Palo Alto PAN-OS
要使用此功能,您必須擁有「防火牆」整合授權套件。
您可以將 Palo Alto PAN-OS 網路安全產品與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們合稱為資料收集器。資料收集器接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
注意
您可以將多個 Palo Alto PAN-OS 防火牆新增到同一個資料收集器中。
為此,請在 Sophos Central 中設定 Palo Alto PAN-OS 整合,然後設定一個防火牆以向其傳送記錄。然後設定其他 Palo Alto 防火牆,將記錄傳送到同一 Sophos 資料收集器。
您不需要重複設定的 Sophos Central 部分。
新增整合的主要步驟如下:
- 新增此產品的整合。這將設定開放式虛擬設備 (OVA) 檔案。
- 將 OVA 檔案部署至 ESXi 伺服器。這會成為您的資料收集器。
- 設定 PAN-OS 以將資料傳送到資料收集器。
新增整合
若要新增整合,請依照以下步驟操作:
- 登入至 Sophos Central。
- 移至威脅分析中心 > 整合。
-
按一下 Palo Alto PAN-OS。
如果您已設定與 Panorama 的連線,您可以在這裡看到這些連線。
-
在整合中,按一下新增。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP。
螢幕上將顯示整合步驟。
設定 VM
在整合設定步驟中,您可以設定 VM 以從 Panorama 接收資料。您可以使用現有的 VM,也可以建立新的 VM。
要設定 VM,請執行以下動作:
- 輸入整合名稱和說明。
-
輸入資料收集器的名稱和說明。
如果您已經設定資料收集器整合,可以從清單中選擇。
-
選取虛擬平台。(目前我們僅支援 VMware)。
-
指定面向網際網路的網路連接埠。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
稍後設定 PAN-OS 以向其傳送資料時,您將需要 VM 的位址。
-
-
選取一項通訊協定。
- 填寫表單上的所有剩餘欄位。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。OVA 檔案可能需要幾分鐘的時間才能準備就緒。
部署虛擬機
限制
OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。部署之後,將無法再使用。
如果必須部署新的 VM,則必須再次執行所有步驟,將此整合連結到 Sophos Central。
使用 OVA 檔案部署 VM。若要執行此操作,請依照以下步驟操作。
- 在整合清單的動作中,按一下下載 OVA。
- OVA 檔案下載完成後,請將其部署在 ESXi 伺服器上。助理將引導您完成所有步驟。請參閱部署 VM 進行整合。
部署 VM 後,整合將顯示為已連線。
配置 PAN-OS
現在,您可以將 PAN-OS 設定為向 VM 上的 Sophos 資料收集器傳送資料。
注意
以下資訊基於 PAN-OS 9.1。其他版本的指南類似,但我們在可用的地方都提供了相同的連結。
Palo Alto 提供了一般設定指南。請參閱設定記錄轉寄。
設定 PAN-OS 的主要步驟如下:
- 設定 syslog 伺服器設定檔。這定義了警示的傳送位置。
- 設定 syslog 訊息的格式。這定義了警示的傳送格式。
- 設定記錄轉寄。這定義了要傳送哪些記錄,以及觸發這些記錄的原因。
- 認可變更。這會將設定變更部署到防火牆。
注意
Traffic
、Threat
和 WildFire Submission
記錄(相當於警示)將以 CEF
格式傳送到 Sophos 資料收集器。
設定 syslog 伺服器設定檔
若要設定定義警示傳送位置的設定檔,請執行下列動作:
- 選取裝置 > 伺服器設定檔 > Syslog。
- 按一下新增並輸入設定檔的名稱,例如 "Sophos data collector"。
- 如果防火牆有多個虛擬系統 (vsys),請選取此設定檔可用的位置(
vsys
或Shared
)。 -
按一下新增並輸入有關 Sophos 資料收集器的必填資訊:
- 名稱:伺服器設定檔的唯一名稱,例如 "Sophos data collector"。
- Syslog 伺服器:資料收集器的專用 IP 位址。
- 傳輸:選取 UDP、TCP 或 SSL(相當於 TLS)以匹配資料收集器通訊協定。
- 連接埠:VM 正在偵聽 Palo Alto 警示的連接埠號碼。
- 格式:選取 BSD(相當於 RFC3164)或 IETF(相當於 RFC5424)。
- 設施:選取 syslog 標準值以計算 syslog 訊息的優先級 (PRI)。Sophos 不使用此值,並且可以設定為任何合適的值,包括預設的 LOG_USER。
尚未按一下確定。繼續下一區段。
更多資源
本影片將引導您完成本節所述的步驟。
設定 syslog 訊息格式
則警告
以下步驟提供了在 Palo Alto PAN-OS 9.1 版中將警示格式化為 CEF 的範例。以下提供的範本可能不適用於其他版本。有關特定版本 PAN-OS 的 CEF 警示範本,請參閱 Palo Alto 常見事件格式設定指南。
若要設定訊息格式,請執行以下動作:
- 選取自訂記錄格式索引標籤。
-
選取威脅,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定:
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
-
選取 Wildfire,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定:
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
-
按一下確定來儲存伺服器設定檔。
更多資源
本影片將引導您完成本節中的步驟。
設定記錄轉寄
記錄轉寄設定分為兩個步驟:
- 設定防火牆以轉寄記錄。
- 觸發記錄產生和轉寄。
設定防火牆以轉寄記錄
要設定防火牆以轉寄記錄,請執行以下動作:
- 選取物件 > 記錄轉寄,然後按一下新增。
- 輸入用於標識設定檔的名稱,例如 "Sophos data collector"。
- 對於每個記錄類型以及每個嚴重性級別或 Wildfire 決策,選取以前建立的 syslog 伺服器設定檔,然後按一下確定。
更多資源
本影片將引導您完成本節中的步驟。
有關更多資訊,請參見建立記錄轉寄設定檔。
設定記錄產生和轉寄
要設定記錄產生和轉寄,請執行以下動作:
將記錄轉寄設定檔指派給安全原則以觸發記錄產生和轉寄,如下所示:
- 選取原則 > 安全性,然後選取原則規則。
- 選取動作索引標籤,然後選取先前建立的記錄轉寄設定檔。
- 在設定檔類型中,選取設定檔或群組,然後選取觸發記錄產生和轉寄所需的安全設定檔或群組設定檔。
- 對於流量記錄,請選取在工作階段開始時記錄和在工作階段結束時記錄之一或兩者,然後按一下確定。
更多資源
本影片將引導您完成本節中的步驟。
有關更多資訊,請參見將記錄轉寄設定檔指派至原則規則和網路區域。
認可變更
設定完成後,按一下認可。驗證後,您的 PAN-OS 警示應顯示在 Sophos Data Lake 中。
更多資訊
有關設定 Palo Alto Panorama 的更多資訊,請參見以下內容: