Интеграция файервола Palo Alto Networks
Интеграция файервола Palo Alto Networks и решения ESET PROTECT позволяет принимать и нормализовать выбранные индикаторы сетевой безопасности (журналы угроз), обеспечивая доступность данных об угрозах, связанных с сетью, а также о событиях безопасности ESET. Индикаторы доступны для изучения в разделе Расширенный поиск и сопоставляются с инцидентами.
Включение интеграции
Необходимые условия
Перед настройкой интеграции должны соблюдаться следующие необходимые условия.
•Убедитесь, что используется Palo Alto Networks PAN-OS версии 11.1.10 или более поздней. Использовать более ранние версии не рекомендуется, так как это может привести к невозможности интеграции или к появлению уязвимостей в системе безопасности.
•Убедитесь, что для файервола Palo Alto настроен статический IP-адрес.
•Настройте мониторинг системного журнала в Palo Alto, выполнив указанные ниже действия.
|
Если вы используете Panorama, рекомендуем настроить профиль сервера системного журнала и пересылку системного журнала в Panorama. Затем зафиксируйте и отправьте изменения в файервол Palo Alto. Обратите внимание, что правила политики безопасности, управление которыми выполняется в Panorama, обычно имеют приоритет над локально настроенными политиками файервола. |
1.Настройте профиль сервера системного журнала в Palo Alto, указав следующие значения:
•Syslog Server — DNS-имя сервера системного журнала в зависимости от региона: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Настройте пересылку системного журнала для журналов Threat в Palo Alto. Укажите тип журнала Threat в Log Forwarding Profile Match List и назначьте профиль пересылки журнала правилу Security Policy, чтобы включить создание журналов Threat при выявлении обнаружения:
•Action Setting > Action — Allow;
•Profile Setting > Profile Type — Group или Profiles. Задайте для соответствующих типов профилей (Antivirus, Vulnerability Protection, Anti-Spyware и т. д.) значение Default вместо None для создания журналов угроз.
•Log Setting > Log Forwarding — ваш профиль пересылки журнала.
|
Правила Security Policy оцениваются последовательно — слева направо и сверху вниз. Убедитесь, что предыдущее более широкое правило не имеет приоритета над создаваемой политикой. Дополнительные сведения см. в статье Политика безопасности Palo Alto. |
|
Не настраивайте тип журнала Traffic. Нет необходимости настраивать пересылку системного журнала для каких-либо других журналов, кроме журнала Threat. Нет необходимости настраивать формат заголовка для сообщений системного журнала. |
3.Создайте сертификат для безопасного обмена данными системного журнала в Palo Alto. Экспортируйте созданный открытый сертификат со следующими опциями и центром сертификации (родительская запись созданного открытого сертификата должна иметь пометку CA), следуя инструкциям по экспорту сертификата:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key — этот флажок должен быть снят.
Если у вас нет центра сертификации, можно создать самозаверяющий сертификат корневого ЦС. Во время настройки интеграции в веб-консоли ESET PROTECT необходимо предоставить экспортированный открытый сертификат и центр сертификации.
4.Зафиксируйте изменения.
Настройка интеграции в веб-консоли ESET PROTECT
Чтобы установить и настроить приложение интеграции, выберите веб-консоль ESET PROTECT > Интеграции > Marketplace и выполните указанные ниже действия.
1.На странице Marketplace найдите файервол Palo Alto Networks и щелкните Подключить.
2.Ознакомьтесь с требованиями к интеграции и щелкните Начать настройку.
3.В разделе Предварительно необходимые конфигурации убедитесь, что необходимые условия выполнены, и установите флажок Я подтверждаю, что мною выполнены все необходимые настройки в Palo Alto. Нажмите кнопку Продолжить.
4.В разделе Общая настройка заполните указанные ниже поля. Затем щелкните Продолжить.
•Имя (необязательно) — введите уникальное имя интеграции.
•Описание (необязательно) — введите описание интеграции по своему усмотрению.
5.В разделе IP-адрес и сертификат заполните указанные ниже поля. Затем щелкните Продолжить.
•Статические общедоступные IP-адреса — укажите общедоступные статические исходящие IP-адреса (преобразование сетевых адресов источника) или адреса (разделенные точкой с запятой), которые используются исходящим трафиком файервола Palo Alto для выхода в Интернет.
•Сертификат — для безопасного обмена данными системного журнала выгрузите открытый сертификат, экспортированный из Palo Alto в формате Base64 Encoded Certificate (PEM). Сертификат должен быть уникальным и не должен быть связан с какой-либо другой интеграцией Palo Alto Networks в рамках инфраструктуры ESET.
•Центр сертификации — выгрузите центр сертификации созданного открытого сертификата, экспортированный из Palo Alto.
6.В разделе Вспомогательные сертификаты загрузите предоставленные файлы сертификата (как сертификат сервера, так и центр сертификации) и импортируйте их в Palo Alto в соответствии с инструкциями по импорту сертификата. Нажмите кнопку Продолжить.
7.В разделе Сводка проверьте настройки и щелкните Готово. Настройка интеграции может занять до пяти минут.
Проверка интеграции и устранение неполадок
После завершения настройки интеграции журналы, пересланные из Palo Alto, будут отображаться в веб-консоли ESET PROTECT в разделе расширенного поиска.
Проверить сгенерированные журналы угроз можно в веб-интерфейсе Palo Alto > Logs > Threat. Пересылаются только записи журнала, соответствующие правилу политики безопасности, которому назначен профиль пересылки системного журнала.
Кроме того, вы можете проверить журналы, выполнив команду tail mp-log logrcvr.log в консоли файервола Palo Alto. Если команда возвращает сообщения об ошибках, в конфигурации могут быть проблемы. В следующих примерах описываются распространенные сообщения об ошибках и их причины.
Причина проблемы |
Возвращаемое сообщение |
|---|---|
Клиент настроил пересылку журналов, указав неправильное DNS-имя и/или неправильный порт. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
Клиент настроил пересылку журналов, но указал для параметра Транспорт значение TCP вместо SSL. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
Клиент выгрузил собственные центр сертификации и сертификат, но не пометил сертификат как безопасное соединение системного журнала. |
Error: [Syslog] Connection reset. |
Клиент выгрузил сертификат сервера, но не выгрузил центр сертификации сервера. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
Клиент выгрузил центр сертификации сервера, но не выгрузил необходимый сертификат сервера. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |