Palo Alto Networks Güvenlik Duvarı entegrasyonu
Palo Alto Networks Güvenlik Duvarı ve ESET PROTECT entegrasyonu, seçilen ağ güvenlik göstergelerinin (tehdit günlükleri) alınmasını ve normalleştirilmesini sağlayarak ESET güvenlik olaylarının yanı sıra ağla ilgili tehditlere dair görünürlük sağlar. Göstergeler, Gelişmiş Arama'da incelenebilir ve Olaylar ile ilişkilendirilir.
Entegrasyon nasıl etkinleştirilir?
Ön koşullar
Entegrasyonu ayarlamadan önce aşağıdaki ön koşulları tamamlayın:
•Palo Alto Networks PAN-OS 11.1.10 ve üzeri bir sürüm kullandığınızdan emin olun. Önceki sürümlerin kullanılması önerilmez ve entegrasyon hatasına veya güvenlik açıklarına neden olabilir.
•Palo Alto Güvenlik Duvarı'nı statik bir IP adresiyle yapılandırdığınızdan emin olun.
•Aşağıdaki adımları kullanarak Palo Alto içinde Syslog izlemesini yapılandırın.
|
Panorama kullanıyorsanız Syslog sunucu profilini yapılandırmayı ve Panorama içinde Syslog iletme işlevini ayarlamayı düşünün. Ardından, değişiklikleri uygulayın ve Palo Alto Güvenlik Duvarı'na gönderin. Panorama tarafından yönetilen güvenlik ilkesi kurallarının genellikle yerel olarak yapılandırılmış güvenlik duvarı ilkelerine göre öncelikli olduğunu unutmayın. |
1.Syslog sunucu profilini Palo Alto üzerinde aşağıdaki değerlerle yapılandırın:
•Syslog Server - Syslog sunucunuzun bölgesine göre DNS adı: eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.Threat günlükleri için Syslog iletme işlevini Palo Alto içerisinde yapılandırın. Threat günlük türünü Log Forwarding Profile Match List içerisinde belirttiğinizden ve bir tespit bulunduğunda Threat günlüklerinin oluşturulmasını etkinleştirmek için günlük yönlendirme profilinizi Security Policy ilkesine atadığınızdan emin olun:
•Action Setting > Action—Allow
•Profile Setting > Profile Type - Group veya Profiles; tehdit günlükleri oluşturmak için alakalı profil türlerini (Antivirus, Vulnerability Protection, Anti-Spyware vs.) None yerine Default olarak ayarlayın.
•Log Setting > Log Forwarding - Günlük yönlendirme profiliniz
|
Security Policy kuralları, soldan sağa ve yukarıdan aşağıya doğru sırayla değerlendirilir. Daha önceki ve daha geniş bir kuralın, oluşturduğunuz ilkeden öncelikli olmadığından emin olun. Daha fazla bilgi için Palo Alto Güvenlik Politikası makalesine bakın. |
|
Traffic günlük türünü yapılandırmayın. Threat dışında herhangi bir günlük için Syslog iletme işlevini yapılandırmaya gerek yoktur. Syslog mesajlarının başlık biçimini yapılandırmaya gerek yoktur. |
3.Palo Alto içerisinde güvenli Syslog iletişimi için Sertifika oluşturun. Oluşturulan genel sertifikayı aşağıdaki seçeneklerle ve Sertifika Yetkilisi'ni (Sertifika Dışa Aktarma talimatlarını kullanarak, oluşturduğunuz genel sertifikanın CA olarak işaretlenmiş üst girişi) dışa aktarın:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key - Bu onay kutusunun işaretini kaldırılmış olarak bırakın.
Sertifika Yetkiliniz yoksa Otomatik Olarak İmzalanan Kök CA Sertifikası oluşturabilirsiniz. ESET PROTECT Web Konsolu'ndaki entegrasyon kurulumu sırasında hem dışa aktarılan genel sertifikayı hem de Sertifika Yetkilisini sağlamanız gerekir.
4.Değişiklikleri uygulayın.
ESET PROTECT Web Konsolu'nda entegrasyon ayarları
Entegrasyon uygulamasını yüklemek ve ayarlamak için ESET PROTECT Web Konsolu > Entegrasyonlar > Pazaryeri'ni seçin ve aşağıdaki adımları izleyin.
1.Pazaryeri sayfasında Palo Alto Networks Güvenlik Duvarı'nı bulun ve Bağlan'ı tıklayın.
2.Entegrasyon gereksinimlerini gözden geçirin ve Kurulumu Başlat'ı tıklayın.
3.Ön Koşul Yapılandırmaları'nda, ön koşulların tamamlandığını doğrulayın ve Palo Alto içerisinde gerekli tüm yapılandırmaları tamamladığımı onaylıyorum onay kutusunu işaretleyin. Devam'ı tıklayın.
4.Genel Ayarlar'da aşağıdaki alanları doldurun. Ardından, Devam'ı tıklayın.
•Ad (isteğe bağlı) - Entegrasyona özel bir ad yazın.
•Açıklama (isteğe bağlı) - Tercih ettiğiniz entegrasyon açıklamasını yazın.
5.IP ve Sertifika'da aşağıdaki alanları doldurun. Ardından, Devam'ı tıklayın.
•Statik Genel IP adresleri - Palo Alto Güvenlik Duvarınızın giden trafiğinin internete ulaşmak için kullandığı statik genel çıkış (kaynak NAT) IP adresini veya adreslerini (noktalı virgülle ayırarak) sağlayın.
•Sertifika - Base64 Encoded Certificate (PEM) biçiminde Palo Alto kaynağından dışa aktarılan güvenli Syslog iletişimi için genel sertifikayı yükleyin. Sertifika benzersiz olmalı ve ESET içindeki başka bir Palo Alto Networks entegrasyonuyla ilişkilendirilmemelidir.
•Sertifika Yetkilisi -Palo Alto kaynağından dışa aktarılan, oluşturulmuş genel sertifikanın Sertifika Yetkilisini yükleyin.
6.Destekleyici Sertifikalar'da, hem Sunucu Sertifikası hem de Sertifika Yetkilisi olmak üzere sağlanan sertifika dosyalarını indirin ve bunları Sertifika İçe Aktarma talimatlarını kullanarak Palo Alto hedefine aktarın. Devam'ı tıklayın.
7.Özet bölümünde ayarlarınızı gözden geçirin ve Bitir'i tıklayın. Entegrasyon kurulumunun tamamlanması beş dakika kadar sürebilir.
Entegrasyon doğrulaması ve sorun giderme
Entegrasyon kurulumu tamamlandığında Palo Alto kaynağından iletilen günlükler ESET PROTECT Web Konsolu'nun Gelişmiş Arama bölümünde görünür.
Oluşturulan Tehdit günlüklerini Palo Alto Web Arayüzü'nde Logs > Threat bölümünden kontrol edebilirsiniz. Yalnızca Syslog günlüğü iletme profilinin atandığı güvenlik ilkesi kuralıyla eşleşen günlük girişleri iletilir.
Ayrıca, Palo Alto Güvenlik Duvarı konsolunda tail mp-log logrcvr.log komutunu çalıştırarak da günlükleri denetleyebilirsiniz. Komut hata mesajı döndürürse yapılandırmada sorunlar olabilir. Aşağıdaki örneklerde sık karşılaşılan hata mesajları ve nedenleri açıklanmaktadır.
Sorunun nedeni |
Döndürülen mesaj |
|---|---|
İstemci, günlük iletme işlevini yanlış bir DNS adı ve/veya yanlış bir Bağlantı noktası ile yapılandırmıştır. |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
İstemci günlük iletme işlevini yapılandırmış, ancak Aktarımı SSL yerine TCP olarak ayarlamıştır. |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
İstemci kendi Sertifika Yetkilisini ve sertifikasını yüklemiş, ancak sertifikayı Güvenli Syslog Bağlantısı olarak işaretlememiştir. |
Error: [Syslog] Connection reset. |
İstemci sunucu sertifikasını yüklemiş, ancak sunucu Sertifika Yetkilisini yüklememiştir. |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
İstemci, sunucu Sertifika Yetkilisini yüklemiş ancak gerekli sunucu sertifikasını yüklememiştir. |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |