Vai al contenuto
Il supporto che offriamo per MDR.

Palo Alto PAN-OS

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

I prodotti di protezione della rete di Palo Alto PAN-OS possono essere integrati con Sophos Central per l’invio dei dati a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più firewall Palo Alto PAN-OS sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione Palo Alto PAN-OS in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri firewall Palo Alto per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta dati.
  • Configurare PAN-OS in modo che invii dati all’agente di raccolta dati.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Palo Alto PAN-OS.

    Se sono già state configurate connessioni a Panorama, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da Panorama. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).

  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di PAN-OS per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di PAN-OS

A questo punto, occorre configurare PAN-OS in modo che invii dati all’agente di raccolta dati Sophos sulla VM.

Nota

Le seguenti informazioni si basano su PAN-OS 9.1. Le guide per le altre versioni sono simili, ma forniamo comunque link equivalenti laddove possibile.

Sono disponibili guide di configurazione generali di Palo Alto. Vedere Configurazione dell’inoltro dei log.

I principali passaggi per la configurazione di PAN-OS sono i seguenti:

Nota

I log Traffic, Threat e WildFire Submission, che equivalgono agli avvisi, vengono inviati all’agente di raccolta dati Sophos in formato CEF.

Configurazione di un profilo server syslog

Per configurare un profilo che specifica dove devono essere inviati gli avvisi, procedere come segue:

  1. Selezionare Device (Dispositivo) > Server Profiles (Profili server) > Syslog.
  2. Cliccare su Add (Aggiungi) e immettere un Name (Nome) per il profilo, ad esempio “Agente di raccolta dati Sophos”.
  3. Se il firewall ha più sistemi virtuali (vsys), selezionare Location (Posizione, che può essere vsys o Shared) dove è disponibile il profilo.
  4. Cliccare su Add e immettere le informazioni dell’agente di raccolta dati Sophos richieste:

    • Nome: nome univoco del profilo server, ad esempio “Agente di raccolta dati Sophos”.
    • Server Syslog: indirizzo IP privato dell’agente di raccolta dati.
    • Transport: selezionare UDP, TCP o SSL (equivalente a TLS), in modo che rifletta il protocollo dell’agente di raccolta dati.
    • Porta: il numero di porta su cui la VM è in ascolto per ricevere gli avvisi di Palo Alto.
    • Format: selezionare BSD (equivalente a RFC3164) o IETF (equivalente a RFC5424).
    • Facility: selezionare un valore syslog standard per calcolare la priorità (PRI) del messaggio syslog. Questo valore non viene utilizzato da Sophos e può essere impostato su qualsiasi valore adatto, incluso il valore predefinito LOG_USER.

Evitare di cliccare su OK per il momento. Procedere alla sezione successiva.

Ulteriori risorse

Questo video mostra le fasi descritte in questa sezione.

Configurazione del formato del messaggio syslog

Avviso

La procedura descritta di seguito offre un esempio di come assegnare agli avvisi il formato CEF in Palo Alto PAN-OS versione 9.1. I modelli forniti di seguito potrebbero non essere compatibili con altre versioni. Per modelli di avvisi in formato CEF per versioni specifiche di PAN-OS, vedere le Guide alla configurazione con Common Event Format di Palo Alto.

Per configurare il formato del messaggio, procedere come segue:

  1. Selezionare la scheda Custom Log Format (Formato log personalizzato).
  2. Selezionare Threat (Minaccia), incollare il testo seguente nella casella di testo Threat Log Format (Formato log minacce) e cliccare su OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Selezionare WildFire, incollare il testo seguente nella casella di testo Threat Log Format (Formato log minacce) e cliccare su OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. Cliccare su OK per salvare il profilo server.

Ulteriori risorse

Questo video mostra le fasi descritte in questa sezione.

Configurazione dell’inoltro dei log

Per configurare l’inoltro dei log, occorre svolgere questi due passaggi:

  • Configurare il firewall per l’inoltro dei log.
  • Attivare la generazione e l’inoltro dei log.

Configurazione del firewall per l’inoltro dei log

Per configurare il firewall in modo che inoltri i log, procedere come segue:

  1. Selezionare Objects (Oggetti) > Log Forwarding (Inoltro dei log) e cliccare su Add (Aggiungi).
  2. Immettere un nome per identificare il profilo, ad esempio “Agente di raccolta dati Sophos”.
  3. Per ogni tipo di log e ogni livello di gravità o verdetto di WildFire, selezionare il profilo server syslog creato in precedenza e cliccare su OK.

Ulteriori risorse

Questo video mostra le fasi descritte in questa sezione.

Per maggiori informazioni, vedere Creazione di un profilo di inoltro dei log.

Configurazione della generazione e dell’inoltro dei log

Per configurare la generazione e l’inoltro dei log, procedere come segue:

Assegnare il profilo di inoltro dei log a un criterio di protezione per attivare la generazione e l’inoltro dei log; per farlo, procedere come segue:

  1. Selezionare Policies (Criteri) > Security (Sicurezza) e selezionare una regola dei criteri.
  2. Selezionare la scheda Actions (Azioni) e successivamente il profilo di Log Forwarding (Inoltro dei log) creato in precedenza.
  3. In Profile Type (Tipo di profilo), selezionare Profiles (Profili) o Groups (Gruppi), e successivamente i profili di sicurezza o i profili di gruppo necessari per attivare la generazione e l’inoltro dei log.
  4. Per i log Traffic (Traffico), selezionare una o entrambe le opzioni Log at Session Start (Registra nel log a inizio sessione) e Log At Session End (Registra nel log a fine sessione), e cliccare su OK.

Ulteriori risorse

Questo video mostra le fasi descritte in questa sezione.

Per ulteriori informazioni, vedere Assegnazione del profilo di inoltro dei log a regole dei criteri e aree rete.

Conferma delle modifiche

Una volta completata l’installazione, cliccare su Commit (Conferma). Gli avvisi di PAN-OS dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Maggiori informazioni

Per maggiori informazioni sulla configurazione di Palo Alto Panorama, visitare queste pagine: