跳至內容
查找我們如何支持MDR

Palo Alto PAN-OS

記錄收集器

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Palo Alto PAN-OS 網路安全產品與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 Palo Alto PAN-OS 防火牆新增到同一個設備中。

為此,請在 Sophos Central 中設定 Palo Alto PAN-OS 整合,然後設定一個防火牆以向其傳送記錄。然後設定其他 Palo Alto 防火牆,將記錄傳送到同一 Sophos 設備。

您不需要重複設定的 Sophos Central 部分。

主要步驟描述如下:

  • 設定此產品的整合。這將設定要在 VM 上使用的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 PAN-OS 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

設定整合

要設定整合,請執行以下動作:

  1. 登入 Sophos Central。
  2. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  3. 按一下 Palo Alto PAN-OS

    Palo Alto PAN-OS 頁面隨即打開。您可以在此處設定整合並查看已設定的所有整合清單。

  4. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合設定步驟

設定 VM

整合設定步驟中,您可以將 VM 設定為設備以從 Panorama 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 輸入整合名稱和說明。
  2. 輸入設備的名稱和說明。

    如果您已經設定了 Sophos 設備,可以從清單中選擇它。

  3. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  4. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  5. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 PAN-OS 以向設備傳送資料時,您將需要該 syslog IP 位址。

  6. 選取一項通訊協定。目前我們僅支援 UDP

    當您設定 PAN-OS 以將資料傳送至設備時,必須設定相同的通訊協定。

  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 PAN-OS 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署虛擬機

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用 VM 映像部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署 VM 進行整合

配置 PAN-OS

現在,您可以將 PAN-OS 設定為向 VM 上的 Sophos 設備傳送資料。

注意

以下資訊基於 PAN-OS 9.1。其他版本的指南類似,但我們在可用的地方都提供了相同的連結。

Palo Alto 提供了一般設定指南。請參閱設定記錄轉寄

設定 PAN-OS 的主要步驟如下:

注意

TrafficThreatWildFire Submission 記錄(相當於警示)將以 CEF 格式傳送到 Sophos 設備。

設定 syslog 伺服器設定檔

若要設定定義警示傳送位置的設定檔,請執行下列動作:

  1. 選取裝置 > 伺服器設定檔 > Syslog
  2. 按一下新增並輸入設定檔的名稱,例如 "Sophos appliance"。
  3. 如果防火牆有多個虛擬系統 (vsys),請選取此設定檔可用的位置vsysShared)。
  4. Syslog 伺服器設定檔中,按一下新增
  5. 輸入伺服器設定檔的名稱
  6. 伺服器中,輸入有關 Sophos 設備的下列資訊:

    • 名稱:此伺服器的唯一名稱,例如 Sophos appliance
    • SYSLOG 伺服器:設備的 IP 位址。這必須與您在 Sophos Central 中輸入的 syslog IP 位址相同。
    • 傳輸:選取在 Sophos Central 中設定的相同傳輸通訊協定。
    • 連接埠:在 Sophos Central 中設定的連接埠號。
    • 格式:選取 BSD(相當於 RFC3164)。
    • 設施:選取 syslog 標準值以計算 syslog 訊息的優先級 (PRI)。我們不使用此值,因此建議選擇預設值 LOG_USER。

尚未按一下確定。繼續下一區段。

本影片將引導您完成 syslog 伺服器設定檔的設定。

設定 syslog 訊息格式

警告

以下步驟提供了在 Palo Alto PAN-OS 9.1 版中將警示格式化為 CEF 的範例。以下提供的範本可能不適用於其他版本。有關特定版本 PAN-OS 的 CEF 警示範本,請參閱 Palo Alto 常見事件格式設定指南

若要設定訊息格式,請執行以下動作:

  1. 選取自訂記錄格式索引標籤。
  2. 選取流量,並將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
    
  3. 選取威脅,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$threatid|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid fileId=$pcap_id PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSURLCatList=$url_category_list PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanDynamicUsrgrp=$dynusergroup_name
    
  4. 選取 Wildfire,將以下內容貼到威脅記錄格式文字方塊中,然後按一下確定

    CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|$number-of-severity|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction PanOSActionFlags=$actionflags externalId=$seqno cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest fileType=$filetype suid=$sender msg=$subject duid=$recipient oldFileId=$reportid PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSThreatCategory=$thr_category PanOSContentVer=$contentver PanOSAssocID=$assoc_id PanOSPPID=$ppid PanOSHTTPHeader=$http_headers PanOSRuleUUID=$rule_uuid
    
  5. 按一下確定以儲存 Syslog 伺服器設定檔

本影片將引導您完成 syslog 訊息格式的設定。

設定記錄轉寄

記錄轉寄設定分為兩個步驟:

  • 設定防火牆以轉寄記錄。
  • 觸發記錄產生和轉寄。

設定防火牆以轉寄記錄

要設定防火牆以轉寄記錄,請執行以下動作:

  1. 選取物件 > 記錄轉寄,然後按一下新增
  2. 記錄轉送設定檔中,輸入唯一的名稱,例如 Sophos appliance
  3. 按一下新增
  4. 記錄轉送設定檔匹配清單中,輸入要轉送的記錄類型的名稱。預設值為流量
  5. 選取 SYSLOG,然後選取要將記錄傳送到的伺服器。這是您新增的伺服器的名稱。請參閱設定 syslog 伺服器設定檔
  6. 按一下確定
  7. 對要新增的每個記錄類型、嚴重性級別和 WildFire 決策重複這些步驟。建議您新增以下內容。

    • 流量(預設)
    • 威脅
    • Wildfire
  8. 按一下確定

本影片將引導您完成設定防火牆以轉送記錄的過程。

設定記錄產生和轉寄

接下來,您要將記錄轉送設定檔指派給安全原則以觸發記錄產生和轉送。這將設定記錄產生和轉送。

若要執行此操作,請依照以下步驟操作。

  1. 選取原則 > 安全,然後選取要使用的原則。
  2. 安全原則規則中,選取動作
  3. 設定檔設定中,為設定檔類型選取設定檔
  4. 設定檔類型下,選擇要監視的安全設定檔。
  5. 記錄設定中,您可以選取在工作階段開始時記錄在工作階段結束時記錄。您的選擇取決於您的環境以及要轉送到 Sophos 的記錄和警示。
  6. 記錄轉送中,選取您建立的設定檔。請參閱設定記錄轉寄
  7. 按一下確定

本影片將引導您完成記錄產生和轉送的設定。

認可變更

設定完成後,按一下認可。驗證後,您的 PAN-OS 警示應顯示在 Sophos Data Lake 中。

更多資訊

有關設定 Palo Alto Panorama 的更多資訊,請參見以下內容: