reguły polityki bezpieczeństwa zarządzane przez Panorama zazwyczaj mają pierwszeństwo przed lokalnie skonfigurowanymi politykami zapory. |
1.Skonfiguruj profil serwera dzienników systemowych z następującymi wartościami w Palo Alto:
•Syslog Server — Nazwa DNS Twojego serwera dziennika systemowego oparta na jego regionie: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Skonfiguruj przekierowywanie dzienników systemowych dla dzienników Threat w Palo Alto. Upewnij się, że określisz typ dziennika Threat w sekcji Log Forwarding Profile Match List i przypiszesz profil przekierowywania dzienników do reguły Security Policy, aby umożliwić generowanie dzienników Threat po znalezieniu wykrycia:
•Action Setting > Action—Allow
•Profile Setting > Profile Type —Group lub Profiles; ustaw odpowiednie rodzaje profili (Antivirus, Vulnerability Protection, Anti-Spyware itp.) jako Default zamiast None, aby generować dzienniki zagrożeń.
•Log Setting > Log Forwarding — Twój profil przekierowywania dzienników
|
Reguły Security Policy ocenia się sekwencyjnie, od lewej do prawej oraz od góry do dołu. Upewnij się, że wcześniejsza, szersza reguła nie ma pierwszeństwa przed polityką, którą tworzysz. Więcej informacji można znaleźć w artykule Polityka bezpieczeństwa Palo Alto. |
|
Nie konfiguruj typu dziennika Traffic. Nie ma potrzeby konfigurowania przekierowywania dzienników systemowych dla żadnych dzienników poza Threat. Nie ma potrzeby konfigurowania formatu nagłówka wiadomości dziennika systemowego. |
3.Utwórz certyfikat dla bezpiecznej komunikacji dzienników systemowych w Palo Alto. Eksportuj utworzony certyfikat publiczny z następującymi opcjami oraz urzędem certyfikacji — nadrzędny wpis utworzonego przez Ciebie certyfikatu publicznego oznaczony jako CA z wykorzystaniem instrukcji dotyczących eksportowania certyfikatu:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key — Zostaw to pole odznaczone.
Jeśli nie masz uprawnienia do certyfikacji, możesz utworzyć automatycznie podpisywany główny certyfikat CA. Podczas konfiguracji integracji w konsoli internetowej ESET PROTECT musisz podać zarówno wyeksportowany publiczny certyfikat, jak i urząd certyfikacji.
4.Potwierdź zmiany.
Konfiguracja integracji w konsoli internetowej ESET PROTECT
Aby zainstalować i skonfigurować aplikację integracyjną, wybierz opcje Konsola internetowa ESET PROTECT > Integracje > Rynek i wykonaj poniższe kroki.
1.Na stronie Rynek znajdź zaporę Palo Alto Networks i kliknij przycisk Połącz.
2.Przejrzyj wymagania integracyjne i kliknij przycisk Rozpocznij konfigurację.
3.W sekcji Konfiguracja wymagań wstępnych sprawdź, czy wymagania te zostały zrealizowane i zaznacz pole Potwierdzam, że ukończyłem(-am) wszystkie niezbędne konfiguracje w Palo Alto. Kliknij przycisk Kontynuuj.
4.W sekcji Ustawienia ogólne wypełnij następujące pola. Następnie kliknij przycisk Kontynuuj.
•Nazwa (opcjonalna) — wpisz odrębną nazwę integracji.
•Opis (opcjonalny) — podaj opis integracji według własnych preferencji.
5.W polu IP i certyfikat wypełnij następujące pola. Następnie kliknij przycisk Kontynuuj.
•Statyczne publiczne adresy IP — podaj statyczny publiczny wyjściowy adres IP (źródłowy NAT) lub adresy (oddzielone średnikiem), których ruch wychodzący z Twojej zapory Palo Alto używa do uzyskiwania dostępu do Internetu.
•Certyfikat — prześlij publiczny certyfikat bezpiecznej komunikacji dziennika systemowego wyeksportowany z Palo Alto w formacie Base64 Encoded Certificate (PEM). Certyfikat musi być unikatowy i nie może być powiązany z żadną inną integracją Palo Alto Networks w ramach ESET.
•Urząd certyfikacji — prześlij urząd certyfikacji utworzonego publicznego certyfikatu wyeksportowanego z Palo Alto.
6.W sekcji Certyfikaty wspierające pobierz dostarczone pliki certyfikatów, zarówno Certyfikat serwera, jak i Urząd certyfikacji i zaimportuj je do Palo Alto, korzystając z instrukcji dotyczących importowania certyfikatu. Kliknij przycisk Kontynuuj.
7.W sekcji Podsumowanie przejrzyj ustawienia i kliknij przycisk Zakończ. Konfiguracja integracji może zająć do pięciu minut.
Weryfikacja integracji i rozwiązywanie problemów
Po zakończeniu konfiguracji integracji dzienniki przekierowywane z Palo Alto pojawiają się w sekcji Konsola internetowa ESET PROTECT > Wyszukiwanie zaawansowane.
Możesz sprawdzić wygenerowane dzienniki zagrożeń w sekcji Interfejs sieciowy Palo Alto > Logs > Threat. Przekierowywane są tylko wpisy dzienników zgodne z regułą polityki bezpieczeństwa, do której przypisany jest profil przekierowywania dzienników systemowych.
Dodatkowo możesz sprawdzać dzienniki, uruchamiając polecenie tail mp-log logrcvr.log w konsoli zapory Palo Alto. Jeśli polecenie zwraca komunikaty o błędach, konfiguracja może zawierać problemy. W poniższych przykładach opisano powszechne komunikaty o błędach i ich przyczyny.
Przyczyna problemu |
Zwracany komunikat |
|---|---|
Klient skonfigurował przekierowywanie dzienników z błędną Nazwą DNS i/lub błędnym Portem. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
Klient skonfigurował przekierowywanie dzienników, ale ustawił Transport na TCP SSL. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
Klient przesłał własny urząd certyfikacji i certyfikat, ale nie oznaczył certyfikatu jako Bezpieczne połączenie dziennika systemowego. |
Error: [Syslog] Connection reset. |
Klient przesłał certyfikat serwera, ale nie przesłał urzędu certyfikacji serwera. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
Klient przesłał urząd certyfikacji serwera, ale nie przesłał wymaganego certyfikatu serwera. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |