Recopila registros del firewall de Palo Alto Networks

En este documento, se explica cómo transferir registros de firewall de Palo Alto Networks a Google Security Operations con Bindplane.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Si ejecutas el agente detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de BindPlane.
• Acceso privilegiado a la consola o el dispositivo de administración del firewall de Palo Alto Networks
• Firewall de Palo Alto Networks (todas las versiones admiten syslog estándar; para los formatos personalizados CEF/LEEF, se recomienda PAN-OS 8.0.3 o versiones posteriores)

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'PAN_FIREWALL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura el reenvío de syslog en el firewall de Palo Alto Networks

Crea un perfil de servidor syslog

1. Accede a la consola de administración del firewall de Palo Alto Networks.
2. Ve a Device > Server Profiles > Syslog.
3. Haz clic en Agregar para crear un perfil de servidor nuevo.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps BindPlane).
   • Ubicación: Selecciona el sistema virtual (vsys) o Compartido en el que estará disponible este perfil.
5. Haz clic en Servidores > Agregar para configurar el servidor syslog.
6. Proporciona los siguientes detalles de configuración del servidor:
   • Nombre: Ingresa un nombre descriptivo para el servidor (por ejemplo, BindPlane Agent).
   • Servidor de Syslog: Ingresa la dirección IP del agente de BindPlane.
   • Transporte: Selecciona UDP o TCP, según la configuración de tu agente de BindPlane (UDP es el valor predeterminado).
   • Puerto: Ingresa el número de puerto del agente de BindPlane (por ejemplo, 514).
   • Formato: Selecciona BSD (predeterminado) o IETF, según tus requisitos.
   • Facility: Selecciona LOG_USER (predeterminado) o cualquier otra instalación según sea necesario.
7. Haz clic en Aceptar para guardar el perfil del servidor de syslog.

Opcional: Configura un formato de registro personalizado para CEF o LEEF

Si necesitas registros en formato de evento común (CEF) o en formato de evento de registro extendido (LEEF) en lugar de CSV, haz lo siguiente:

1. En el perfil del servidor Syslog, selecciona la pestaña Formato de registro personalizado.
2. Configura el formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Para obtener información sobre la configuración del formato CEF, consulta la Guía de configuración de CEF de Palo Alto Networks.
4. Haz clic en Aceptar para guardar la configuración.

Crea un perfil de reenvío de registros

1. Ve a Objetos > Reenvío de registros.
2. Haz clic en Agregar para crear un perfil nuevo de reenvío de registros.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre de perfil (por ejemplo, Google SecOps Forwarding). Si quieres que el firewall asigne automáticamente este perfil a las nuevas reglas y zonas de seguridad, asígnale el nombre default.
4. Para cada tipo de registro que desees reenviar (Tráfico, Amenaza, Envío de WildFire, Filtrado de URL, Filtrado de datos, Túnel, Autenticación), configura lo siguiente:
   • Haz clic en Agregar en la sección del tipo de registro correspondiente.
   • Syslog: Selecciona el perfil del servidor syslog que creaste (por ejemplo, Google SecOps BindPlane).
   • Gravedad del registro: Selecciona los niveles de gravedad que se reenviarán (por ejemplo, Todos).
5. Haz clic en Aceptar para guardar el perfil de reenvío de registros.

Aplica el perfil de reenvío de registros a las políticas de seguridad

1. Ve a Políticas > Seguridad.
2. Selecciona las reglas de seguridad para las que deseas habilitar el reenvío de registros.
3. Haz clic en la regla para editarla.
4. Ve a la pestaña Acciones.
5. En el menú Log Forwarding, selecciona el perfil de reenvío de registros que creaste (por ejemplo, Google SecOps Forwarding).
6. Haz clic en Aceptar para guardar la configuración de la política de seguridad.

Configura los parámetros de registro para los registros del sistema

1. Ve a Device > Log Settings.
2. Para cada tipo de registro (Sistema, Configuración, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) y nivel de gravedad, selecciona el perfil del servidor syslog que creaste.
3. Haz clic en Aceptar para guardar la configuración del registro.

Confirma los cambios

1. Haz clic en Commit en la parte superior de la interfaz web del firewall.
2. Espera a que la confirmación se complete correctamente.
3. Verifica que los registros se envíen al agente de Bindplane. Para ello, consulta la consola de Google SecOps en busca de registros entrantes del firewall de Palo Alto Networks.

Tipos y formatos de registros admitidos

El analizador de SecOps de Google admite los siguientes tipos de registros de firewall de Palo Alto Networks:

• Registros de tráfico
• Registros de amenazas
• Registros de filtrado de URL
• Registros de filtrado de datos
• Registros de envío de WildFire
• Registros de inspección de túneles
• Registros de autenticación
• Registros de User-ID
• Registros de HIP Match
• Registros del sistema
• Registros de configuración
• Registros de GlobalProtect
• Registros de SCTP
• Registros de desencriptación

El analizador admite registros en los siguientes formatos:

• CSV (valores separados por comas): Formato predeterminado
• CEF (formato de evento común): Requiere la configuración de un formato de registro personalizado
• LEEF (formato extendido de eventos de registro): Requiere configuración de formato de registro personalizado

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.