Recolha registos de firewall da Palo Alto Networks

Este documento explica como carregar registos da firewall da Palo Alto Networks para o Google Security Operations através do Bindplane.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Windows 2016 ou posterior, ou um anfitrião Linux com systemd
• Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente BindPlane
• Acesso privilegiado à consola de gestão ou ao dispositivo da firewall da Palo Alto Networks
• Firewall da Palo Alto Networks (todas as versões suportam o syslog padrão; para formatos personalizados CEF/LEEF, recomenda-se o PAN-OS 8.0.3 ou superior)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:

   1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'PAN_FIREWALL'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o encaminhamento de syslog na firewall da Palo Alto Networks

Crie um perfil de servidor syslog

1. Inicie sessão na consola de gestão da firewall da Palo Alto Networks.
2. Aceda a Dispositivo > Perfis do servidor > Syslog.
3. Clique em Adicionar para criar um novo perfil de servidor.
4. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo (por exemplo, Google SecOps BindPlane).
   • Localização: selecione o sistema virtual (vsys) ou Partilhado onde este perfil vai estar disponível.
5. Clique em Servidores > Adicionar para configurar o servidor syslog.
6. Faculte os seguintes detalhes de configuração do servidor:
   • Nome: introduza um nome descritivo para o servidor (por exemplo, BindPlane Agent).
   • Servidor Syslog: introduza o endereço IP do agente BindPlane.
   • Transporte: selecione UDP ou TCP, consoante a configuração do agente BindPlane (UDP é a predefinição).
   • Porta: introduza o número da porta do agente BindPlane (por exemplo, 514).
   • Formato: selecione BSD (predefinição) ou IETF, consoante os seus requisitos.
   • Facility: selecione LOG_USER (predefinição) ou outra funcionalidade, conforme necessário.
7. Clique em OK para guardar o perfil do servidor syslog.

Opcional: configure o formato de registo personalizado para CEF ou LEEF

Se precisar de registos CEF (Common Event Format) ou LEEF (Log Event Extended Format) em vez de CSV:

1. No perfil do servidor Syslog, selecione o separador Formato de registo personalizado.
2. Configure o formato de registo personalizado para cada tipo de registo (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Para a configuração do formato CEF, consulte o guia de configuração do CEF da Palo Alto Networks.
4. Clique em OK para guardar a configuração.

Crie um perfil de encaminhamento de registos

1. Aceda a Objetos > Encaminhamento de registos.
2. Clique em Adicionar para criar um novo perfil de encaminhamento de registos.
3. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome de perfil (por exemplo, Google SecOps Forwarding). Se quiser que a firewall atribua automaticamente este perfil a novas regras e zonas de segurança, atribua-lhe o nome default.
4. Para cada tipo de registo que quer encaminhar (Tráfego, Ameaça, Envio do WildFire, Filtragem de URLs, Filtragem de dados, Túnel, Autenticação), configure o seguinte:
   • Clique em Adicionar na secção do tipo de registo respetiva.
   • Syslog: selecione o perfil do servidor syslog que criou (por exemplo, Google SecOps BindPlane).
   • Gravidade do registo: selecione os níveis de gravidade a encaminhar (por exemplo, Tudo).
5. Clique em OK para guardar o perfil de encaminhamento de registos.

Aplique o perfil de encaminhamento de registos às políticas de segurança

1. Aceda a Políticas > Segurança.
2. Selecione as regras de segurança para as quais quer ativar o encaminhamento de registos.
3. Clique na regra para a editar.
4. Aceda ao separador Ações.
5. No menu Encaminhamento de registos, selecione o perfil de encaminhamento de registos que criou (por exemplo, Google SecOps Forwarding).
6. Clique em OK para guardar a configuração da política de segurança.

Configure as definições de registo para registos do sistema

1. Aceda a Dispositivo > Definições de registo.
2. Para cada tipo de registo (Sistema, Configuração, ID do utilizador, HIP Match, Global Protect, IP-Tag, SCTP) e nível de gravidade, selecione o perfil do servidor Syslog que criou.
3. Clique em OK para guardar as definições de registo.

Confirme as alterações

1. Clique em Confirmar na parte superior da interface Web da firewall.
2. Aguarde até que a confirmação seja concluída com êxito.
3. Verifique se os registos estão a ser enviados para o agente do Bindplane verificando se existem registos de firewall da Palo Alto Networks na consola do Google SecOps.

Tipos e formatos de registos suportados

O analisador do Google SecOps suporta os seguintes tipos de registos de firewall da Palo Alto Networks:

• Registos de tráfego
• Registos de ameaças
• Registos de filtragem de URLs
• Registos de filtragem de dados
• Registos de envio do WildFire
• Registos de inspeção de túneis
• Registos de autenticação
• Registos do User-ID
• Registos de correspondência de HIP
• Registos de sistema
• Registos de configuração
• Registos do GlobalProtect
• Registos de SCTP
• Registos de desencriptação

O analisador suporta registos nos seguintes formatos:

• CSV (valores separados por vírgulas) – Formato predefinido
• CEF (Common Event Format) – Requer configuração de formato de registo personalizado
• LEEF (Log Event Extended Format) – Requer configuração de formato de registo personalizado

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.