Integração de firewall Palo Alto Networks
O Palo Alto Networks Firewall e a integração ESET PROTECT permitem a ingestão e a normalização de indicadores de segurança de rede selecionados (relatórios de ameaças), fornecendo visibilidade às ameaças relacionadas à rede juntamente com os eventos de segurança ESET. Os indicadores estão disponíveis para investigação na Pesquisa avançada e são correlacionados em Incidentes.
Como habilitar a integração
Pré-requisitos
Antes de configurar a integração, conclua os seguintes pré-requisitos:
•Certifique-se de estar usando o Palo Alto Networks PAN-OS versão 11.1.10 e versões posteriores. O uso de versões anteriores não é recomendado e pode resultar em falha de integração ou vulnerabilidades de segurança.
•Certifique-se de ter configurado o Firewall Palo Alto com um endereço IP estático.
•Configure o monitoramento do Syslog no Palo Alto usando as etapas abaixo.
|
Se você estiver usando o Panorama, considere configurar o perfil do servidor Syslog e configurar o encaminhamento Syslog no Panorama. Em seguida, confirme e envie as alterações para o Firewall Palo Alto. Observe que as regras de política de segurança gerenciadas pelo Panorama geralmente têm precedência sobre as políticas de firewall configuradas localmente. |
1.Configure o perfil do servidor Syslog com os seguintes valores em Palo Alto:
•Syslog Server – o nome DNS do seu servidor Syslog com base em sua região: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Configure o encaminhamento de syslog para os relatórios Threat no Palo Alto. Certifique-se de especificar o tipo de relatório Threat no Log Forwarding Profile Match List e atribuir seu perfil de encaminhamento de relatório à regra Security Policy para permitir a geração de relatórios Threat quando uma detecção for encontrada:
•Action Setting > Action – Allow
•Profile Setting > Profile Type—Group ou Profiles; defina os tipos de perfil relevantes (Antivirus, Vulnerability Protection, Anti-Spyware, etc.) como Default em vez de None para gerar relatórios de ameaças.
•Log Setting > Log Forwarding – seu perfil de encaminhamento de relatórios
|
As regras Security Policy são avaliadas sequencialmente, da esquerda para a direita e de cima para baixo. Certifique-se de que uma regra anterior e mais ampla não tenha precedência sobre a política criada. Para obter mais informações, consulte o artigo da Política de segurança Palo Alto. |
|
Não configure o tipo de relatório Traffic. Não há necessidade de configurar o encaminhamento do Syslog para nenhum relatório que não seja do Threat. Não há necessidade de configurar o formato de cabeçalho das mensagens Syslog. |
3.Criar o certificado para comunicação segura Syslog no Palo Alto. Exporte o certificado público criado com as opções a seguir e com a Autoridade de certificação – a entrada principal do certificado público criado marcada como CA, usando as instruções Exportar um certificado:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key – mantenha esta caixa de seleção desmarcada.
Se você não tiver a Autoridade de certificação, poderá criar um Certificado CA raiz autoassinado. Você precisa fornecer o certificado público exportado e a Autoridade de certificação durante a configuração da integração no Web Console ESET PROTECT.
4.Confirme as alterações.
Configuração de integração no Web Console ESET PROTECT
Para instalar e configurar o aplicativo de integração, selecione o Web Console ESET PROTECT > Integrações > Marketplace e siga as etapas abaixo.
1.Na página Marketplace, localize Palo Alto Networks Firewall e clique em Conectar.
2.Revise os requisitos de integração e clique em Iniciar configuração.
3.Em Configurações de pré-requisito, verifique se os pré-requisitos foram concluídos e marque a caixa de seleção Confirmo que concluí todas as configurações necessárias no Palo Alto. Clique em Continuar.
4.Em Configuração geral, preencha os campos a seguir. Em seguida, clique em Continuar.
•Nome (opcional) – digite um nome distinto de integração.
•Descrição (opcional) – digite uma descrição de integração de sua preferência.
5.Em IP e certificado, preencha os campos a seguir. Em seguida, clique em Continuar.
•Endereços IP públicos estáticos – forneça o endereço IP ou endereços IP de saída pública estáticos (NAT de origem) (separados por ponto e vírgula) que o tráfego de saída do Firewall Palo Alto usa para acessar a Internet.
•Certificado – carregue o certificado público para comunicação Syslog segura exportada do Palo Alto no formato Base64 Encoded Certificate (PEM). O certificado deve ser exclusivo e não estar associado a nenhuma outra integração do Palo Alto Networks no ESET.
•Autoridade de certificação – carregue a autoridade de certificação do certificado público criado exportado do Palo Alto.
6.Em Certificados de suporte, baixe os arquivos de certificado fornecidos, tanto o Certificado do servidor quanto a Autoridade de certificação, e importe-os para o Palo Alto usando as instruções Importar um Certificado. Clique em Continuar.
7.Em Resumo, revise suas configurações e clique em Concluir. Pode levar até cinco minutos para concluir a configuração da integração.
Verificação de integração e solução de problemas
Quando a configuração da integração estiver concluída, os relatórios encaminhados do ESET PROTECT aparecerão no Web Console Palo Alto > Pesquisa avançada.
Você pode verificar os relatórios de ameaças gerados na Interface da Web Palo Alto > Logs > Threat. Somente as entradas de relatório que correspondem à regra de política de segurança à qual o Perfil de encaminhamento de relatório do Syslog está atribuído são encaminhadas.
Além disso, você pode verificar os relatórios executando o comando tail mp-log logrcvr.log no console do Firewall Palo Alto. Se o comando retornar mensagens de erro, a configuração pode ter problemas. Os exemplos a seguir descrevem mensagens de erro comuns e suas causas.
Causa do problema |
Mensagem exibida |
|---|---|
O cliente configurou o encaminhamento de relatório com um Nome DNS incorreto e/ou uma Porta incorreta. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
O cliente configurou o encaminhamento de relatórios, mas definiu o Transporte como TCP em vez de SSL. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
O cliente enviou sua própria Autoridade de Certificação e certificado, mas não marcou o certificado como uma Conexão Syslog Segura. |
Error: [Syslog] Connection reset. |
O cliente enviou o certificado do servidor, mas não enviou a Autoridade de certificação do servidor. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
O cliente enviou a Autoridade de certificação do servidor, mas não enviou o certificado de servidor necessário. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |