Coletar registros de firewall da Palo Alto Networks

Compatível com:

Este documento explica como ingerir registros de firewall da Palo Alto Networks no Google Security Operations usando o Bindplane.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente BindPlane.
  • Acesso privilegiado ao console ou dispositivo de gerenciamento do firewall da Palo Alto Networks
  • Firewall da Palo Alto Networks (todas as versões são compatíveis com syslog padrão. Para formatos personalizados CEF/LEEF, recomendamos o PAN-OS 8.0.3 ou mais recente)

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
    • Substitua <customer_id> pelo ID do cliente real.
    • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o encaminhamento syslog no firewall da Palo Alto Networks

Criar um perfil de servidor syslog

  1. Faça login no Console de gerenciamento de firewall da Palo Alto Networks.
  2. Acesse Dispositivo > Perfis de servidor > Syslog.
  3. Clique em Adicionar para criar um perfil de servidor.
  4. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome descritivo, por exemplo, Google SecOps BindPlane.
    • Local: selecione o sistema virtual (vsys) ou Compartilhado em que esse perfil vai estar disponível.
  5. Clique em Servidores > Adicionar para configurar o servidor syslog.
  6. Forneça os seguintes detalhes de configuração do servidor:
    • Nome: insira um nome descritivo para o servidor. Por exemplo, BindPlane Agent.
    • Servidor Syslog: insira o endereço IP do agente do BindPlane.
    • Transporte: selecione UDP ou TCP, dependendo da configuração do agente do BindPlane (UDP é o padrão).
    • Porta: insira o número da porta do agente do BindPlane (por exemplo, 514).
    • Formato: selecione BSD (padrão) ou IETF, dependendo dos seus requisitos.
    • Facility: selecione LOG_USER (padrão) ou outra opção, conforme necessário.
  7. Clique em OK para salvar o perfil do servidor syslog.

Opcional: configurar um formato de registro personalizado para CEF ou LEEF

Se você precisar de registros CEF (Common Event Format) ou LEEF (Log Event Extended Format) em vez de CSV:

  1. No perfil do servidor Syslog, selecione a guia Formato de registro personalizado.
  2. Configure o formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
  3. Para configurar o formato CEF, consulte o Guia de configuração do CEF da Palo Alto Networks (em inglês).
  4. Clique em OK para salvar a configuração.

Criar um perfil de encaminhamento de registros

  1. Acesse Objetos > Encaminhamento de registros.
  2. Clique em Adicionar para criar um perfil de encaminhamento de registros.
  3. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome de perfil (por exemplo, Google SecOps Forwarding). Se você quiser que o firewall atribua automaticamente esse perfil a novas regras e zonas de segurança, nomeie-o como default.
  4. Para cada tipo de registro que você quer encaminhar (tráfego, ameaça, envio do WildFire, filtragem de URL, filtragem de dados, túnel, autenticação), configure o seguinte:
    • Clique em Adicionar na seção do tipo de registro relevante.
    • Syslog: selecione o perfil do servidor syslog que você criou (por exemplo, Google SecOps BindPlane).
    • Gravidade do registro: selecione os níveis de gravidade a serem encaminhados (por exemplo, Todos).
  5. Clique em OK para salvar o perfil de encaminhamento de registros.

Aplicar perfil de encaminhamento de registros a políticas de segurança

  1. Acesse Políticas > Segurança.
  2. Selecione as regras de segurança para as quais você quer ativar o encaminhamento de registros.
  3. Clique na regra para editá-la.
  4. Acesse a guia Ações.
  5. No menu Encaminhamento de registros, selecione o perfil de encaminhamento de registros que você criou (por exemplo, Google SecOps Forwarding).
  6. Clique em OK para salvar a configuração da política de segurança.

Configurar as configurações de registro para registros do sistema

  1. Acesse Dispositivo > Configurações de registro.
  2. Para cada tipo de registro (System, Configuration, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) e nível de gravidade, selecione o perfil do servidor syslog que você criou.
  3. Clique em OK para salvar as configurações de registro.

Confirmar as mudanças

  1. Clique em Commit na parte de cima da interface da Web do firewall.
  2. Aguarde a conclusão do commit.
  3. Verifique se os registros estão sendo enviados para o agente do Bindplane conferindo os registros de firewall da Palo Alto Networks na console do Google SecOps.

Tipos e formatos de registros aceitos

O analisador do Google SecOps é compatível com os seguintes tipos de registros de firewall da Palo Alto Networks:

  • Registros de tráfego
  • Registros de ameaças
  • Registros de filtragem de URL
  • Registros de filtragem de dados
  • Registros de envio do WildFire
  • Registros de inspeção de túnel
  • Registros de autenticação
  • Registros do User-ID
  • Registros de correspondência de HIP
  • Registros do sistema
  • Registros de configuração
  • Registros do GlobalProtect
  • Registros do SCTP
  • Registros de descriptografia

O analisador aceita registros nos seguintes formatos:

  • CSV (valores separados por vírgula): formato padrão
  • CEF (Common Event Format): exige configuração personalizada do formato de registro
  • LEEF (Log Event Extended Format): requer configuração personalizada do formato de registro.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.