此页面由 Cloud Translation API 翻译。

收集 Palo Alto Networks 防火墙日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Palo Alto Networks 防火墙日志注入到 Google Security Operations。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后面运行，请确保防火墙端口已根据 BindPlane 代理要求打开
对 Palo Alto Networks 防火墙管理控制台或设备的特权访问权限
Palo Alto Networks 防火墙（所有版本均支持标准 syslog；对于 CEF/LEEF 自定义格式，建议使用 PAN-OS 8.0.3 及更高版本）

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中，或位于 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Palo Alto Networks 防火墙上配置 syslog 转发

创建 syslog 服务器配置文件

登录 Palo Alto Networks 防火墙管理控制台。
依次前往设备 > 服务器配置文件 > Syslog。
点击添加以创建新的服务器配置文件。
提供以下配置详细信息：
- 名称：输入一个描述性名称（例如 Google SecOps BindPlane）。
- 位置：选择此配置文件的可用虚拟系统 (vsys) 或共享。
点击服务器 > 添加，以配置 Syslog 服务器。
提供以下服务器配置详细信息：
- 名称：输入服务器的描述性名称（例如 BindPlane Agent）。
- Syslog 服务器：输入 BindPlane 代理 IP 地址。
- 传输：根据 BindPlane Agent 配置选择 UDP 或 TCP（默认为 UDP）。
- 端口：输入 BindPlane 代理端口号（例如 514）。
- 格式：根据您的需求，选择 BSD（默认）或 IETF。
- 设备：根据需要选择 LOG_USER（默认）或其他设备。
点击 OK 以保存 syslog 服务器配置文件。

可选：为 CEF 或 LEEF 配置自定义日志格式

如果您需要 CEF（通用事件格式）或 LEEF（日志事件扩展格式）日志，而不是 CSV 日志，请执行以下操作：

在 Syslog 服务器配置文件中，选择自定义日志格式标签页。
为每种日志类型（配置、系统、威胁、流量、网址、数据、WildFire、隧道、身份验证、User-ID、HIP 匹配）配置自定义日志格式。
如需了解 CEF 格式配置，请参阅 Palo Alto Networks CEF 配置指南。
点击确定以保存配置。

创建日志转发配置文件

依次前往对象 > 日志转发。
点击添加以创建新的日志转发配置文件。
提供以下配置详细信息：
- 名称：输入配置文件的名称（例如 Google SecOps Forwarding）。如果您希望防火墙自动将此配置文件分配给新的安全规则和区域，请将其命名为 default。
对于要转发的每种日志类型（流量、威胁、WildFire 提交、网址过滤、数据过滤、隧道、身份验证），请配置以下内容：
- 在相应的日志类型部分中，点击添加。
- Syslog：选择您创建的 syslog 服务器配置文件（例如 Google SecOps BindPlane）。
- 日志严重程度：选择要转发的严重程度级别（例如全部）。
点击确定以保存日志转发配置文件。

将日志转发配置文件应用于安全政策

依次前往政策 > 安全。
选择要为其启用日志转发的安全规则。
点击相应规则即可进行修改。
前往操作标签页。
在日志转发菜单中，选择您创建的日志转发配置文件（例如 Google SecOps Forwarding）。
点击确定以保存安全政策配置。

为系统日志配置日志设置

依次前往设备 > 日志设置。
针对每种日志类型（系统、配置、User-ID、HIP Match、Global Protect、IP-Tag、SCTP）和严重程度，选择您创建的 Syslog 服务器配置文件。
点击确定以保存日志设置。

提交更改

点击防火墙网页界面顶部的提交。
等待提交成功完成。
通过在 Google SecOps 控制台中检查传入的 Palo Alto Networks 防火墙日志，验证日志是否已发送到 Bindplane 代理。

支持的日志类型和格式

Google SecOps 解析器支持以下 Palo Alto Networks 防火墙日志类型：

流量日志
威胁日志
网址过滤日志
数据过滤日志
WildFire 提交日志
隧道检查日志
身份验证日志
User-ID 日志
HIP 匹配日志
系统日志
配置日志
GlobalProtect 日志
SCTP 日志
解密日志

解析器支持以下格式的日志：

CSV（逗号分隔值）- 默认格式
CEF（通用事件格式）- 需要自定义日志格式配置
LEEF（日志事件扩展格式）- 需要自定义日志格式配置