跳至內容
查找我們如何支持MDR

Palo Alto PAN-OS

記錄收集器

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Palo Alto PAN-OS 網路安全產品與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們合稱為資料收集器。資料收集器接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 Palo Alto PAN-OS 防火牆新增到同一個資料收集器中。

為此,請在 Sophos Central 中設定 Palo Alto PAN-OS 整合,然後設定一個防火牆以向其傳送記錄。然後設定其他 Palo Alto 防火牆,將記錄傳送到同一 Sophos 資料收集器。

您不需要重複設定的 Sophos Central 部分。

新增整合的主要步驟如下:

  • 新增此產品的整合。這將設定開放式虛擬設備 (OVA) 檔案。
  • 將 OVA 檔案部署至 ESXi 伺服器。這會成為您的資料收集器。
  • 設定 PAN-OS 以將資料傳送到資料收集器。

新增整合

若要新增整合,請依照以下步驟操作:

  1. 登入至 Sophos Central。
  2. 移至威脅分析中心 > 整合
  3. 按一下 Palo Alto PAN-OS

    如果您已設定與 Panorama 的連線,您可以在這裡看到這些連線。

  4. 整合中,按一下新增

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合步驟

設定 VM

整合設定步驟中,您可以設定 VM 以從 Panorama 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 輸入整合名稱和說明。
  2. 輸入資料收集器的名稱和說明。

    如果您已經設定資料收集器整合,可以從清單中選擇。

  3. 選取虛擬平台。(目前我們僅支援 VMware)。

  4. 指定面向網際網路的網路連接埠。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

    稍後設定 PAN-OS 以向其傳送資料時,您將需要 VM 的位址。

  5. 選取一項通訊協定

  6. 填寫表單上的所有剩餘欄位。
  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。OVA 檔案可能需要幾分鐘的時間才能準備就緒。

部署虛擬機

限制

OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。部署之後,將無法再使用。

如果必須部署新的 VM,則必須再次執行所有步驟,將此整合連結到 Sophos Central。

使用 OVA 檔案部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下下載 OVA
  2. OVA 檔案下載完成後,請將其部署在 ESXi 伺服器上。助理將引導您完成所有步驟。請參閱部署 VM 進行整合

部署 VM 後,整合將顯示為已連線

配置 PAN-OS

現在,您可以將 PAN-OS 設定為向 VM 上的 Sophos 資料收集器傳送資料。

注意

以下資訊基於 PAN-OS 9.1。其他版本的指南類似,但我們在可用的地方都提供了相同的連結。

Palo Alto 提供了一般設定指南。請參閱設定記錄轉寄

設定 PAN-OS 的主要步驟如下:

注意

TrafficThreatWildFire Submission 記錄(相當於警示)將以 CEF 格式傳送到 Sophos 資料收集器。

設定 syslog 伺服器設定檔

若要設定定義警示傳送位置的設定檔,請執行下列動作:

  1. 選取裝置 > 伺服器設定檔 > Syslog
  2. 按一下新增並輸入設定檔的名稱,例如 "Sophos data collector"。
  3. 如果防火牆有多個虛擬系統 (vsys),請選取此設定檔可用的位置vsysShared)。
  4. 按一下新增並輸入有關 Sophos 資料收集器的必填資訊:

    • 名稱:伺服器設定檔的唯一名稱,例如 "Sophos data collector"。
    • Syslog 伺服器:資料收集器的專用 IP 位址。
    • 傳輸:選取 UDP、TCP 或 SSL(相當於 TLS)以匹配資料收集器通訊協定。
    • 連接埠:VM 正在偵聽 Palo Alto 警示的連接埠號碼。
    • 格式:選取 BSD(相當於 RFC3164)或 IETF(相當於 RFC5424)。
    • 設施:選取 syslog 標準值以計算 syslog 訊息的優先級 (PRI)。Sophos 不使用此值,並且可以設定為任何合適的值,包括預設的 LOG_USER。

尚未按一下確定。繼續下一區段。

更多資源

本影片將引導您完成本節所述的步驟。

設定 syslog 訊息格式

則警告

以下步驟提供了在 Palo Alto PAN-OS 9.1 版中將警示格式化為 CEF 的範例。以下提供的範本可能不適用於其他版本。有關特定版本 PAN-OS 的 CEF 警示範本,請參閱 Palo Alto 常見事件格式設定指南

若要設定訊息格式,請執行以下動作:

  1. 選取自訂記錄格式索引標籤。
  2. 選取威脅,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  3. 選取 Wildfire,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  4. 按一下確定來儲存伺服器設定檔。

更多資源

本影片將引導您完成本節中的步驟。

設定記錄轉寄

記錄轉寄設定分為兩個步驟:

  • 設定防火牆以轉寄記錄。
  • 觸發記錄產生和轉寄。

設定防火牆以轉寄記錄

要設定防火牆以轉寄記錄,請執行以下動作:

  1. 選取物件 > 記錄轉寄,然後按一下新增
  2. 輸入用於標識設定檔的名稱,例如 "Sophos data collector"。
  3. 對於每個記錄類型以及每個嚴重性級別或 Wildfire 決策,選取以前建立的 syslog 伺服器設定檔,然後按一下確定

更多資源

本影片將引導您完成本節中的步驟。

有關更多資訊,請參見建立記錄轉寄設定檔

設定記錄產生和轉寄

要設定記錄產生和轉寄,請執行以下動作:

將記錄轉寄設定檔指派給安全原則以觸發記錄產生和轉寄,如下所示:

  1. 選取原則 > 安全性,然後選取原則規則。
  2. 選取動作索引標籤,然後選取先前建立的記錄轉寄設定檔。
  3. 設定檔類型中,選取設定檔群組,然後選取觸發記錄產生和轉寄所需的安全設定檔或群組設定檔。
  4. 對於流量記錄,請選取在工作階段開始時記錄在工作階段結束時記錄之一或兩者,然後按一下確定

更多資源

本影片將引導您完成本節中的步驟。

有關更多資訊,請參見將記錄轉寄設定檔指派至原則規則和網路區域

認可變更

設定完成後,按一下認可。驗證後,您的 PAN-OS 警示應顯示在 Sophos Data Lake 中。

更多資訊

有關設定 Palo Alto Panorama 的更多資訊,請參見以下內容: