コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Palo Alto PAN-OS

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Palo Alto PAN-OS ネットワークセキュリティ製品を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。

この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

複数の Palo Alto PAN-OS ファイアウォールを同じログコレクタに追加できます。

これを行うには、Palo Alto PAN-OS 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Palo Alto ファイアウォールを設定して、この同じソフォスのログコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
  • OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
  • ログコレクタにデータを送信するように、PAN-OS を設定します。

統合の追加

統合を追加するには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. 脅威解析センタ- > 統合」を参照します。
  3. Palo Alto PAN-OS」をクリックします。

    既に Panorama への接続を設定済みの場合は、ここに表示されます。

  4. 統合」で、「統合の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合手順」が表示されます。

VM の設定

統合手順」では、Panorama からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。
  2. 仮想アプライアンス名」と「仮想アプライアンスの説明」を入力します。
  3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
  4. インターネットに接続するネットワークポートを指定します。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

    データを送信するように PAN-OS を設定する場合は、後で VM のアドレスが必要になります。

  5. プロトコル」を選択します。

  6. フォームの残りのフィールドに入力します。
  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。OVA ファイルの準備が完了するまで、数分かかることがあります。

VM の導入

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。

新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を導入します。これには、次の手順を実行します。

  1. 統合のリストの、「アクション」で「OVA のダウンロード」をクリックします。
  2. OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

PAN-OS の設定

ここで、VM 上のソフォスのログコレクタにデータを送信するように、PAN-OS を設定します。

次の情報は、PAN-OS 9.1 に基づいています。他のバージョンのガイドも似ていますが、利用可能な限り、同等のリンクが用意されています。

Palo Alto には、全般的な設定ガイドがあります。詳細は、ログ転送の設定を参照してください。

PAN-OS を設定する主な手順は、次のとおりです。

TrafficThreat および WildFire Submission ログは、警告と同等の CEF 形式で、ソフォスのログコレクタに送信されます。

syslog サーバープロファイルの設定

警告の送信先を定義するプロファイルを設定するには、次の手順を実行します。

  1. デバイス > サーバープロファイル > Syslog」を選択します。
  2. 追加」をクリック して、プロファイルの「名前」を入力します。たとえば、「ソフォスのログコレクタ」と入力します。
  3. ファイアーウォールに複数の仮想システム (vsys) がある場合は、このプロファイルが使用可能な「場所」(vsys または Shared) を選択します。
  4. 追加」をクリック し、ソフォスのログコレクタに関する必要な情報を入力します。
    • 名前: サーバープロファイルの一意の名前。たとえば、「ソフォスのログコレクタ」です。
    • Syslog サーバー: ログコレクタのプライベート IP アドレス。
    • トランスポート: ログコレクタプロトコルと一致する UDP、TCP、または SSL (TLS と同等) を選択します。
    • ポート: VM が Palo Alto 警告を待機しているポート番号です。
    • 形式: BSD (RFC3164 に相当) または IETF (RFC5424 に相当) を選択します。
    • ファシリティ: syslog メッセージのプライオリティ (PRI) を計算する syslog 標準値を選択します。この値は Sophos では使用されませんので、デフォルトの LOG_USER を含む適切な値に設定してください。

OK」はまだクリックしないでください。次のセクションに進んでください。

その他のリソース

このセクションで説明する手順は、以下の動画でも参照できます。

syslog メッセージ形式の設定

警告

次の手順では、Palo Alto PAN-OS バージョン 9.1 で CEF として警告を書式化する例を示します。以下のテンプレートは、他のバージョンには適していない場合があります。特定のバージョンの PAN-OS の CEF 警告テンプレートについては、Palo Alto 共通イベント形式設定ガイドを参照してください。

メッセージ形式を設定するには、以下の手順に従います。

  1. カスタムログ形式」タブを選択します。
  2. 脅威」を選択し、「脅威ログの形式」テキストボックスに次のテキストを貼り付けて、「OK」をクリックします。

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Wildfire」を選択し、「脅威ログの形式」テキストボックスに次のテキストを貼り付けて、「OK」をクリックします。

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. OK」をクリックして、サーバープロファイルを保存します。

その他のリソース

このセクションで説明する手順は、以下の動画でも参照できます。

ログ転送の設定

ログ転送は、次の 2つの手順で設定します。

  • ログを転送するようにファイアーウォールを設定します。
  • ログの生成と転送をトリガーします。

ログを転送するようにファイアーウォールを設定する

ログを転送するようにファイアーウォールを設定するには、次の手順を実行します。

  1. オブジェクト > ログ転送」を選択し、「追加」をクリックします。
  2. プロファイルを識別する名前を入力します。たとえば、「ソフォスのログコレクタ」と入力します。
  3. 各ログタイプと各重要度レベルまたは WildFire 判定について、前に作成した syslog サーバープロファイルを選択し、「OK」をクリックします。

その他のリソース

このセクションで説明する手順は、以下の動画でも参照できます。

詳細は、ログ転送プロファイルの作成を参照してください。

ログの生成と転送の設定

ログの生成と転送を設定するには、次の手順を実行します。

次のように、ログの生成と転送をトリガーするセキュリティポリシーにログ転送プロファイルを割り当てます。

  1. ポリシー > セキュリティ」を選択し、ポリシールールを選択します。
  2. アクション」タブを選択し、 以前に作成した「ログ転送」プロファイルを選択します。
  3. プロファイルの種類」で、「プロファイル」または「グループ」を選択してから、ログの生成と転送をトリガーするために必要なセキュリティプロファイルまたはグループプロファイルを選択します。
  4. トラフィック」ログの場合は、「セッション開始時にログ」と「セッション終了時にログ」のいずれかまたは両方を選択し、「OK」をクリックします。

その他のリソース

このセクションで説明する手順は、以下の動画でも参照できます。

詳細は、ポリシールールおよびネットワークゾーンへのログ転送プロファイルの割り当てを参照してください。

変更の確定

設定が終了したら、「確定」をクリックします。検証後、Sophos Data Lake に PAN-OS 警告が表示されます。

詳細情報

Palo Alto Panorama の設定の詳細については、次を参照してください。