Palo Alto Networks 防火牆整合

Palo Alto Networks 防火牆和 ESET PROTECT 整合能夠擷取和規範化選定的網路安全性指示器 (威脅防護記錄)，進而提供對網路相關威脅以及 ESET 安全性事件的可見性。進階搜尋中提供可供調查的指示器，而這些指示器與 [事件] 相關聯。

如何啟用整合

先決條件

在設定整合之前，請先完成以下先決條件：

•確保您使用的是 Palo Alto Networks PAN-OS 版本 11.1.10 和更新版本。不建議使用舊版本，可能導致整合失敗或安全性弱點。

•確保您已設定 Palo Alto 防火牆的靜態 IP 位址。

•依以下步驟在 Palo Alto 中設定 Syslog 監控。

如果您正在使用 Panorama，請考慮設定系統日誌伺服器設定檔並在 Panorama 中設定系統日誌轉送。接著，確認並推送變更到 Palo Alto 防火牆。請注意，由 Panorama 管理的安全性原則規則通常優先於本機設定的防火牆原則。

1.在 Palo Alto 中將系統日誌伺服器設定檔設定為以下數值：

•Syslog Server—根據區域的系統日誌伺服器 DNS 名稱：eu.security-integration.eset.systems、us.security-integration.eset.systems、jpn.security-integration.eset.systems、ca.security-integration.eset.systems、de.security-integration.eset.systems

•Transport—SSL

•Port—6514

•Format—IETF

2.針對 Palo Alto 中的 Threat 設定系統日誌轉送。請確保您在 Log Forwarding Profile Match List 中指定 Threat 防護記錄類型，並將防護記錄轉送設定檔指派到 Security Policy 規則中，以啟用找到偵測時所產生的 Threat 防護記錄：

•Action Setting > Action—Allow

•Profile Setting > Profile Type—Group 或 Profiles；將相關的設定檔類型 (Antivirus, Vulnerability Protection、Anti-Spyware 等) 設定為 Default，而非 None，以產生威脅防護記錄。

•Log Setting > Log Forwarding—您的防護記錄轉送設定檔

Security Policy 規則依序由左至右、從上到下進行評估。確保先前定義且範圍更廣泛的規則不會凌駕於您所建立的原則之上。如需詳細資訊，請參閱 Palo Alto 安全性原則文章。

不要設定 Traffic 防護記錄類型。除了 Threat 之外，無需設定任何防護記錄的系統日誌轉送。

無需設定系統日誌訊息的標頭格式。

3.在 Palo Alto 中建立安全系統日誌通訊憑證。匯出已建立的公用憑證，並使用以下選項及憑證授權單位—您所建立公開憑證的上層項目標記為 CA，並使用匯出憑證指示：

•File Format—Base64 Encoded Certificate (PEM)

•Export Private Key—保持此核取方塊取消勾選。

如果您沒有憑證授權單位，可以建立自我簽署根 CA 憑證。在 ESET PROTECT Web 主控台的整合設定中，您需要同時提供匯出的公用憑證和憑證授權單位。

4.確認修改。

Web 主控台中的 ESET PROTECT 整合設定

若要安裝並設定整合應用程式，請選取 ESET PROTECT Web 主控台 > 整合 > [市集]，並依照以下步驟操作。

1.在 [市集] 頁面，找到 Palo Alto Networks 防火牆並按一下 [市集]。

2.檢視整合需求並按一下 [開始設定]。

3.在 [前置配置] 中，確認先決條件是否已完成，並在 Palo Alto 核取方塊中勾選 [我確認我已完成所有必要配置]。按一下 [繼續]。

4.在 [一般設定] 中，填寫以下欄位。然後，按一下 [繼續]。

•名稱 (選用)—輸入一個整合的獨立名稱。

•說明 (選用)—輸入您偏好的整合說明。

5.在 [IP 與憑證] 中，填寫以下欄位。然後，按一下 [繼續]。

•靜態公用 IP 位址—提供 Palo Alto 防火牆對外流量用來連接網際網路的公用靜態出口 (來源 NAT) IP 位址 (以分號分隔)。

•憑證—上傳公開憑證以安全匯出 Palo Alto 系統日誌通訊，使用 Base64 Encoded Certificate (PEM) 格式。該憑證必須是唯一，且不得與 ESET 內的其他 Palo Alto Networks 整合關聯。

•憑證授權單位—上傳從 Palo Alto 匯出的公用憑證的憑證授權單位。

6.在 [支援憑證] 中，下載提供的憑證檔案，包含 [伺服器憑證] 與 [憑證授權單位]，並依照匯入憑證說明匯入 Palo Alto。按一下 [繼續]。

7.在 [摘要] 中，檢視您的設定並按一下 [完成]。完成整合設定可能需要長達五分鐘。

整合驗證與疑難排解

整合設定完成後，從 Palo Alto 轉送的防護記錄會顯示在 ESET PROTECT Web 主控台 > 進階搜尋中。

您可以在 Palo Alto 網頁介面 > Logs > Threat 中查看產生的威脅防護記錄。只有與系統日誌防護記錄轉送設定檔所指派的安全性原則規則相符的防護記錄項目才會轉送。

此外，您也可以在 Palo Alto 防火牆主控台執行該 tail mp-log logrcvr.log 命令來查看防護記錄。如果命令傳回錯誤訊息，表示設定可能存在問題。以下範例說明常見錯誤訊息及其起因。

問題起因	傳回訊息
用戶端設定了錯誤的 [DNS 名稱] 和/或錯誤的 [連接埠]。	Info: [Syslog] Triggered offline log purger for system log type. Error: [COMM] Cannot connect. remote ip=<IP Address> port=<Port> err=Connection timed out(110) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Server connect] Failed to connect to ip address: <IP Address>. Timing out. Error: [Socket init] Failed to initialize socket.
用戶端設定了防護記錄轉送，但將 [傳輸] 設定為 TCP 而非 SSL。	Error: [Syslog] TCP send failure, socket is broken errno (32) Info: Created new cache socket:1024 for <Server>
用戶端上傳了自己的憑證授權單位和憑證，但並未將該憑證標記為 [安全 Syslog 連線]。	Error: [Syslog] Connection reset.
用戶端上傳了伺服器憑證，但沒有上傳伺服器憑證授權單位。	Error: [secure_conn] Verification of server certificate was unsuccessful: unable to get local issuer certificate. Error: [SSL_connect] Error during SSL connection. Info: Server IPv4 address: <IP Address> Info: Successfully resolved FQDN IP (<IP Address>) Info: Client starting. addr=<IP Address> port=6515 Error: [COMM] Cannot connect. remote ip=<IP Address> port=6515 err=Connection refused(111) Info: Connecting to remote address <IP Address> @ fd -1 Error: [Server connect] Failed to connect to server: <IP Address> Error: [Socket init] Failed to initialize socket.
用戶端上傳了伺服器憑證授權單位，但未上傳所需的伺服器憑證。	Error: [Certificate verification] Verification of the client certificate against the authorized list failed. Error: [Peer identity check] Failed to verify the peer identity for server IP: <IP Address>. Connection rejected. Error: [X509 validation] Validation of IP address from X509 certificate failed.

˄˅