Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Palo Alto PAN-OS

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar los productos de seguridad de red de Palo Alto PAN-OS con Sophos Central para que envíen datos a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varios firewalls Palo Alto PAN-OS al mismo recopilador de datos.

Para ello, configure la integración de Palo Alto PAN-OS en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls Palo Alto PAN-OS para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar PAN-OS para enviar datos al recopilador de datos.

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. Vaya a Centro de análisis de amenazas > Integraciones.
  3. Haga clic en Palo Alto PAN-OS.

    Si ya ha configurado conexiones con Panorama, puede verlas aquí.

  4. En Integraciones, haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de Panorama. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Introduzca un nombre y una descripción de la integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure PAN-OS para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en estar listo.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar PAN-OS

Ahora puede configurar PAN-OS para enviar datos al recopilador de datos de Sophos en la VM.

Nota

La siguiente información se basa en PAN-OS 9.1. Las guías para otras versiones son similares, pero facilitamos enlaces equivalentes siempre que estén disponibles.

Palo Alto dispone de guías de configuración generales. Consulte Configurar el reenvío de registros.

Los pasos clave para configurar PAN-OS son:

Nota

Los registros Traffic, Threat y WildFire Submission, que son equivalentes a las alertas, se envían al recopilador de datos de Sophos en formato CEF.

Configurar un perfil de servidor de Syslog

Para configurar un perfil, que define dónde se envían las alertas, haga lo siguiente:

  1. Seleccione Dispositivo > Perfiles de servidor > Syslog.
  2. Haga clic en Añadir e introduzca un Nombre para el perfil, por ejemplo, "Recopilador de datos de Sophos".
  3. Si el firewall tiene más de un sistema virtual (vsys), seleccione la Ubicación (vsys o Shared) en la que está disponible este perfil.
  4. Haga clic en Añadir e introduzca la información necesaria sobre el recopilador de datos de Sophos:

    • Name: Nombre único para el perfil del servidor, por ejemplo, "Recopilador de datos de Sophos".
    • Servidor de Syslog: Dirección IP privada del recopilador de datos.
    • Transporte: Seleccione UDP, TCP o SSL (equivalente a TLS) para que coincida con el protocolo del recopilador de datos.
    • Puerto: El número de puerto en el que la VM escucha las alertas de Palo Alto.
    • Formato: Seleccione BSD (equivalente a RFC3164) o IETF (equivalente a RFC5424).
    • Recurso: Seleccione un valor estándar de Syslog para calcular la prioridad (PRI) de los mensajes de Syslog. Este valor no es utilizado por Sophos y se puede establecer en cualquier valor adecuado, incluido el predeterminado LOG_USER.

No pulse todavía Aceptar. Continúe con la siguiente sección.

Más recursos

Este vídeo le muestra los pasos indicados en esta sección.

Configurar el formato de los mensajes de Syslog

Aviso

Los siguientes pasos proporcionan un ejemplo de cómo formatear alertas como CEF en la versión 9.1 de Palo Alto PAN-OS. Es posible que las plantillas que se facilitan a continuación no sean adecuadas para otras versiones. Para ver las plantillas de alertas en formato CEF para versiones específicas de PAN-OS, consulte Guías de configuración del formato de evento común de Palo Alto.

Para configurar el formato de los mensajes haga lo siguiente:

  1. Seleccione la ficha Formato de registro personalizado.
  2. Seleccione Amenaza, pegue lo siguiente en el cuadro de texto Formato de registro de amenazas y haga clic en Aceptar:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Seleccione WildFire, pegue lo siguiente en el cuadro de texto Formato de registro de amenazas y haga clic en Aceptar:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. Haga clic en Aceptar para guardar el perfil del servidor.

Más recursos

Este vídeo le muestra los pasos de esta sección.

Configurar el reenvío de registros

El reenvío de registros se configura en dos pasos:

  • Configurar el firewall para reenviar los registros.
  • Activar la generación y el reenvío de registros.

Configurar el firewall para reenviar los registros

Para configurar el firewall para que reenvíe los registros, haga lo siguiente:

  1. Seleccione Objetos > Reenvío de registros y haga clic en Añadir.
  2. Introduzca un nombre para identificar el perfil, por ejemplo, "Recopilador de datos de Sophos".
  3. Para cada tipo de registro y cada nivel de gravedad o veredicto de WildFire, seleccione el perfil de servidor de Syslog creado anteriormente y haga clic en Aceptar.

Más recursos

Este vídeo le muestra los pasos de esta sección.

Para obtener más información, consulte Crear un perfil de reenvío de registros.

Configurar la generación y el reenvío de registros

Para configurar la generación y el reenvío de registros, haga lo siguiente:

Asigne el perfil de reenvío de registros a una política de seguridad para activar la generación y el reenvío de registros, de la siguiente manera:

  1. Seleccione Políticas > Seguridad y seleccione una regla de política.
  2. Seleccione la ficha Acciones y el perfil Reenvío de registros creado anteriormente.
  3. En Tipo de perfil, seleccione Perfiles o Grupos y, a continuación, seleccione los perfiles de seguridad o los perfiles de grupo necesarios para activar la generación y el reenvío de registros.
  4. Para los registros de Tráfico, seleccione una o ambas opciones Registro al inicio de la sesión y Registro al final de la sesión, y haga clic en Aceptar.

Más recursos

Este vídeo le muestra los pasos de esta sección.

Para obtener más información, consulte Asignar el perfil de reenvío de registros a reglas de política y zonas de red.

Confirmar cambios

Cuando la configuración esté completa, haga clic en Confirmar. Las alertas de PAN-OS deberían aparecer en Sophos Data Lake después de la validación.

Más información

Para obtener más información sobre la configuración de Palo Alto Panorama, consulte: