Integrácia s firewallom Palo Alto Networks
Integrácia firewallu Palo Alto Networks do ESET PROTECT umožňuje prijímanie, spracovanie a normalizáciu vybraných indikátorov sieťovej bezpečnosti (protokolov o hrozbách), čím získate ucelený prehľad o hrozbách na úrovni siete aj o všetkých bezpečnostných udalostiach z riešení ESET. Indikátory je možné podrobne preskúmať v sekcii Rozšírené vyhľadávanie a sú korelované do incidentov.
Ako povoliť integráciu
Požiadavky
Pred nastavením integrácie je potrebné splniť nasledujúce podmienky:
•Uistite sa, že používate Palo Alto Networks PAN-OS vo verzii 11.1.10 a novších. Používanie starších verzií sa neodporúča a môže viesť k zlyhaniu integrácie alebo k vzniku bezpečnostných zraniteľností.
•Uistite sa, že ste firewall Palo Alto nakonfigurovali s použitím statickej IP adresy.
•Nakonfigurujte monitorovanie syslogov v Palo Alto pomocou nižšie uvedených krokov.
|
Ak používate platformu Panorama, zvážte vykonať konfiguráciu profilu Syslog servera a nastavenie preposielania syslogov na platforme Panorama. Potom zmeny potvrďte a odošlite do firewallu Palo Alto. Pravidlá bezpečnostnej politiky spravované platformou Panorama majú vo všeobecnosti prednosť pred lokálne nakonfigurovanými politikami firewallu. |
1.Nakonfigurujte profil Syslog servera s nasledujúcimi hodnotami v Palo Alto:
•Syslog Server – názov DNS vášho Syslog servera na základe jeho regiónu: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Nakonfigurujte preposielanie syslogov pre protokoly typu Threat v Palo Alto. Uistite sa, že ste špecifikovali protokoly typu Threat v zozname Log Forwarding Profile Match List a priraďte profil preposielania protokolov k pravidlu Security Policy s cieľom povoliť generovanie protokolov typu Threat v prípade zachytenia detekcie:
•Action Setting > Action – Allow
•Profile Setting > Profile Type – Group alebo Profiles; nastavte príslušné typy profilov (Antivirus, Vulnerability Protection, Anti-Spyware atď.) ako Default namiesto None na generovanie protokolov o hrozbách.
•Log Setting > Log Forwarding – váš profil preposielania protokolov
|
Pravidlá Security Policy sa vyhodnocujú postupne zľava doprava a zhora nadol. Uistite sa, že predošlé všeobecnejšie pravidlo nemá prednosť pred vytvorenou politikou. Viac informácií nájdete v článku o bezpečnostných politikách v Palo Alto. |
|
Nekonfigurujte protokoly typu Traffic. Preposielanie syslogov nie je potrebné nakonfigurovať pre žiadne iné protokoly okrem protokolov typu Threat. Nie je potrebné nastaviť ani formát hlavičky Syslog správ. |
3.Vytvorte certifikát pre zabezpečenú Syslog komunikáciu v Palo Alto. Vytvorený verejný certifikát exportujte s nasledujúcimi možnosťami a certifikačnou autoritou – nadradenou položkou vytvoreného verejného certifikátu označenou ako CA – na základe pokynov pre export certifikátu:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key – túto možnosť ponechajte neoznačenú.
Ak nemáte certifikačnú autoritu, môžete vytvoriť certifikát koreňovej certifikačnej autority s vlastným podpisom. Počas nastavovania integrácie v ESET PROTECT Web Console je potrebné poskytnúť exportovaný verejný certifikát aj certifikačnú autoritu.
4.Potvrďte zmeny.
Nastavenie integrácie v ESET PROTECT Web Console
Na inštaláciu a nastavenie integrácie prejdite do ESET PROTECT Web Console > Integrácie > Marketplace a postupujte podľa nasledujúcich krokov.
1.Na stránke Marketplace nájdite Firewall Palo Alto Networks a kliknite na Pripojiť.
2.Skontrolujte požiadavky na integráciu a kliknite na Počiatočné nastavenia.
3.V sekcii Požadované konfigurácie overte, či sú splnené všetky požiadavky, a označte možnosť Potvrdzujem, že všetky potrebné konfigurácie mám v Palo Alto dokončené. Kliknite na tlačidlo Pokračovať.
4.V sekcii Všeobecné nastavenie vyplňte nasledujúce polia. Potom kliknite na tlačidlo Pokračovať.
•Názov (nepovinné) – zadajte jedinečný názov integrácie.
•Popis (nepovinné) – napíšte popis integrácie podľa vašich preferencií.
5.V sekcii IP adresa a certifikát vyplňte nasledujúce polia. Potom kliknite na tlačidlo Pokračovať.
•Statická verejná IP adresa – uveďte verejnú statickú odchádzajúcu (SNAT) IP adresu alebo adresy (oddelené bodkočiarkou), ktoré používa odchádzajúca komunikácia vášho firewallu Palo Alto na nadviazanie spojenia s internetom.
•Certifikát – nahrajte verejný certifikát pre zabezpečenú Syslog komunikáciu exportovaný z Palo Alto vo formáte Base64 Encoded Certificate (PEM). Certifikát musí byť jedinečný a nesmie byť prepojený so žiadnou inou integráciou Palo Alto Networks so spoločnosťou ESET.
•Certifikačná autorita – nahrajte certifikačnú autoritu vytvoreného verejného certifikátu exportovaného z Palo Alto.
6.V sekcii Stiahnutie certifikátov stiahnite poskytnuté súbory certifikátov (certifikát servera aj certifikačnú autoritu) a importujte ich do Palo Alto prostredníctvom pokynov na import certifikátu. Kliknite na tlačidlo Pokračovať.
7.V sekcii Súhrn skontrolujte svoje nastavenia a kliknite na Dokončiť. Dokončenie nastavenia integrácie môže trvať do päť minút.
Overenie integrácie a riešenie problémov
Po dokončení nastavenia integrácie sa preposlané protokoly z Palo Alto zobrazia v ESET PROTECT Web Console v časti Rozšírené vyhľadávanie.
Vygenerované protokoly o hrozbách môžete skontrolovať vo webovom rozhraní Palo Alto > Logs > Threat. Preposielané sú len protokoly, ktoré zodpovedajú pravidlu bezpečnostnej politiky, ku ktorému je priradený profil preposielania syslogov.
Protokoly tiež môžete skontrolovať spustením príkazu tail mp-log logrcvr.log v konzole firewallu Palo Alto. Ak príkaz vráti chybové hlásenia, konfigurácia môže obsahovať problémy. Nasledujúce príklady opisujú bežné chybové hlásenia a ich príčiny.
Príčina problému |
Vrátená správa |
|---|---|
Klient nakonfiguroval preposielanie protokolov s nesprávnym názvom DNS a/alebo nesprávnym portom. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
Klient nakonfiguroval preposielanie protokolov, ale nastavil Prenos na TCP namiesto SSL. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
Klient nahral svoju vlastnú certifikačnú autoritu a certifikát, ale neoznačil certifikát ako zabezpečené Syslog pripojenie. |
Error: [Syslog] Connection reset. |
Klient nahral certifikát servera, ale nenahral certifikačnú autoritu servera. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
Klient nahral certifikačnú autoritu servera, ale nenahral požadovaný certifikát servera. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |