このページは Cloud Translation API によって翻訳されました。

Palo Alto Networks ファイアウォールログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Palo Alto Networks ファイアウォールログを Google Security Operations に取り込む方法について説明します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、BindPlane エージェントの要件に従ってファイアウォールポートが開いていることを確認します
Palo Alto Networks ファイアウォール管理コンソールまたはアプライアンスへの特権アクセス
Palo Alto Networks ファイアウォール（すべてのバージョンで標準 syslog をサポート。CEF/LEEF カスタム形式の場合は PAN-OS 8.0.3 以降を推奨）

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Palo Alto Networks ファイアウォールで syslog 転送を構成する

syslog サーバープロファイルを作成する

Palo Alto Networks ファイアウォール管理コンソールにログインします。
[Device] > [Server Profiles] > [Syslog] に移動します。
[追加] をクリックして、新しいサーバープロファイルを作成します。
次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します（例: Google SecOps BindPlane）。
- 場所: このプロファイルを使用できる仮想システム（vsys）または [共有] を選択します。
[Servers] > [Add] をクリックして、syslog サーバーを構成します。
次のサーバー構成の詳細を入力します。
- 名前: サーバーのわかりやすい名前を入力します（例: BindPlane Agent）。
- Syslog サーバー: BindPlane Agent の IP アドレスを入力します。
- トランスポート: BindPlane Agent の構成に応じて、[UDP] または [TCP] を選択します（デフォルトは UDP）。
- ポート: BindPlane Agent のポート番号（例: 514）を入力します。
- 形式: 要件に応じて、[BSD]（デフォルト）または [IETF] を選択します。
- ファシリティ: 必要に応じて、LOG_USER（デフォルト）または別のファシリティを選択します。
[OK] をクリックして、Syslog サーバープロファイルを保存します。

省略可: CEF または LEEF のカスタムログ形式を構成する

CSV ではなく CEF（Common Event Format）または LEEF（Log Event Extended Format）ログが必要な場合:

Syslog サーバープロファイルで、[カスタムログ形式] タブを選択します。
各ログタイプ（Config、System、Threat、Traffic、URL、Data、WildFire、Tunnel、Authentication、User-ID、HIP Match）のカスタムログ形式を構成します。
CEF 形式の構成については、Palo Alto Networks CEF 構成ガイドをご覧ください。
[OK] をクリックして構成を保存します。

ログ転送プロファイルを作成する

[オブジェクト] > [ログ転送] に移動します。
[追加] をクリックして、新しいログ転送プロファイルを作成します。
次の構成の詳細を入力します。
- 名前: プロファイル名（Google SecOps Forwarding など）を入力します。ファイアウォールでこのプロファイルが新しいセキュリティルールとゾーンに自動的に割り当てられるようにするには、default という名前を付けます。
転送するログタイプ（Traffic、Threat、WildFire Submission、URL Filtering、Data Filtering、Tunnel、Authentication）ごとに、次の項目を構成します。
- それぞれのログタイプのセクションで [追加] をクリックします。
- Syslog: 作成した syslog サーバープロファイル（例: Google SecOps BindPlane）を選択します。
- ログの重大度: 転送する重大度レベルを選択します（例: すべて）。
[OK] をクリックして、ログ転送プロファイルを保存します。

ログ転送プロファイルをセキュリティポリシーに適用する

[ポリシー] > [セキュリティ] に移動します。
ログ転送を有効にするセキュリティルールを選択します。
ルールをクリックして編集します。
[アクション] タブに移動します。
[ログ転送] メニューで、作成したログ転送プロファイル（Google SecOps Forwarding など）を選択します。
[OK] をクリックして、セキュリティポリシーの構成を保存します。

システムログのログ設定を構成する

[Device] > [Log Settings] に移動します。
ログタイプ（System、Configuration、User-ID、HIP Match、Global Protect、IP-Tag、SCTP）と重大度レベルごとに、作成した Syslog サーバープロファイルを選択します。
[OK] をクリックして、ログ設定を保存します。

変更を commit する

ファイアウォールウェブインターフェースの上部にある [Commit] をクリックします。
コミットが正常に完了するまで待ちます。
Google SecOps コンソールで受信した Palo Alto Networks ファイアウォールログを確認して、ログが Bindplane エージェントに送信されていることを確認します。

サポートされているログタイプと形式

Google SecOps パーサーは、次の Palo Alto Networks ファイアウォールログタイプをサポートしています。

トラフィックログ
脅威のログ
URL フィルタリングログ
データフィルタリングログ
WildFire の送信ログ
トンネル検査ログ
認証ログ
User-ID ログ
HIP Match ログ
システムログ
構成ログ
GlobalProtect ログ
SCTP ログ
復号ログ

パーサーは次の形式のログをサポートしています。

CSV（カンマ区切り値） - デフォルトの形式
CEF（Common Event Format） - カスタムログ形式の構成が必要
LEEF（ログイベント拡張形式） - カスタムログ形式の構成が必要

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。