Raccogli i log di Palo Alto Prisma SD-WAN
Questo documento spiega come importare i log di Palo Alto Prisma SD-WAN (in precedenza CloudGenix) in Google Security Operations utilizzando l'agente Bindplane.
Palo Alto Prisma SD-WAN è una soluzione di rete WAN (wide area network) software-defined e fornita dal cloud che offre routing basato sulle applicazioni, gestione centralizzata delle policy e connettività automatizzata delle filiali. Semplifica le operazioni WAN sostituendo le tradizionali reti incentrate sul router con un fabric sicuro e definito dalle applicazioni che ottimizza le prestazioni e riduce i costi.
Per saperne di più, consulta la documentazione di Palo Alto Prisma SD-WAN.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Un host Windows 2016 o versioni successive o Linux con
systemd - Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi alla console di gestione Palo Alto Prisma SD-WAN (Strata Cloud Manager o CloudGenix Controller legacy)
- Connettività di rete tra l'host dell'agente Bindplane e i dispositivi Prisma SD-WAN ION
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cloudgenix_sdwan: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: CLOUDGENIX_SDWAN raw_log_field: body ingestion_labels: env: production service: pipelines: logs/cloudgenix_to_chronicle: receivers: - udplog exporters: - chronicle/cloudgenix_sdwan
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: l'indirizzo IP e la porta su cui ascoltare. Utilizza0.0.0.0per ascoltare su tutte le interfacce. La porta514è standard per syslog (richiede privilegi di root su Linux; utilizza1514per non root).
Configurazione dell'esportatore:
creds_file_path: il percorso completo del file di autenticazione dell'importazione di Google SecOps.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID cliente Google SecOps.endpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorPremi
Win+R, digitaservices.msce premi Invio.Individua observIQ OpenTelemetry Collector.
Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configura l'inoltro di Syslog di Palo Alto Prisma SD-WAN
Puoi configurare l'inoltro di syslog su singoli dispositivi ION o creare un profilo syslog riutilizzabile che può essere applicato a più dispositivi.
Opzione 1: configura l'esportazione di syslog su un singolo dispositivo ION
- Accedi a Strata Cloud Manager con privilegi di amministratore.
- Vai a Configuration > Prisma SD-WAN > ION Devices > Claimed.
- Seleziona il dispositivo ION che vuoi configurare per l'inoltro di syslog.
- Fai clic su Configura il dispositivo.
- Seleziona Esportazione Syslog.
- Fai clic su Crea server Syslog.
- Seleziona Attiva questo server Syslog.
- Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio,
SecOps-Bindplane). - IP server o FQDN server: seleziona IP server e inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio,
192.168.1.100). - Porta server: inserisci
514(o la porta configurata nell'agente Bindplane). Le porte predefinite sono514per TCP o UDP e6514per TLS. - Protocollo: seleziona UDP (impostazione predefinita), TCP o TLS.
- Livello di gravità: seleziona critico, grave o minore. Vengono esportati i log e gli eventi per il livello di gravità selezionato e superiore.
- Nome: inserisci un nome descrittivo (ad esempio,
- Per esportare i log di flusso, attiva l'opzione Registrazione dei log di flusso.
- Fai clic su Salva.
Verifica che i messaggi syslog vengano ricevuti controllando i log dell'agente Bindplane.
Opzione 2: crea un profilo syslog riutilizzabile
- Accedi a Strata Cloud Manager con privilegi di amministratore.
- Vai a Configuration > Prisma SD-WAN > Profiles and Templates > Syslog.
- Fai clic su Crea profilo Syslog.
- Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome per il profilo syslog (ad esempio,
SecOps-Bindplane). - Descrizione: (facoltativo) inserisci una descrizione.
- IP server o FQDN server: seleziona IP server e inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta server: inserisci
514(o la porta configurata nell'agente Bindplane). - Protocollo: seleziona UDP.
- Nome: inserisci un nome per il profilo syslog (ad esempio,
- In Log di sicurezza, seleziona i tipi di log da inoltrare:
- Minaccia: log di rilevamento delle minacce.
- DNS: log di sicurezza DNS.
- URL: log del filtro degli URL.
- Fai clic su Salva.
- Assegna il profilo syslog ai dispositivi ION desiderati tramite la configurazione del dispositivo.
Verifica che i messaggi syslog vengano ricevuti controllando i log dell'agente Bindplane.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
_about |
about |
Unita |
_intermediary |
intermediary |
Unita |
MSG |
metadata.description |
Mappato direttamente |
CODE |
metadata.product_event_type |
Mappato direttamente |
FACILITY |
metadata.product_event_type |
Mappato direttamente |
log_type |
metadata.product_event_type |
Mappato direttamente |
APP_NAME |
network.http.user_agent |
Mappato direttamente |
PROTOCOL_NAME |
network.ip_protocol |
Mappato direttamente |
BYTES_RECVD |
network.received_bytes |
Mappato direttamente |
BYTES_SENT |
network.sent_bytes |
Mappato direttamente |
CLOUDGENIX_HOST |
principal.hostname |
Mappato direttamente |
ION_HOST |
principal.hostname |
Mappato direttamente |
NAME |
principal.hostname |
Mappato direttamente |
SRC_INTERFACE |
principal.hostname |
Mappato direttamente |
SRC_IP |
principal.ip |
Unita |
src_ip |
principal.ip |
Unita |
SRC_PORT |
principal.port |
Mappato direttamente |
PROCESS_NAME |
principal.process.file.full_path |
Mappato direttamente |
pid |
principal.process.pid |
Mappato direttamente |
sec_result |
security_result |
Unita |
DST_INTERFACE |
target.hostname |
Mappato direttamente |
REMOTE_HOSTNAME |
target.hostname |
Mappato direttamente |
DST_IP |
target.ip |
Unita |
REMOTE_IP |
target.ip |
Unita |
dest_ip |
target.ip |
Unita |
DST_PORT |
target.port |
Mappato direttamente |
VPN_LINK_ID |
target.resource.id |
Mappato direttamente |
| N/D | about |
Costante: _about |
| N/D | intermediary |
Costante: _intermediary |
| N/D | metadata.event_type |
Costante: GENERIC_EVENT |
| N/D | metadata.product_name |
Costante: CloudGenix SD-WAN |
| N/D | metadata.vendor_name |
Costante: Palo Alto Networks |
| N/D | network.received_bytes |
Costante: uinteger |
| N/D | network.sent_bytes |
Costante: uinteger |
| N/D | principal.ip |
Costante: src_ip |
| N/D | security_result |
Costante: sec_result |
| N/D | target.ip |
Costante: REMOTE_IP |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.