集成Palo Alto PAN-OS
要使用此功能,您必須擁有「防火牆」整合授權套件。
您可以將 Palo Alto PAN-OS 網路安全產品與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為集成設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 AWS上的集成。
關鍵步驟
集成的關鍵步驟如下:
- 新增此產品的整合。在此步驟中,您將創建設備的映像。
- 在 VM 上下載並部署映像。這將成為您的設備。
- 設定 PAN-OS 以將資料傳送到設備。
需求
設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求。
新增整合
若要新增整合,請依照以下步驟操作:
- 登入 Sophos Central。
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下 Palo Alto PAN-OS。
Palo Alto PAN-OS 頁面隨即打開。您可以在此處添加集成,並查看已添加的所有集成列表。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP。
螢幕上將顯示整合設定步驟。
配置設備
在 集成設定步驟中,您可以配置新設備或使用現有設備。
我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:
- 輸入整合名稱和說明。
- 按一下建立新類別。
-
輸入設備的名稱和說明。
如果您已經設定了 Sophos 設備,可以從清單中選擇它。
-
選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定面向網際網路的網路連接埠的 IP 設定。這將為設備設定管理接口。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
選取 Syslog IP 版本並輸入 Syslog IP 位址。
稍後設定 PAN-OS 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
選取一項通訊協定。目前我們僅支援 UDP。
當您設定 PAN-OS 以將資料傳送至設備時,必須設定相同的通訊協定。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。
在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 PAN-OS 以向其傳送資料時,您將需要該編號。
設備映像可能需要幾分鐘時間才能準備就緒。
部署設備
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
使用映像部署設備,如下所示:
- 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA。
- 映像下載完成後,請將其部署在 VM 上。請參閱部署設備。
配置 PAN-OS
現在,您可以將 PAN-OS 設定為向 VM 上的 Sophos 設備傳送資料。
注意
您可以配置多個Palo Alto pan-OS防火牆,以便通過同一設備向Sophos發送數據。完成集成後,對其他Palo Alto PAN-OS防火牆重複本節中的步驟。您不需要重複Sophos Central中的步驟。
注意
以下資訊基於 PAN-OS 9.1。其他版本的指南類似,但我們在可用的地方都提供了相同的連結。
Palo Alto 提供了一般設定指南。請參閱設定記錄轉寄。
設定 PAN-OS 的主要步驟如下:
-
設定 syslog 伺服器設定檔。這定義了警示的傳送位置。
新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。
-
設定 syslog 訊息的格式。這定義了警示的傳送格式。
- 設定記錄轉送。這定義了要傳送哪些記錄,以及觸發這些記錄的原因。
- 認可變更。這會將設定變更部署到防火牆。
注意
Traffic
、Threat
和 WildFire Submission
記錄(相當於警示)將以 CEF
格式傳送到 Sophos 設備。
設定 syslog 伺服器設定檔
若要設定定義警示傳送位置的設定檔,請執行下列動作:
- 選取裝置 > 伺服器設定檔 > Syslog。
- 按一下新增並輸入設定檔的名稱,例如 "Sophos appliance"。
- 如果防火牆有多個虛擬系統 (vsys),請選取此設定檔可用的位置(
vsys
或Shared
)。 - 在 Syslog 伺服器設定檔中,按一下新增。
- 輸入伺服器設定檔的名稱。
-
在伺服器中,輸入有關 Sophos 設備的下列資訊:
- 名稱:此伺服器的唯一名稱,例如
Sophos appliance
。 - SYSLOG 伺服器:設備的 IP 位址。這必須與您在 Sophos Central 中輸入的 syslog IP 位址相同。
- 傳輸:選取在 Sophos Central 中設定的相同傳輸通訊協定。
- 連接埠:在 Sophos Central 中設定的連接埠號。
- 格式:選取 BSD(相當於 RFC3164)。
- 設施:選取 syslog 標準值以計算 syslog 訊息的優先級 (PRI)。我們不使用此值,因此建議選擇預設值 LOG_USER。
- 名稱:此伺服器的唯一名稱,例如
尚未按一下確定。繼續下一區段。
本影片將引導您完成 syslog 伺服器設定檔的設定。
設定 syslog 訊息格式
警告
以下步驟提供了在 Palo Alto PAN-OS 9.1 版中將警示格式化為 CEF 的範例。以下提供的範本可能不適用於其他版本。有關特定版本 PAN-OS 的 CEF 警示範本,請參閱 Palo Alto 常見事件格式設定指南。
若要設定訊息格式,請執行以下動作:
- 選取自訂記錄格式索引標籤。
-
選取流量,並將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定:
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
-
選取威脅,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定:
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
-
選取 Wildfire,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定:
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
-
按一下確定以儲存 Syslog 伺服器設定檔。
本影片將引導您完成 syslog 訊息格式的設定。
設定記錄轉寄
記錄轉寄設定分為兩個步驟:
- 設定防火牆以轉寄記錄。
- 觸發記錄產生和轉寄。
設定防火牆以轉寄記錄
要設定防火牆以轉寄記錄,請執行以下動作:
- 選取物件 > 記錄轉寄,然後按一下新增。
- 在記錄轉送設定檔中,輸入唯一的名稱,例如
Sophos appliance
。 - 按一下新增。
- 在記錄轉送設定檔匹配清單中,輸入要轉送的記錄類型的名稱。預設值為流量。
- 選取 SYSLOG,然後選取要將記錄傳送到的伺服器。這是您新增的伺服器的名稱。請參閱設定 syslog 伺服器設定檔。
- 按一下確定
-
對要新增的每個記錄類型、嚴重性級別和 WildFire 決策重複這些步驟。建議您新增以下內容。
- 流量(預設)
- 威脅
- Wildfire
-
按一下確定。
本影片將引導您完成設定防火牆以轉送記錄的過程。
設定記錄產生和轉寄
接下來,您要將記錄轉送設定檔指派給安全原則以觸發記錄產生和轉送。這將設定記錄產生和轉送。
若要執行此操作,請依照以下步驟操作。
- 選取原則 > 安全,然後選取要使用的原則。
- 在安全原則規則中,選取動作。
- 在設定檔設定中,為設定檔類型選取設定檔。
- 在設定檔類型下,選擇要監視的安全設定檔。
- 在記錄設定中,您可以選取在工作階段開始時記錄和在工作階段結束時記錄。您的選擇取決於您的環境以及要轉送到 Sophos 的記錄和警示。
- 在記錄轉送中,選取您建立的設定檔。請參閱設定記錄轉寄。
- 按一下確定。
本影片將引導您完成記錄產生和轉送的設定。
認可變更
設定完成後,按一下認可。驗證後,您的 PAN-OS 警示應顯示在 Sophos Data Lake 中。
詳細資訊
有關設定 Palo Alto Panorama 的更多資訊,請參見以下內容: