Palo Alto Networks 防火墙集成
Palo Alto Networks 防火墙和 ESET PROTECT 集成支持引入和规范化选定的网络安全指标(威胁日志),从而提供对网络相关威胁和 ESET 安全事件的可见性。指标可用于高级搜索中的调查,并与事件相关联。
如何启用集成
先决条件
设置集成前,请完成以下先决条件:
•确保您使用的是 Palo Alto Networks PAN-OS 版本 11.1.10 及更高版本。不建议使用早期版本,这可能会导致集成失败或安全漏洞。
•确保已使用静态 IP 地址配置 Palo Alto 防火墙。
•在 Palo Alto 中使用以下步骤配置 Syslog 监控。
|
如果您使用的是 Panorama,请考虑在 Panorama 中配置 Syslog 服务器配置文件并设置 Syslog 转发。然后,提交更改并将其推送到 Palo Alto 防火墙。请注意,Panorama 管理的安全策略规则通常优先于本地配置的防火墙策略。 |
1.在 Palo Alto 中使用以下值配置 Syslog 服务器配置文件:
•Syslog Server - Syslog 服务器的 DNS 名称基于 其地区:eu.security-integration.eset.systems、us.security-integration.eset.systems、jpn.security-integration.eset.systems、ca.security-integration.eset.systems、de.security-integration.eset.systems
•Transport—SSL
•Port—6514
•Format—IETF
2.在 Palo Alto 中为 Threat 日志配置 Syslog 转发。确保在 Log Forwarding Profile Match List 中指定 Threat 日志类型,并将日志转发配置文件分配给 Security Policy 规则,以启用在发现检测时生成 Threat 日志:
•Action Setting > Action - Allow
•Profile Setting > Profile Type - Group 或 Profiles;将相关配置文件类型(Antivirus、Vulnerability Protection、Anti-Spyware 等)设置为 Default 而不是 None,以生成威胁日志。
•Log Setting > Log Forwarding - 您的日志转发配置文件
|
系统将按从左到右、从上到下的顺序依次评估 Security Policy 规则。确保更早、更广泛的规则不会优先于您创建的策略。有关详细信息,请参阅 Palo Alto 安全策略文章。 |
|
请勿配置 Traffic 日志类型。无需为 Threat 以外的任何日志配置 Syslog 转发。 无需配置 Syslog 消息的标头格式。 |
3.在 Palo Alto 中创建用于安全 Syslog 通信的证书。使用导出证书说明,导出使用以下选项创建的公共证书和证书颁发机构 - 您创建的公共证书的父条目,标记为 CA:
•File Format—Base64 Encoded Certificate (PEM)
•Export Private Key - 将此复选框保持未选中状态。
如果您没有证书颁发机构,则可以创建自签名的根 CA 证书。在 ESET PROTECT Web 控制台中的集成设置期间,需要同时提供导出的公共证书和证书颁发机构。
4.提交更改。
ESET PROTECT Web 控制台中的集成设置
要安装和设置集成应用程序,请选择 ESET PROTECT Web 控制台> 集成 > 市场,然后按照以下步骤操作。
1.在市场页面,找到 Palo Alto Networks 防火墙,单击连接。
2.查看集成要求,然后单击开始设置。
3.在先决条件配置中,确认先决条件已完成,然后选中我确认我已完成 Palo Alto 中的所有必要配置复选框。单击继续。
4.在常规设置中,填写以下字段。然后,单击继续。
•名称(可选)- 为集成输入独特名称。
•描述(可选)- 输入您偏好的集成描述。
5.在 IP 和证书中,填写以下字段。然后,单击继续。
•静态公共 IP 地址 - 提供 Palo Alto 防火墙的出站流量访问 Internet 所使用的一个或多个静态公共出口(源 NAT)IP 地址(以分号分隔)。
•证书 - 上传从 Palo Alto 导出的 Base64 Encoded Certificate (PEM) 格式的公共证书以实现安全 Syslog 通信。该证书必须唯一,并且不与 ESET 中的任何其他 Palo Alto Networks 集成关联。
•证书颁发机构 - 上传从 Palo Alto 导出的已创建公共证书的证书颁发机构。
6.在支持证书中,下载提供的证书文件(服务器证书和证书颁发机构),然后使用导入证书说明将其导入 Palo Alto。单击继续。
7.在摘要中,检查您的设置,然后单击完成。完成集成设置可能最长需要 5 分钟。
集成验证和故障排除
集成设置完成后,从 Palo Alto 转发的日志将显示在 ESET PROTECT Web 控制台 > 高级搜索中。
您可以在 Palo Alto Web 界面 > Logs > Threat中查看生成的威胁日志。只会转发与分配了 Syslog 日志转发配置文件的安全策略规则匹配的日志条目。
此外,还可以通过在 Palo Alto 防火墙控制台中运行 tail mp-log logrcvr.log 命令来检查日志。如果该命令返回错误消息,则配置可能包含问题。下面的示例描述了常见的错误消息及其原因。
颁发原因 |
返回的消息 |
|---|---|
客户端使用不正确的 DNS 名称和/或不正确的端口配置了日志转发。 |
Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket. |
客户端配置了日志转发,但将传输设置为 TCP 而不是 SSL。 |
Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server> |
客户端上传了自己的证书颁发机构和证书,但未将证书标记为安全 Syslog 连接。 |
Error: [Syslog] Connection reset. |
客户端上传了服务器证书,但未上传服务器证书颁发机构。 |
Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket. |
客户端上传了服务器证书颁发机构,但未上传所需的服务器证书。 |
Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed. |