跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

集成Palo Alto PAN-OS

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Palo Alto PAN-OS 網路安全產品與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為集成設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 AWS上的集成

關鍵步驟

集成的關鍵步驟如下:

  • 新增此產品的整合。在此步驟中,您將創建設備的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 PAN-OS 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 登入 Sophos Central。
  2. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  3. 按一下 Palo Alto PAN-OS

    Palo Alto PAN-OS 頁面隨即打開。您可以在此處添加集成,並查看已添加的所有集成列表。

  4. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合設定步驟

配置設備

集成設定步驟中,您可以配置新設備或使用現有設備。

我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:

  1. 輸入整合名稱和說明。
  2. 按一下建立新類別
  3. 輸入設備的名稱和說明。

    如果您已經設定了 Sophos 設備,可以從清單中選擇它。

  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定面向網際網路的網路連接埠的 IP 設定。這將為設備設定管理接口。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 PAN-OS 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 選取一項通訊協定。目前我們僅支援 UDP

    當您設定 PAN-OS 以將資料傳送至設備時,必須設定相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 PAN-OS 以向其傳送資料時,您將需要該編號。

    設備映像可能需要幾分鐘時間才能準備就緒。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

配置 PAN-OS

現在,您可以將 PAN-OS 設定為向 VM 上的 Sophos 設備傳送資料。

注意

您可以配置多個Palo Alto pan-OS防火牆,以便通過同一設備向Sophos發送數據。完成集成後,對其他Palo Alto PAN-OS防火牆重複本節中的步驟。您不需要重複Sophos Central中的步驟。

注意

以下資訊基於 PAN-OS 9.1。其他版本的指南類似,但我們在可用的地方都提供了相同的連結。

Palo Alto 提供了一般設定指南。請參閱設定記錄轉寄

設定 PAN-OS 的主要步驟如下:

注意

TrafficThreatWildFire Submission 記錄(相當於警示)將以 CEF 格式傳送到 Sophos 設備。

設定 syslog 伺服器設定檔

若要設定定義警示傳送位置的設定檔,請執行下列動作:

  1. 選取裝置 > 伺服器設定檔 > Syslog
  2. 按一下新增並輸入設定檔的名稱,例如 "Sophos appliance"。
  3. 如果防火牆有多個虛擬系統 (vsys),請選取此設定檔可用的位置vsysShared)。
  4. Syslog 伺服器設定檔中,按一下新增
  5. 輸入伺服器設定檔的名稱
  6. 伺服器中,輸入有關 Sophos 設備的下列資訊:

    • 名稱:此伺服器的唯一名稱,例如 Sophos appliance
    • SYSLOG 伺服器:設備的 IP 位址。這必須與您在 Sophos Central 中輸入的 syslog IP 位址相同。
    • 傳輸:選取在 Sophos Central 中設定的相同傳輸通訊協定。
    • 連接埠:在 Sophos Central 中設定的連接埠號。
    • 格式:選取 BSD(相當於 RFC3164)。
    • 設施:選取 syslog 標準值以計算 syslog 訊息的優先級 (PRI)。我們不使用此值,因此建議選擇預設值 LOG_USER。

尚未按一下確定。繼續下一區段。

本影片將引導您完成 syslog 伺服器設定檔的設定。

設定 syslog 訊息格式

警告

以下步驟提供了在 Palo Alto PAN-OS 9.1 版中將警示格式化為 CEF 的範例。以下提供的範本可能不適用於其他版本。有關特定版本 PAN-OS 的 CEF 警示範本,請參閱 Palo Alto 常見事件格式設定指南

若要設定訊息格式,請執行以下動作:

  1. 選取自訂記錄格式索引標籤。
  2. 選取流量,並將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
    
  3. 選取威脅,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  4. 選取 Wildfire,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  5. 按一下確定以儲存 Syslog 伺服器設定檔

本影片將引導您完成 syslog 訊息格式的設定。

設定記錄轉寄

記錄轉寄設定分為兩個步驟:

  • 設定防火牆以轉寄記錄。
  • 觸發記錄產生和轉寄。

設定防火牆以轉寄記錄

要設定防火牆以轉寄記錄,請執行以下動作:

  1. 選取物件 > 記錄轉寄,然後按一下新增
  2. 記錄轉送設定檔中,輸入唯一的名稱,例如 Sophos appliance
  3. 按一下新增
  4. 記錄轉送設定檔匹配清單中,輸入要轉送的記錄類型的名稱。預設值為流量
  5. 選取 SYSLOG,然後選取要將記錄傳送到的伺服器。這是您新增的伺服器的名稱。請參閱設定 syslog 伺服器設定檔
  6. 按一下確定
  7. 對要新增的每個記錄類型、嚴重性級別和 WildFire 決策重複這些步驟。建議您新增以下內容。

    • 流量(預設)
    • 威脅
    • Wildfire
  8. 按一下確定

本影片將引導您完成設定防火牆以轉送記錄的過程。

設定記錄產生和轉寄

接下來,您要將記錄轉送設定檔指派給安全原則以觸發記錄產生和轉送。這將設定記錄產生和轉送。

若要執行此操作,請依照以下步驟操作。

  1. 選取原則 > 安全,然後選取要使用的原則。
  2. 安全原則規則中,選取動作
  3. 設定檔設定中,為設定檔類型選取設定檔
  4. 設定檔類型下,選擇要監視的安全設定檔。
  5. 記錄設定中,您可以選取在工作階段開始時記錄在工作階段結束時記錄。您的選擇取決於您的環境以及要轉送到 Sophos 的記錄和警示。
  6. 記錄轉送中,選取您建立的設定檔。請參閱設定記錄轉寄
  7. 按一下確定

本影片將引導您完成記錄產生和轉送的設定。

認可變更

設定完成後,按一下認可。驗證後,您的 PAN-OS 警示應顯示在 Sophos Data Lake 中。

詳細資訊

有關設定 Palo Alto Panorama 的更多資訊,請參見以下內容: