Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Palo Alto PAN-OS

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar os produtos de segurança de rede Palo Alto PAN-OS ao Sophos Central para que eles enviem dados à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários firewalls Palo Alto PAN-OS ao mesmo coletor de dados.

Para isso, configure a sua integração do Palo Alto PAN-OS no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seu outro firewall Palo Alto para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure o PAN-OS para enviar dados ao coletor de dados.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Palo Alto PAN-OS.

    Se já tiver configurado as conexões ao Panorama, você as verá aqui.

  4. Em Integrações, clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do Panorama. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o PAN-OS para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o PAN-OS

Agora você configura o PAN-OS para enviar dados ao coletor de dados da Sophos na VM.

Nota

As informações a seguir são baseadas no PAN-OS 9.1. As diretrizes para outras versões são semelhantes, mas fornecemos links equivalentes sempre que disponíveis.

Há guias de configuração gerais da Palo Alto. Consulte Configure Log Forwarding.

As principais etapas para configurar o PAN-OS são as seguintes:

Nota

Os logs Traffic, Threat e WildFire Submission, que são equivalentes a alertas, são enviados ao coletor de dados da Sophos no formato CEF.

Configurar um perfil de servidor syslog

Para configurar um perfil, que define para onde os alertas são enviados, faça o seguinte:

  1. Selecione Dispositivo > Perfis de servidor > Syslog.
  2. Clique em Adicionar e digite um Nome para o perfil, por exemplo, "Coletor de dados da Sophos".
  3. Se o firewall tiver mais de um sistema virtual (vsys), selecione a Localização (vsys ou Shared) onde o perfil está disponível.
  4. Clique em Adicionar e insira as informações necessárias sobre o coletor de dados da Sophos:

    • Nome: Nome exclusivo do perfil do servidor, por exemplo, "Coletor de dados da Sophos".
    • Servidor Syslog: Endereço IP privado do coletor de dados.
    • Transporte: Selecione UDP, TCP ou SSL (equivalente a TLS) que corresponda ao protocolo do coletor de dados.
    • Porta: O número da porta em que a VM escuta os alertas da Palo Alto.
    • Formato: Selecione BSD (equivalente a RFC3164) ou IETF (equivalente a RFC5424).
    • Facility: Selecione um valor padrão de syslog para calcular a prioridade (PRI) da mensagem de syslog. Esse valor não é usado pela Sophos e pode ser definido com qualquer valor adequado, incluindo o LOG_USER padrão.

Não clique em OK ainda. Vá para a próxima seção.

Mais recursos

Este vídeo mostra as etapas apresentadas nesta seção.

Configurar o formato da mensagem de syslog

Alerta

As etapas a seguir fornecem um exemplo de formatação de alertas como CEF no Palo Alto PAN-OS versão 9.1. Os modelos fornecidos abaixo podem não ser adequados para outras versões. Para modelos de alerta do CEF para versões específicas do PAN-OS, consulte Palo Alto Common Event Format Configuration Guides.

Para configurar o formato de mensagem, siga este procedimento:

  1. Selecione a guia Custom Log Format.
  2. Selecione Threat, cole o seguinte conteúdo na caixa de texto Threat Log Format e clique em OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. Selecione Wildfire, cole o seguinte conteúdo na caixa de texto Threat Log Format e clique em OK:

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. Clique em OK para salvar o perfil do servidor.

Mais recursos

Este vídeo apresenta as etapas desta seção.

Configurar encaminhamento de log

A configuração do encaminhamento de log é feita em duas etapas:

  • Configure o firewall para encaminhar logs.
  • Dispare a geração e o encaminhamento de log.

Configurar o firewall para encaminhar logs

Para configurar o firewall para encaminhar logs, faça o seguinte:

  1. Selecione Objects > Log Forwarding e clique em Add.
  2. Digite um nome para identificar o perfil, por exemplo, "Coletor de dados da Sophos".
  3. Para cada tipo de log e cada nível de gravidade ou veredito do WildFire, selecione o perfil do servidor syslog criado anteriormente e clique em OK.

Mais recursos

Este vídeo apresenta as etapas desta seção.

Para obter mais informações, consulte Create a Log Forwarding Profile.

Configurar a geração e o encaminhamento de log

Para configurar a geração e o encaminhamento de log, faça o seguinte:

Atribua o perfil de encaminhamento de log a uma política de segurança para disparar a geração e o encaminhamento de log da seguinte forma:

  1. Selecione Policies > Security e selecione uma regra de política.
  2. Selecione a guia Actions e selecione o perfil Log Forwarding criado anteriormente.
  3. Em Profile Type, selecione Profiles ou Groups e, em seguida, selecione os perfis de segurança ou os perfis de grupo necessários para disparar a geração e o encaminhamento de log.
  4. Para o log de Traffic, selecione uma destas opções: Log at Session Start ou Log At Session End – ou selecione as duas opções – e clique em OK.

Mais recursos

Este vídeo apresenta as etapas desta seção.

Para obter mais informações, consulte Assign the Log Forwarding profile to policy rules and network zones.

Confirmar as alterações

Quando a configuração estiver concluída, clique em Commit. Seus alertas do PAN-OS devem aparecer no Sophos Data Lake após a validação.

Mais Informações

Para obter mais informações sobre como configurar o Palo Alto Panorama, consulte: