Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Palo Alto PAN-OS

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar los productos de seguridad de red de Palo Alto PAN-OS con Sophos Central para que envíen datos a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varios firewalls Palo Alto PAN-OS al mismo dispositivo.

Para ello, configure la integración de Palo Alto PAN-OS en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls Palo Alto PAN-OS para enviar registros al mismo dispositivo de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Estos son los pasos clave:

  • Configurar una integración para este producto. Esto configura una imagen para usarla en una VM.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar PAN-OS para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Configurar una integración

Para configurar la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  3. Haga clic en Palo Alto PAN-OS.

    Se abre la página Palo Alto PAN-OS. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.

  4. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de configuración de la integración.

Configurar la VM

En Pasos de configuración de la integración, configure su VM como dispositivo para recibir los datos de Panorama. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Introduzca un nombre y una descripción de la integración.
  2. Introduzca un nombre y una descripción para el dispositivo.

    Si ya ha configurado un dispositivo de Sophos, puede elegirlo de una lista.

  3. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  4. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de gestión para la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  5. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure PAN-OS para que envíe datos a su dispositivo.

  6. Seleccione un Protocolo. Actualmente, solo admitimos UDP.

    Cuando configure PAN-OS para enviar datos a su dispositivo, debe definir el mismo protocolo.

  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure PAN-OS para que le envíe datos.

    La imagen de VM puede tardar unos minutos en estar lista.

Implementar la VM

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen de VM para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar una VM para integraciones.

Configurar PAN-OS

Ahora puede configurar PAN-OS para enviar datos al dispositivo de Sophos en la VM.

Nota

La siguiente información se basa en PAN-OS 9.1. Las guías para otras versiones son similares, pero facilitamos enlaces equivalentes siempre que estén disponibles.

Palo Alto dispone de guías de configuración generales. Consulte Configurar el reenvío de registros.

Los pasos clave para configurar PAN-OS son:

Nota

Los registros Traffic, Threat y WildFire Submission, que son equivalentes a las alertas, se envían al dispositivo de Sophos en formato CEF.

Configurar un perfil de servidor de Syslog

Para configurar un perfil, que define dónde se envían las alertas, haga lo siguiente:

  1. Seleccione Dispositivo > Perfiles de servidor > Syslog.
  2. Haga clic en Añadir e introduzca un Nombre para el perfil, por ejemplo, "Dispositivo de Sophos".
  3. Si el firewall tiene más de un sistema virtual (vsys), seleccione la Ubicación (vsys o Shared) en la que está disponible este perfil.
  4. En Perfil de servidor de Syslog, haga clic en Añadir.
  5. Introduzca un Nombre para el perfil de servidor.
  6. En Servidores, introduzca la siguiente información sobre su dispositivo de Sophos:

    • NOMBRE: Un nombre único para ese servidor, por ejemplo Sophos appliance.
    • SERVIDOR DE SYSLOG: Dirección IP del dispositivo. Debe coincidir con la dirección IP de Syslog que introdujo en Sophos Central.
    • TRANSPORTE: Seleccione el mismo protocolo de transporte definido en Sophos Central.
    • PUERTO: El número de puerto que ha establecido en Sophos Central.
    • FORMATO: Seleccione BSD (equivalente a RFC3164).
    • RECURSO: Seleccione un valor estándar de Syslog para calcular la prioridad (PRI) de los mensajes de Syslog. No utilizamos este valor, por lo que recomendamos elegir el valor LOG_USER por defecto.

No pulse todavía Aceptar. Continúe con la siguiente sección.

Este vídeo muestra cómo configurar un perfil de servidor de Syslog.

Configurar el formato de los mensajes de Syslog

Aviso

Los siguientes pasos proporcionan un ejemplo de cómo formatear alertas como CEF en la versión 9.1 de Palo Alto PAN-OS. Es posible que las plantillas que se facilitan a continuación no sean adecuadas para otras versiones. Para ver las plantillas de alertas en formato CEF para versiones específicas de PAN-OS, consulte Guías de configuración del formato de evento común de Palo Alto.

Para configurar el formato de los mensajes haga lo siguiente:

  1. Seleccione la ficha Formato de registro personalizado.
  2. Seleccione Tráfico y pegue lo siguiente en el cuadro de texto Formato de registro de amenazas y haga clic en Aceptar:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
    
  3. Seleccione Amenaza, pegue lo siguiente en el cuadro de texto Formato de registro de amenazas y haga clic en Aceptar:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  4. Seleccione WildFire, pegue lo siguiente en el cuadro de texto Formato de registro de amenazas y haga clic en Aceptar:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  5. Haga clic en Aceptar para guardar el Perfil de servidor de Syslog.

Este vídeo muestra cómo configurar el formato de los mensajes de Syslog.

Configurar el reenvío de registros

El reenvío de registros se configura en dos pasos:

  • Configurar el firewall para reenviar los registros.
  • Activar la generación y el reenvío de registros.

Configurar el firewall para reenviar los registros

Para configurar el firewall para que reenvíe los registros, haga lo siguiente:

  1. Seleccione Objetos > Reenvío de registros y haga clic en Añadir.
  2. En Perfil de reenvío de registros, introduzca un nombre único, por ejemplo Sophos appliance.
  3. Haga clic en Añadir.
  4. En Lista de coincidencias de perfiles de reenvío de registros, introduzca un nombre para el Tipo de registro que desea reenviar. El valor predeterminado es Tráfico.
  5. Seleccione SYSLOG y, a continuación, seleccione el servidor al que desea enviar el registro. Este es el nombre del servidor que ha añadido. Consulte Configurar un perfil de servidor de Syslog.
  6. Haga clic en Aceptar.
  7. Repita estos pasos para cada tipo de registro, nivel de gravedad y veredicto de WildFire que desee añadir. Le recomendamos que añada lo siguiente.

    • Tráfico (predeterminado)
    • Amenaza
    • Wildfire
  8. Haga clic en Aceptar.

Este vídeo muestra cómo configurar el firewall para que reenvíe los registros.

Configurar la generación y el reenvío de registros

A continuación, asigne el perfil de reenvío de registros a una política de seguridad para activar la generación y el reenvío de registros. Esto configura la generación y el reenvío de registros.

Para ello, haga lo siguiente:

  1. Seleccione Políticas > Seguridad y seleccione la política que desea utilizar.
  2. En Regla de política de seguridad, seleccione Acciones.
  3. En Configuración del perfil, para Tipo de perfil, seleccione Perfiles.
  4. En Tipo de Perfil, seleccione los perfiles de seguridad que desea supervisar.
  5. En Configuración del registro, puede seleccionar Registro al inicio de la sesión y Registro al final de la sesión. Su elección depende de su entorno y de los registros y alertas que desea reenviar a Sophos.
  6. En Reenvío de registros, seleccione el perfil que ha creado. Consulte Configurar el reenvío de registros.
  7. Haga clic en Aceptar.

Este vídeo muestra cómo configurar la generación y el reenvío de registros.

Confirmar cambios

Cuando la configuración esté completa, haga clic en Confirmar. Las alertas de PAN-OS deberían aparecer en Sophos Data Lake después de la validación.

Más información

Para obtener más información sobre la configuración de Palo Alto Panorama, consulte: