コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Palo Alto PAN-OS

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Palo Alto PAN-OS ネットワークセキュリティ製品を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

複数の Palo Alto PAN-OS ファイアウォールを同じアプライアンスに追加できます。

これを行うには、Palo Alto PAN-OS 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の Palo Alto ファイアウォールを設定して、この同じソフォスのアプライアンスにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

主なステップは次のとおりです。

  • この製品の統合を設定します。これにより、VM で使用するイメージが設定されます。
  • イメージをダウンロードして VM に展開します。これがアプライアンスになります。
  • アプライアンスにデータを送信するように、PAN-OS を設定します。

要件

アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の設定

統合を設定するには、以下の手順に従います。

  1. Sophos Central にサインインします。
  2. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
  3. Palo Alto PAN-OS」をクリックします。

    Palo Alto PAN-OS」ページが開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。

  4. データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合のセットアップ手順」が表示されます。

VM の設定

統合のセットアップ手順」で は、Panorama からデータを受信するように VM をアプライアンスとして設定します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。
  2. アプライアンスの名前と説明を入力します。

    ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。

  4. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  5. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをアプライアンスに送信するように PAN-OS を設定する際に必要になります。

  6. プロトコル」を選択します。現在、UDP のみに対応しています)。

    アプライアンスにデータを送信するように PAN-OS を設定する場合は、これと同じプロトコルを設定する必要があります。

  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように PAN-OS を設定する際に必要になります。

    VM イメージの準備が完了するまで、数分かかることがあります。

VM の展開

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

VM ファイルを使用して VM を導入します。これには、次の手順を実行します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。

PAN-OS の設定

ここで、VM 上のソフォスのアプライアンスにデータを送信するように、PAN-OS を設定します。

次の情報は、PAN-OS 9.1 に基づいています。他のバージョンのガイドも似ていますが、利用可能な限り、同等のリンクが用意されています。

Palo Alto には、全般的な設定ガイドがあります。詳細は、ログ転送の設定を参照してください。

PAN-OS を設定する主な手順は、次のとおりです。

TrafficThreat および WildFire Submission ログは、警告と同等の CEF 形式で、ソフォスのアプライアンスに送信されます。

syslog サーバープロファイルの設定

警告の送信先を定義するプロファイルを設定するには、次の手順を実行します。

  1. デバイス > サーバープロファイル > Syslog」を選択します。
  2. 追加」をクリックして、プロファイルの「名前」を入力します。たとえば、「ソフォスのアプライアンス」と入力します。
  3. ファイアウォールに複数の仮想システム (vsys) がある場合は、このプロファイルが使用可能な「場所」(vsys または Shared) を選択します。
  4. Syslog サーバープロファイル」で、「追加」をクリックします。
  5. サーバープロファイルの「名前」を入力します。
  6. サーバー」で、ソフォスのアプライアンスに関する次の情報を入力します。

    • 名前: たとえば Sophos appliance など、このサーバの一意の名前。
    • Syslog サーバー: アプライアンスの IP アドレス。これは、Sophos Central で入力した Syslog IP アドレスと同じである必要があります。
    • トランスポート: Sophos Central で設定したものと同じトランスポートプロトコルを選択します。
    • ポート: Sophos Central4 で設定したポート番号。
    • 形式: BSD (RFC3164 と同等) を選択します。
    • ファシリティ: syslog メッセージのプライオリティ (PRI) を計算する syslog 標準値を選択します。この値は使用されないため、デフォルトの LOG_USER を選択することを推奨します。

OK」はまだクリックしないでください。次のセクションに進んでください。

Syslog サーバープロファイルの設定については、以下のビデオを参照してください。

syslog メッセージ形式の設定

警告

次の手順では、Palo Alto PAN-OS バージョン 9.1 で CEF として警告を書式化する例を示します。以下のテンプレートは、他のバージョンには適していない場合があります。特定のバージョンの PAN-OS の CEF 警告テンプレートについては、Palo Alto 共通イベント形式設定ガイドを参照してください。

メッセージ形式を設定するには、以下の手順に従います。

  1. カスタムログ形式」タブを選択します。
  2. トラフィック」を選択し、「脅威ログの形式」テキストボックスに次の内容を貼り付けて、「OK」をクリックします。

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
    
  3. 脅威」を選択し、「脅威ログの形式」テキストボックスに次のテキストを貼り付けて、「OK」をクリックします。

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  4. Wildfire」を選択し、「脅威ログの形式」テキストボックスに次のテキストを貼り付けて、「OK」をクリックします。

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  5. OK」をクリックして、「Syslog サーバープロファイル」を保存します。

Syslog メッセージ形式の設定については、以下のビデオを参照してください。

ログ転送の設定

ログ転送は、次の 2つの手順で設定します。

  • ログを転送するようにファイアウォールを設定します。
  • ログの生成と転送をトリガーします。

ログを転送するようにファイアウォールを設定する

ログを転送するようにファイアウォールを設定するには、次の手順を実行します。

  1. オブジェクト > ログ転送」を選択し、「追加」をクリックします。
  2. ログ転送プロファイル」に、Sophos appliance など、一意の名前を入力します。
  3. 追加」をクリックします。
  4. ログ転送プロファイル一致リスト」に、転送する「ログタイプ」の名前を入力します。デフォルトは「トラフィック」です。
  5. SYSLOG」を選択し、ログの送信先サーバーを選択します。これは、追加したサーバーの名前です。詳細は、syslog サーバープロファイルの設定を参照してください。
  6. OK」をクリックします。
  7. 追加するログタイプ、重要度レベル、および Wildfile 判定ごとに、これらの手順を繰り返します。次の項目を追加することを推奨します。

    • トラフィック (デフォルト)
    • 脅威
    • Wildfire
  8. OK」をクリックします。

ログを転送するためのファイアウォールの設定については、以下のビデオを参照してください。

ログの生成と転送の設定

次に、ログの生成と転送をトリガーするセキュリティポリシーにログ転送プロファイルを割り当てます。これによって、ログの生成と転送が設定されます。

これには、次の手順を実行します。

  1. ポリシー > セキュリティ」を選択し、使用するポリシーを選択します。
  2. セキュリティポリシールール]で、「アクション」を選択します。
  3. プロファイル設定」の「プロファイルの種類」で、「プロファイル」を選択します。
  4. プロファイルの種類」の下で、監視するセキュリティプロファイルを選択します。
  5. ログ設定」で、「セッション開始時にログ」と「セッション終了時にログ」を選択できます。使用している環境およびソフォスに転送するログと警告によって、選択する項目は異なります。
  6. ログ転送」で、作成したプロファイルを選択します。詳細は、ログ転送の設定を参照してください。
  7. OK」をクリックします。

ログの生成と転送の設定については、以下のビデオを参照してください。

変更の確定

設定が終了したら、「確定」をクリックします。検証後、Sophos Data Lake に PAN-OS 警告が表示されます。

詳細情報

Palo Alto Panorama の設定の詳細については、次を参照してください。