Raccogliere i log del firewall Palo Alto Networks

Supportato in:

Questo documento spiega come importare i log del firewall Palo Alto Networks in Google Security Operations utilizzando Bindplane.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente BindPlane
  • Accesso privilegiato alla console di gestione o all'appliance firewall Palo Alto Networks
  • Firewall Palo Alto Networks (tutte le versioni supportano syslog standard; per i formati personalizzati CEF/LEEF, è consigliato PAN-OS 8.0.3+)

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare l'inoltro di syslog sul firewall Palo Alto Networks

Crea un profilo server syslog

  1. Accedi alla console di gestione del firewall Palo Alto Networks.
  2. Vai a Dispositivo > Profili server > Syslog.
  3. Fai clic su Aggiungi per creare un nuovo profilo server.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Google SecOps BindPlane).
    • Posizione: seleziona il sistema virtuale (vsys) o Condiviso in cui sarà disponibile questo profilo.
  5. Fai clic su Server > Aggiungi per configurare il server syslog.
  6. Fornisci i seguenti dettagli di configurazione del server:
    • Nome: inserisci un nome descrittivo per il server (ad esempio, BindPlane Agent).
    • Server Syslog: inserisci l'indirizzo IP dell'agente BindPlane.
    • Trasporto: seleziona UDP o TCP, a seconda della configurazione di BindPlane Agent (UDP è l'impostazione predefinita).
    • Porta: inserisci il numero di porta dell'agente BindPlane (ad esempio, 514).
    • Formato: seleziona BSD (impostazione predefinita) o IETF, a seconda dei tuoi requisiti.
    • Struttura: seleziona LOG_USER (impostazione predefinita) o un'altra struttura, se necessario.
  7. Fai clic su OK per salvare il profilo del server syslog.

(Facoltativo) Configura il formato log personalizzato per CEF o LEEF

Se hai bisogno di log CEF (Common Event Format) o LEEF (Log Event Extended Format) anziché CSV:

  1. Nel profilo del server Syslog, seleziona la scheda Formato log personalizzato.
  2. Configura il formato del log personalizzato per ogni tipo di log (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
  3. Per la configurazione del formato CEF, consulta la Guida alla configurazione CEF di Palo Alto Networks.
  4. Fai clic su Ok per salvare la configurazione.

Creare un profilo di inoltro dei log

  1. Vai a Oggetti > Log Forwarding.
  2. Fai clic su Aggiungi per creare un nuovo profilo di inoltro dei log.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome del profilo (ad esempio Google SecOps Forwarding). Se vuoi che il firewall assegni automaticamente questo profilo a nuove regole e zone di sicurezza, chiamalo default.
  4. Per ogni tipo di log che vuoi inoltrare (traffico, minaccia, invio WildFire, filtro URL, filtro dati, tunnel, autenticazione), configura quanto segue:
    • Fai clic su Aggiungi nella sezione del tipo di log corrispondente.
    • Syslog: seleziona il profilo del server Syslog che hai creato (ad esempio, Google SecOps BindPlane).
    • Gravità log: seleziona i livelli di gravità da inoltrare (ad esempio Tutti).
  5. Fai clic su Ok per salvare il profilo di inoltro dei log.

Applica il profilo di inoltro dei log ai criteri di sicurezza

  1. Vai a Norme > Sicurezza.
  2. Seleziona le regole di sicurezza per le quali vuoi attivare l'inoltro dei log.
  3. Fai clic sulla regola per modificarla.
  4. Vai alla scheda Azioni.
  5. Nel menu Log Forwarding, seleziona il profilo di inoltro dei log che hai creato (ad esempio, Google SecOps Forwarding).
  6. Fai clic su Ok per salvare la configurazione della norma di sicurezza.

Configura le impostazioni dei log per i log di sistema

  1. Vai a Dispositivo > Impostazioni log.
  2. Per ogni tipo di log (Sistema, Configurazione, User-ID, Corrispondenza HIP, Global Protect, IP-Tag, SCTP) e livello di gravità, seleziona il profilo del server syslog che hai creato.
  3. Fai clic su Ok per salvare le impostazioni del log.

Esegui il commit delle modifiche

  1. Fai clic su Commit nella parte superiore dell'interfaccia web del firewall.
  2. Attendi il completamento del commit.
  3. Verifica che i log vengano inviati all'agente Bindplane controllando la console Google SecOps per i log del firewall Palo Alto Networks in entrata.

Tipi e formati di log supportati

Il parser di Google SecOps supporta i seguenti tipi di log del firewall Palo Alto Networks:

  • Log sul traffico
  • Log delle minacce
  • Log del filtro degli URL
  • Log del filtro dei dati
  • Log di invio di WildFire
  • Log di ispezione della galleria
  • Log di autenticazione
  • Log User-ID
  • Log delle corrispondenze HIP
  • Log di sistema
  • Log di configurazione
  • Log di GlobalProtect
  • Log SCTP
  • Log di decrittografia

Il parser supporta i log nei seguenti formati:

  • CSV (valori separati da virgola) - Formato predefinito
  • CEF (Common Event Format) - Richiede la configurazione del formato di log personalizzato
  • LEEF (Log Event Extended Format) - Richiede la configurazione del formato di log personalizzato

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.