Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Palo Alto PAN-OS

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können Palo Alto PAN-OS-Netzwerksicherheitsprodukte in Sophos Central integrieren, sodass Daten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen Protokollsammler auf einer virtuellen Maschine (VM). Der Protokollsammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Palo Alto PAN-OS-Firewalls zu demselben Protokollsammler hinzufügen.

Richten Sie dazu Ihre PAN-OS-Integration in Palo Alto in Sophos Central ein, und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre andere Palo Alto Firewall so, dass Protokolle an denselben Sophos Protokollsammler gesendet werden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Damit wird eine Open Virtual Appliance (OVA)-Datei konfiguriert.
  • Stellen Sie die OVA-Datei auf Ihrem ESXi-Server bereit. Dies wird zu Ihrem Protokollsammler.
  • Konfigurieren Sie PAN-OS so, dass Daten an den Protokollsammler gesendet werden.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Bedrohungsanalyse-Center > Integrationen.
  3. Klicken Sie auf Palo Alto PAN-OS.

    Wenn Sie bereits Verbindungen zu Panorama eingerichtet haben, sehen Sie diese hier.

  4. Klicken Sie unter Integrationen auf Integration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrationsschritten konfigurieren Sie Ihre VM so, dass sie Daten von Panorama empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Geben Sie den Namen der virtuellen Appliance und eine Beschreibung der virtuellen Appliance ein.
  3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).
  4. Geben Sie die internetseitigen Netzwerk-Ports an.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

    Sie benötigen die Adresse der VM später, wenn Sie PAN-OS so konfigurieren, dass Daten an die VM gesendet werden.

  5. Wählen Sie ein Protokoll aus.

  6. Füllen Sie alle übrigen Felder im Formular aus.
  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Es kann einige Minuten dauern, bis die OVA-Datei bereit ist.

VM bereitstellen

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Verwenden Sie die OVA-Datei, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf OVA herunterladen.
  2. Wenn der Download der OVA-Datei abgeschlossen ist, stellen Sie sie auf Ihrem ESXi-Server bereit. Ein Assistent führt Sie durch den Prozess. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

PAN-OS konfigurieren

Jetzt konfigurieren Sie PAN-OS so, dass Daten an den Sophos-Protokollsammler auf der VM gesendet werden.

Hinweis

Die folgenden Informationen basieren auf PAN-OS 9.1. Die Anleitungen für andere Versionen sind ähnlich. Sofern verfügbar, stellen wir die jeweiligen Links bereit.

Es gibt allgemeine Konfigurationsanleitungen von Palo Alto. Siehe Konfigurieren der Protokollweiterleitung.

Die wichtigsten Schritte bei der Konfiguration von PAN-OS sind die Folgenden:

Hinweis

Traffic, Threat und WildFire Submission-Protokolle, die Alarme entsprechen, werden im CEF-Format an den Sophos-Protokollsammler gesendet.

Konfigurieren eines Syslog-Serverprofils

Gehen Sie wie folgt vor, um ein Profil zu konfigurieren, das definiert, wo Alarme gesendet werden:

  1. Wählen Sie Device > Server Profiles > Syslog.
  2. Klicken Sie auf Add und geben Sie einen Namen für das Profil ein, zum Beispiel „Sophos-Protokollsammler“.
  3. Wenn die Firewall über mehr als ein virtuelles System (vsys) verfügt, wählen Sie den Speicherort (vsys oder Shared) aus, an dem dieses Profil verfügbar ist.
  4. Klicken Sie auf Add und geben Sie die erforderlichen Informationen zum Sophos-Protokollsammler ein:
    • Name: Eindeutiger Name für das Serverprofil, z. B. „Sophos-Protokollsammler“.
    • Syslog-Server: Private IP-Adresse des Protokollsammlers.
    • Transport: Wählen Sie in Einklang mit dem Protokollsammler UDP, TCP oder SSL (entspricht TLS) aus.
    • Port: Die Portnummer, die die VM auf Palo Alto-Alarme abhört.
    • Format: Wählen Sie BSD (entspricht RFC3164) oder IETF (entspricht RFC5424).
    • Facility: Wählen Sie einen Syslog-Standardwert aus, um die Priorität (PRI) der Syslog-Nachricht zu berechnen. Dieser Wert wird von Sophos nicht verwendet und kann auf jeden geeigneten Wert gesetzt werden, einschließlich des Standardwerts LOG_USER.

Klicken Sie noch nicht auf OK. Fahren Sie mit dem nächsten Abschnitt fort.

Weitere Ressourcen

Dieses Video führt Sie durch die Schritte in diesem Abschnitt.

Konfigurieren des Formats der Syslog-Meldungen

Warnung

Die folgenden Schritte bieten ein Beispiel für die Formatierung von Warnungen als CEF in Palo Alto PAN-OS Version 9.1. Die unten Vorlagen sind möglicherweise nicht für andere Versionen geeignet. Für CEF-Alarm-Vorlagen für bestimmte Versionen von PAN-OS, siehe Palo Alto Common Event Format – Konfigurationshandbücher.

So konfigurieren Sie das Nachrichtenformat:

  1. Wählen Sie die Registerkarte Custom Log Format aus.
  2. Wählen Sie Threat, fügen Sie Folgendes in das Textfeld Threat Log Format ein und klicken Sie auf OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Wählen Sie Wildfire, fügen Sie Folgendes in das Textfeld Threat Log Format ein und klicken Sie auf OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. Klicken Sie auf OK, um das Serverprofil zu speichern.

Weitere Ressourcen

Dieses Video führt Sie durch die Schritte in diesem Abschnitt.

Konfigurieren der Protokollweiterleitung

Sie konfigurieren die Protokollweiterleitung in zwei Schritten:

  • Sie konfigurieren die Firewall zum Weiterleiten von Protokollen.
  • Sie lösen die Protokollerstellung und -weiterleitung aus.

Konfigurieren der Firewall zum Weiterleiten von Protokollen

Gehen Sie wie folgt vor, um die Firewall zum Weiterleiten von Protokollen zu konfigurieren:

  1. Wählen Sie Objects > Log Forwarding aus und klicken Sie auf Add.
  2. Geben Sie einen Namen ein, um das Profil zu identifizieren, zum Beispiel „Sophos-Protokollsammler“.
  3. Wählen Sie für jeden Protokolltyp und jedes Schweregrad- oder WildFire-Urteil das zuvor erstellte Syslog-Serverprofil aus und klicken Sie auf OK.

Weitere Ressourcen

Dieses Video führt Sie durch die Schritte in diesem Abschnitt.

Weitere Informationen finden Sie unter Erstellen eines Profils zur Protokollweiterleitung.

Konfigurieren der Protokollerstellung und -weiterleitung

Gehen Sie wie folgt vor, um die Protokollerstellung und -weiterleitung zu konfigurieren:

Weisen Sie das Profil für die Protokollweiterleitung einer Sicherheitsrichtlinie zu, um die Protokollerstellung und -weiterleitung wie folgt auszulösen:

  1. Wählen Sie Policies > Security und wählen Sie eine Richtlinienregel aus.
  2. Wählen Sie die Registerkarte Actions aus und wählen Sie das zuvor erstellte Profil für die Protokollweiterleitung aus.
  3. Wählen Sie unter Profile Type die Option Profiles oder Groups aus und wählen Sie dann die Sicherheitsprofile oder Gruppenprofile aus, die zum Auslösen der Protokollerstellung und -weiterleitung erforderlich sind.
  4. Wählen Sie für Traffic-Protokolle Log at Session Start oder Log At Session End oder beides aus und klicken Sie auf OK.

Weitere Ressourcen

Dieses Video führt Sie durch die Schritte in diesem Abschnitt.

Weitere Informationen finden Sie unter Zuweisen des Profils „Protokollweiterleitung“ zu Richtlinienregeln und Netzwerkzonen.

Änderungen übernehmen

Klicken Sie nach Abschluss der Konfiguration auf Commit. Ihre PAN-OS-Alarme sollten nach der Validierung im Sophos Data Lake angezeigt werden.

Mehr Informationen

Weitere Informationen zur Konfiguration von Palo Alto Panorama finden Sie unter: