Aller au contenu
Découvrez comment nous prenons en charge MDR.

Palo Alto PAN-OS

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer les produits de sécurité réseau Palo Alto PAN-OS à Sophos Central pour leur permettre d’envoyer des données à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs pare-feu Palo Alto PAN-OS au même collecteur de données.

Pour ce faire, configurez votre intégration Palo Alto PAN-OS dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite votre autre pare-feu Palo Alto pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurez PAN-OS pour qu’il envoie des données au collecteur de données.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Centre d’analyse des menaces > Intégrations.
  3. Cliquez sur Palo Alto PAN-OS.

    Si vous avez déjà configuré des connexions à Panorama, vous les voyez ici.

  4. Dans Intégrations, cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données provenant de Panorama. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Saisissez le nom de domaine et sa description.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de PAN-OS.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer PAN-OS

Maintenant, vous configurez PAN-OS pour qu’il envoie des alertes au collecteur de données Sophos installé sur la machine virtuelle.

Remarque

Les informations suivantes sont basées sur PAN-OS 9.1. Les guides pour les autres versions sont similaires, mais nous fournissons des liens équivalents là où ils sont disponibles.

Palo Alto fournit des guides de configuration généraux. Voir Configurer le transfert de journaux.

Les étapes clés de la configuration de PAN-OS sont les suivantes :

Remarque

Les journaux Traffic, Threat et WildFire Submission qui correspondent aux alertes sont envoyés au collecteur de données Sophos au format CEF.

Configurer un profil de serveur Syslog

Pour configurer un profil, qui définit l’emplacement de réception des alertes, procédez de la manière suivante :

  1. Sélectionnez Appareil > Profils de serveur > Syslog.
  2. Cliquez sur Ajouter et saisissez un Nom de profil, par exemple « Collecteur de données Sophos ».
  3. Si le pare-feu comporte plusieurs systèmes virtuels (vsys), sélectionnez l’Emplacement (vsys ou Shared) où ce profil est disponible.
  4. Cliquez sur Ajouter et saisissez les informations requises sur le collecteur de données Sophos :

    • Nom : Nom unique pour le profil du serveur, par exemple « Collecteur de données Sophos ».
    • Serveur Syslog : Adresse IP privée du collecteur de données.
    • Transport : Sélectionnez le protocole UDP, TCP ou SSL (équivalent à TLS) correspondant à celui du collecteur de données.
    • Port : Le numéro de port sur lequel la machine virtuelle écoute les alertes Palo Alto.
    • Format : Sélectionnez BSD (équivalent à RFC3164) ou IETF (équivalent à RFC5424).
    • Installation : Sélectionnez une valeur Syslog standard pour calculer la priorité (PRI) du message Syslog. Cette valeur n’est pas utilisée par Sophos et peut être définie sur n’importe quelle valeur appropriée, y compris la valeur par défaut LOG_USER.

Ne cliquez pas encore sur OK. Passez ensuite à la section suivante.

Plus de ressources

Cette vidéo vous présente les étapes décrites dans cette section.

Configurer le format des messages Syslog

Avertissement

Les étapes suivantes fournissent un exemple de formatage des alertes en tant que CEF dans PAN-OS version 9.1 de Palo Alto. Les modèles fournis ci-dessous ne seront pas forcement compatibles avec d’autres versions. Pour obtenir des modèles d’alerte CEF compatibles avec des versions spécifiques de PAN-OS, consultez les Guides de configuration du format d’événement commun de Palo Alto.

Pour configurer le format du message, procédez de la manière suivante :

  1. Sélectionnez l’onglet Format de journal personnalisé.
  2. Sélectionnez Menace, collez les éléments suivants dans la boite de dialogue Format du journal des menaces, puis cliquez sur OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Sélectionnez Wildfire, collez les éléments suivants dans la boite de dialogue Format du journal des menaces, puis cliquez sur OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. Cliquez sur OK pour enregistrer le profil du serveur.

Plus de ressources

Cette vidéo vous présente les étapes de cette section.

Configurer le transfert des journaux

La configuration du transfert de journal se fait en deux étapes :

  • Configurer le pare-feu pour qu’il transfère les journaux.
  • Déclencher la génération et le transfert des journaux.

Configurer le pare-feu pour qu’il transfère les journaux

Pour configurer le pare-feu pour qu’il transfère les journaux, procédez de la manière suivante :

  1. Sélectionnez Objets > Transfert des journaux et cliquez sur Ajouter.
  2. Saisissez un nom pour identifier le profil, par exemple "Collecteur de données Sophos".
  3. Pour chaque type de journal et chaque niveau de gravité ou verdict Wildfire, sélectionnez le profil de serveur Syslog créé précédemment, puis cliquez sur OK.

Plus de ressources

Cette vidéo vous présente les étapes de cette section.

Retrouvez plus de renseignements sur Créer un profil de transfert de journal.

Configurer la génération et le transfert des journaux

Pour configurer la génération et le transfert des journaux, procédez de la manière suivante :

Assignez le profil de transfert des journaux à une stratégie de sécurité pour déclencher la génération et le transfert des journaux, de la manière suivante :

  1. Sélectionnez Stratégies > Sécurité et sélectionnez une règle de stratégie.
  2. Sélectionnez l’onglet Actions et sélectionnez le profil Transfert des journaux créé précédemment.
  3. Dans Type de profil, sélectionnez Profils ou Groupes, puis sélectionnez les profils de sécurité ou les profils de groupe requis pour déclencher la génération et le transfert de journaux.
  4. Pour les journaux de Trafic, sélectionnez l’un ou les deux journaux de Début de session et de Fin de session, puis cliquez sur OK.

Plus de ressources

Cette vidéo vous présente les étapes de cette section.

Retrouvez plus de renseignements sur Assigner le profil de transfert des journaux aux règles de stratégie et aux zones réseau.

Valider les modifications

Une fois l’installation terminée, cliquez sur Terminer. Vos alertes PAN-OS devraient apparaître dans Sophos Data Lake après validation.

Plus d’informations

Retrouvez plus de renseignements sur la configuration de Palo Alto Panorama sur