Інтеграція з брандмауером Palo Alto Networks

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

Інтеграція з брандмауером Palo Alto Networks і ESET PROTECT дає змогу збирати й нормалізувати вибрані індикатори мережевої безпеки (журнали загроз), а також показувати мережеві загрози поряд із подіями безпеки ESET. Індикатори доступні для дослідження в розширеному пошуку й співвідносяться з інцидентами.

Процедура ввімкнення інтеграції

Попередні вимоги відсутні

Перед налаштуванням інтеграції мають бути виконані такі попередні вимоги:

•Використовується Palo Alto Networks PAN-OS версії 11.1.10 або новішої. Не рекомендується використовувати старіші версії. Це може призвести до збою інтеграції або вразливостей системи безпеки.

•Брандмауер Palo Alto має бути налаштований зі статичною IP-адресою.

•Моніторинг Syslog у Palo Alto потрібно налаштувати з дотриманням наведених нижче інструкцій.

Якщо ви використовуєте Panorama, рекомендуємо налаштувати профіль сервера Syslog і переадресацію повідомлень Syslog у Panorama. Після цього зафіксуйте й розповсюдьте зміни на брандмауер Palo Alto. Зверніть увагу, що правила політики безпеки, якими керує Panorama, зазвичай мають вищий пріоритет, ніж локально налаштовані політики брандмауера.

1.Налаштуйте профіль сервера Syslog із такими значеннями в Palo Alto:

•Syslog Server: ім’я DNS сервера Syslog залежно від його регіону (eu.security-integration.eset.systems, us.security-integration.eset.systems, jpn.security-integration.eset.systems, ca.security-integration.eset.systems, de.security-integration.eset.systems)

•Transport—SSL

•Port—6514

•Format—IETF

2.Налаштуйте переадресацію Syslog для журналів Threat у Palo Alto. Обов’язково вкажіть тип журналу Threat у полі Log Forwarding Profile Match List і призначте профіль переадресації журналів правилу безпеки Security Policy, щоб увімкнути створення журналів Threat про виявлені об’єкти:

•Action Setting > Action: Allow

•Profile Setting > Profile Type — Group або Profiles; задайте відповідні типи профілів (Antivirus, Vulnerability Protection, Anti-Spyware тощо) у статусі Default замість None, щоб створювати журнали загроз.

•Log Setting > Log Forwarding: ваш профіль переадресації журналів

Правила Security Policy оцінюються послідовно, зліва направо й згори вниз. Переконайтеся, що попереднє загальніше правило не має пріоритету над створеною політикою. Докладнішу інформацію див. в статті про політику безпеки Palo Alto.

Не налаштовуйте тип журналу Traffic. Не потрібно налаштовувати переадресацію Syslog для будь-яких інших журналів, окрім Threat.

Не потрібно налаштовувати формат заголовків повідомлень Syslog.

3.Створіть сертифікат для безпечного обміну даними Syslog у Palo Alto. Експортуйте створений загальнодоступний сертифікат із наведеними нижче параметрами, а також центр сертифікації — батьківський запис створеного загальнодоступного сертифіката, позначеного як CA. Для цього дотримуйтеся інструкцій з експорту сертифіката:

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key: не встановлюйте цей прапорець.

Якщо у вас немає центру сертифікації, можна створити самопідписаний кореневий сертифікат ЦС. Під час налаштування інтеграції у вебконсолі ESET PROTECT необхідно вказати експортований загальнодоступний сертифікат і центр сертифікації.

4.Зафіксуйте зміни.

Налаштування інтеграції у вебконсолі ESET PROTECT

Щоб інсталювати й налаштувати програму інтеграції, виберіть ESET PROTECT Web Console > Інтеграції > Marketplace і дотримуйтеся наведених нижче інструкцій.

1.На сторінці Marketplace знайдіть Palo Alto Networks Firewall і клацніть Підключити.

2.Перегляньте вимоги до інтеграції й клацніть Почати налаштування.

3.У розділі Попередні налаштування перевірте, що всі вимоги виконано, і встановіть прапорець Підтверджую, що виконано всі необхідні налаштування в Palo Alto. Натисніть Продовжити.

4.У розділі Загальне налаштування заповніть наведені нижче поля. Після цього клацніть Продовжити.

•Ім’я (необов’язково): уведіть окреме ім’я інтеграції.

•Опис (необов’язково): уведіть опис інтеграції на власний розсуд.

5.У розділі IP-адреса й сертифікат заповніть наведені нижче поля. Після цього клацніть Продовжити.

•Статичні загальнодоступні IP-адреси: укажіть статичну вихідну (source NAT) загальнодоступну IP-адресу або кілька таких IP-адрес (розділених крапкою з комою), які використовуватимуться у вихідному трафіку брандмауера Palo Alto для доступу до Інтернету.

•Сертифікат: передайте загальнодоступний сертифікат для безпечного обміну даними через Syslog, експортований із Palo Alto у форматі Base64 Encoded Certificate (PEM). Сертифікат має бути унікальним і не пов’язаним з будь-якою іншою інтеграцією Palo Alto Networks у ESET.

•Центр сертифікації: передайте центр сертифікації створеного загальнодоступного сертифіката, експортованого з Palo Alto.

6.У розділі Підтримка сертифікатів завантажте надані файли сертифіката — сертифікат сервера й центр сертифікації, а потім імпортуйте їх у Palo Alto. Для цього дотримуйтеся інструкцій з імпорту сертифіката. Натисніть Продовжити.

7.У розділі Звіт перевірте параметри й клацніть Готово. Налаштування інтеграції може зайняти до п’яти хвилин.

Перевірка інтеграції та усунення неполадок

Після завершення налаштування інтеграції переадресовані журнали Palo Alto з’являються у вебконсолі ESET PROTECT в розділі Розширений пошук.

Щоб перевірити згенеровані журнали загроз, відкрийте вебінтерфейс Palo Alto і виберіть пункти Logs > Threat. Переадресовуються лише ті записи журналу, які відповідають правилу політики безпеки, якому призначено профіль переадресації журналів Syslog.

Окрім того, для перевірки журналів можна виконати команду tail mp-log logrcvr.log на консолі брандмауера Palo Alto. Якщо команда повертає повідомлення про помилки, можливо, у конфігурації є проблеми. У наведених нижче прикладах описано типові повідомлення про помилки з відповідними причинами.

Причина помилки	Повернуте повідомлення
Клієнт налаштував переадресацію журналів із неправильним ім’ям DNS і (або) неправильним портом.	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
Клієнт налаштував переадресацію журналів, але для параметра Транспорт задав значення TCP, а не SSL.	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
Клієнт передав власний центр сертифікації й сертифікат, але не позначив сертифікат поміткою Secure Syslog Connection (Безпечне з’єднання syslog).	Error: [Syslog] Connection reset.
Клієнт передав сертифікат сервера, але не передав центр сертифікації сервера.	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
Клієнт передав центр сертифікації сервера, але не передав необхідний сертифікат сервера.	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅