收集 Palo Alto Networks 防火牆記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Palo Alto Networks 防火牆記錄檔擷取至 Google Security Operations。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 BindPlane 代理程式需求開啟
- Palo Alto Networks 防火牆管理主控台或設備的特殊權限存取權
- Palo Alto Networks 防火牆 (所有版本都支援標準系統記錄;如需 CEF/LEEF 自訂格式,建議使用 PAN-OS 8.0.3 以上版本)
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'PAN_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Palo Alto Networks 防火牆上設定系統記錄轉送
建立系統記錄伺服器設定檔
- 登入 Palo Alto Networks 防火牆管理主控台。
- 依序前往「裝置」>「伺服器設定檔」>「系統記錄」。
- 按一下「新增」,建立新的伺服器設定檔。
- 提供下列設定詳細資料:
- 名稱:輸入描述性名稱 (例如
Google SecOps BindPlane)。 - 位置:選取這個設定檔可用的虛擬系統 (vsys) 或「共用」。
- 名稱:輸入描述性名稱 (例如
- 依序點選「Servers」>「Add」,設定系統記錄伺服器。
- 提供下列伺服器設定詳細資料:
- 名稱:輸入伺服器的描述性名稱 (例如
BindPlane Agent)。 - Syslog 伺服器:輸入 BindPlane 代理程式 IP 位址。
- 傳輸:根據 BindPlane 代理程式設定選取「UDP」或「TCP」 (預設為 UDP)。
- 通訊埠:輸入 BindPlane 代理程式通訊埠編號 (例如
514)。 - 格式:視需求選取 BSD (預設) 或 IETF。
- 設施:選取「LOG_USER」(預設) 或其他設施 (如有需要)。
- 名稱:輸入伺服器的描述性名稱 (例如
- 按一下「確定」儲存系統記錄伺服器設定檔。
選用:設定 CEF 或 LEEF 的自訂記錄格式
如需 CEF (通用事件格式) 或 LEEF (記錄事件擴充格式) 記錄,而非 CSV 檔案,請按照下列步驟操作:
- 在 Syslog 伺服器設定檔中,選取「Custom Log Format」(自訂記錄格式) 分頁標籤。
- 為每種記錄類型 (設定、系統、威脅、流量、網址、資料、WildFire、通道、驗證、User-ID、HIP 比對) 設定自訂記錄格式。
- 如要設定 CEF 格式,請參閱 Palo Alto Networks CEF 設定指南。
- 按一下「確定」儲存設定。
建立記錄檔轉送設定檔
- 依序前往「物件」>「記錄轉送」。
- 按一下「新增」,建立新的記錄轉送設定檔。
- 提供下列設定詳細資料:
- 名稱:輸入設定檔名稱 (例如
Google SecOps Forwarding)。如要讓防火牆自動將這個設定檔指派給新的安全性規則和區域,請將設定檔命名為default。
- 名稱:輸入設定檔名稱 (例如
- 針對要轉送的每種記錄類型 (流量、威脅、WildFire 提交、網址篩選、資料篩選、通道、驗證),請設定下列項目:
- 在對應的記錄類型部分中,按一下「新增」。
- Syslog:選取您建立的 Syslog 伺服器設定檔 (例如
Google SecOps BindPlane)。 - 記錄嚴重程度:選取要轉送的嚴重程度等級 (例如「全部」)。
- 按一下「確定」,儲存記錄轉送設定檔。
將記錄轉送設定檔套用至安全性政策
- 依序前往「政策」>「安全性」。
- 選取要啟用記錄轉送的安全規則。
- 按一下規則即可編輯。
- 前往「動作」分頁。
- 在「記錄檔轉送」選單中,選取您建立的記錄檔轉送設定檔 (例如
Google SecOps Forwarding)。 - 按一下「確定」,儲存安全性政策設定。
設定系統記錄的記錄設定
- 依序前往「裝置」>「記錄設定」。
- 針對每種記錄類型 (系統、設定、使用者 ID、HIP 比對、Global Protect、IP 標記、SCTP) 和嚴重程度,選取您建立的系統記錄伺服器設定檔。
- 按一下「確定」儲存記錄設定。
修訂變更
- 按一下防火牆網頁介面頂端的「Commit」。
- 等待提交作業順利完成。
- 檢查 Google SecOps 控制台是否有傳入的 Palo Alto Networks 防火牆記錄,確認記錄是否已傳送至 Bindplane 代理程式。
支援的記錄類型和格式
Google SecOps 剖析器支援下列 Palo Alto Networks 防火牆記錄類型:
- 流量記錄檔
- 威脅記錄檔
- 網址篩選記錄
- 資料篩選記錄
- WildFire 提交記錄
- 通道檢查記錄
- 驗證記錄
- User-ID 記錄
- HIP 比對記錄
- 系統記錄
- 設定記錄
- GlobalProtect 記錄
- SCTP 記錄
- 解密記錄
剖析器支援下列格式的記錄:
- CSV (逗號分隔值) - 預設格式
- CEF (Common Event Format) - 需要自訂記錄格式設定
- LEEF (記錄事件擴充格式) - 需要自訂記錄格式設定
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。