Recoger registros de cortafuegos de Palo Alto Networks

En este documento se explica cómo ingerir registros de firewall de Palo Alto Networks en Google Security Operations mediante Bindplane.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host Linux con systemd
• Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos según los requisitos del agente BindPlane.
• Acceso con privilegios a la consola de gestión o al dispositivo del cortafuegos de Palo Alto Networks
• Cortafuegos de Palo Alto Networks (todas las versiones admiten syslog estándar; para los formatos personalizados CEF/LEEF, se recomienda PAN-OS 8.0.3 o versiones posteriores)

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre un terminal con privilegios de superusuario o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'PAN_FIREWALL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Sustituye <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar el reenvío de syslog en el cortafuegos de Palo Alto Networks

Crear un perfil de servidor syslog

1. Inicia sesión en la consola de gestión de firewall de Palo Alto Networks.
2. Ve a Dispositivo > Perfiles de servidor > Syslog.
3. Haz clic en Añadir para crear un perfil de servidor.
4. Proporcione los siguientes detalles de configuración:
   • Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps BindPlane).
   • Ubicación: selecciona el sistema virtual (vsys) o Compartido donde estará disponible este perfil.
5. Haz clic en Servidores > Añadir para configurar el servidor syslog.
6. Proporcione los siguientes detalles de configuración del servidor:
   • Nombre: introduce un nombre descriptivo para el servidor (por ejemplo, BindPlane Agent).
   • Servidor Syslog: introduce la dirección IP del agente de BindPlane.
   • Transporte: selecciona UDP o TCP, según la configuración de tu agente BindPlane (UDP es el valor predeterminado).
   • Puerto: introduce el número de puerto del agente de BindPlane (por ejemplo, 514).
   • Formato: selecciona BSD (opción predeterminada) o IETF, según tus necesidades.
   • Facility: selecciona LOG_USER (valor predeterminado) u otro valor si es necesario.
7. Haga clic en Aceptar para guardar el perfil del servidor syslog.

Opcional: Configurar un formato de registro personalizado para CEF o LEEF

Si necesitas registros en formato de evento común (CEF) o en formato de evento de registro extendido (LEEF) en lugar de CSV, sigue estos pasos:

1. En el perfil de servidor Syslog, selecciona la pestaña Formato de registro personalizado.
2. Configura el formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID y HIP Match).
3. Para configurar el formato CEF, consulta la guía de configuración de CEF de Palo Alto Networks.
4. Haz clic en Aceptar para guardar la configuración.

Crear un perfil de reenvío de registros

1. Vaya a Objetos > Reenvío de registros.
2. Haga clic en Añadir para crear un perfil de reenvío de registros.
3. Proporcione los siguientes detalles de configuración:
   • Nombre: introduce un nombre de perfil (por ejemplo, Google SecOps Forwarding). Si quieres que el cortafuegos asigne automáticamente este perfil a las nuevas reglas y zonas de seguridad, ponle el nombre default.
4. Para cada tipo de registro que quieras reenviar (Tráfico, Amenaza, Envío de WildFire, Filtrado de URL, Filtrado de datos, Túnel y Autenticación), configura lo siguiente:
   • Haz clic en Añadir en la sección del tipo de registro correspondiente.
   • Syslog selecciona el perfil del servidor syslog que has creado (por ejemplo, Google SecOps BindPlane).
   • Gravedad del registro: selecciona los niveles de gravedad que quieras reenviar (por ejemplo, Todos).
5. Haga clic en Aceptar para guardar el perfil de reenvío de registros.

Aplicar un perfil de reenvío de registros a políticas de seguridad

1. Ve a Políticas > Seguridad.
2. Seleccione las reglas de seguridad para las que quiera habilitar el reenvío de registros.
3. Haz clic en la regla para editarla.
4. Ve a la pestaña Acciones.
5. En el menú Reenvío de registros, selecciona el perfil de reenvío de registros que has creado (por ejemplo, Google SecOps Forwarding).
6. Haz clic en Aceptar para guardar la configuración de la política de seguridad.

Configurar los ajustes de registro de los registros del sistema

1. Ve a Dispositivo > Ajustes de registro.
2. Para cada tipo de registro (System, Configuration, User-ID, HIP Match, Global Protect, IP-Tag y SCTP) y nivel de gravedad, seleccione el perfil de servidor syslog que haya creado.
3. Haga clic en Aceptar para guardar la configuración del registro.

Confirmar los cambios

1. En la parte superior de la interfaz web del cortafuegos, haga clic en Commit (Confirmar).
2. Espera a que la confirmación se complete correctamente.
3. Verifica que los registros se envían al agente de Bindplane comprobando si hay registros de firewall de Palo Alto Networks entrantes en la consola de Google SecOps.

Tipos y formatos de registro admitidos

El analizador de Google SecOps admite los siguientes tipos de registros de cortafuegos de Palo Alto Networks:

• Registros de tráfico
• Registros de amenazas
• Registros de filtrado de URLs
• Registros de filtrado de datos
• Registros de envío de WildFire
• Registros de inspección de túneles
• Registros de autenticación
• Registros de User-ID
• Registros de coincidencias de HIP
• Registros del sistema
• Registros de configuración
• Registros de GlobalProtect
• Registros de SCTP
• Registros de descifrado

El analizador admite registros con los siguientes formatos:

• CSV (valores separados por comas): formato predeterminado
• CEF requiere una configuración de formato de registro personalizada.
• LEEF (Log Event Extended Format): requiere una configuración de formato de registro personalizada

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.