Mengumpulkan log firewall Palo Alto Networks

Didukung di:

Dokumen ini menjelaskan cara menyerap log firewall Palo Alto Networks ke Google Security Operations menggunakan Bindplane.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen BindPlane
  • Akses istimewa ke konsol atau appliance pengelolaan firewall Palo Alto Networks
  • Firewall Palo Alto Networks (semua versi mendukung syslog standar; untuk format kustom CEF/LEEF, direkomendasikan PAN-OS 8.0.3+)

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
    • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi penerusan syslog di Firewall Palo Alto Networks

Membuat profil server syslog

  1. Login ke Konsol Pengelolaan Firewall Palo Alto Networks.
  2. Buka Perangkat > Profil Server > Syslog.
  3. Klik Tambahkan untuk membuat profil server baru.
  4. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama deskriptif (misalnya, Google SecOps BindPlane).
    • Lokasi: Pilih sistem virtual (vsys) atau Bersama tempat profil ini akan tersedia.
  5. Klik Servers > Add untuk mengonfigurasi server syslog.
  6. Berikan detail konfigurasi server berikut:
    • Nama: Masukkan nama deskriptif untuk server (misalnya, BindPlane Agent).
    • Server Syslog: Masukkan alamat IP Agen BindPlane.
    • Transport: Pilih UDP atau TCP, bergantung pada konfigurasi BindPlane Agent Anda (UDP adalah default).
    • Port: Masukkan nomor port Agen BindPlane (misalnya, 514).
    • Format: Pilih BSD (default) atau IETF, bergantung pada persyaratan Anda.
    • Fasilitas: Pilih LOG_USER (default) atau fasilitas lain sesuai kebutuhan.
  7. Klik OK untuk menyimpan profil server syslog.

Opsional: Mengonfigurasi format log kustom untuk CEF atau LEEF

Jika Anda memerlukan log CEF (Common Event Format) atau LEEF (Log Event Extended Format) dan bukan CSV:

  1. Di Profil Server Syslog, pilih tab Custom Log Format.
  2. Konfigurasi format log kustom untuk setiap jenis log (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
  3. Untuk konfigurasi format CEF, lihat Panduan Konfigurasi CEF Palo Alto Networks.
  4. Klik OK untuk menyimpan konfigurasi.

Membuat profil penerusan log

  1. Buka Objects > Log Forwarding.
  2. Klik Tambahkan untuk membuat profil penerusan log baru.
  3. Berikan detail konfigurasi berikut:
    • Nama: Masukkan nama profil (misalnya, Google SecOps Forwarding). Jika Anda ingin firewall otomatis menetapkan profil ini ke aturan dan zona keamanan baru, beri nama default.
  4. Untuk setiap jenis log yang ingin Anda teruskan (Traffic, Threat, WildFire Submission, URL Filtering, Data Filtering, Tunnel, Authentication), konfigurasikan hal berikut:
    • Klik Tambahkan di bagian jenis log yang sesuai.
    • Syslog: Pilih profil server syslog yang Anda buat (misalnya, Google SecOps BindPlane).
    • Tingkat Keparahan Log: Pilih tingkat keparahan yang akan diteruskan (misalnya, Semua).
  5. Klik OK untuk menyimpan profil penerusan log.

Menerapkan profil penerusan log ke kebijakan keamanan

  1. Buka Kebijakan > Keamanan.
  2. Pilih aturan keamanan yang ingin Anda aktifkan penerusan log-nya.
  3. Klik aturan untuk mengeditnya.
  4. Buka tab Tindakan.
  5. Di menu Log Forwarding, pilih profil penerusan log yang Anda buat (misalnya, Google SecOps Forwarding).
  6. Klik OK untuk menyimpan konfigurasi kebijakan keamanan.

Mengonfigurasi setelan log untuk log sistem

  1. Buka Perangkat > Setelan Log.
  2. Untuk setiap jenis log (Sistem, Konfigurasi, User-ID, Pencocokan HIP, GlobalProtect, IP-Tag, SCTP) dan tingkat keparahan, pilih profil server syslog yang Anda buat.
  3. Klik OK untuk menyimpan setelan log.

Lakukan commit perubahan

  1. Klik Commit di bagian atas antarmuka web firewall.
  2. Tunggu hingga commit berhasil diselesaikan.
  3. Pastikan log dikirim ke agen Bindplane dengan memeriksa konsol Google SecOps untuk log firewall Palo Alto Networks yang masuk.

Jenis dan format log yang didukung

Parser Google SecOps mendukung jenis log firewall Palo Alto Networks berikut:

  • Log traffic
  • Log ancaman
  • Log Pemfilteran URL
  • Log Pemfilteran Data
  • Log Pengiriman WildFire
  • Log Inspeksi Tunnel
  • Log autentikasi
  • Log User-ID
  • Log Pencocokan HIP
  • Log sistem
  • Log konfigurasi
  • Log GlobalProtect
  • Log SCTP
  • Log dekripsi

Parser mendukung log dalam format berikut:

  • CSV (Comma Separated Values) - Format default
  • CEF (Common Event Format) - Memerlukan konfigurasi format log kustom
  • LEEF (Log Event Extended Format) - Memerlukan konfigurasi format log kustom

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.