Connettore Palo Alto Networks (Firewall) per Microsoft Sentinel
Il connettore firewall Palo Alto Networks consente di connettere facilmente i log di Palo Alto Networks con Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo è possibile ottenere informazioni più dettagliate sulla rete dell'organizzazione e migliorare le funzionalità operative di sicurezza.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (PaloAlto) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Tutti i log
CommonSecurityLog
| where DeviceVendor == "Palo Alto Networks"
| where DeviceProduct has "PAN-OS"
| sort by TimeGenerated
Attività THREAT
CommonSecurityLog
| where DeviceVendor == "Palo Alto Networks"
| where DeviceProduct has "PAN-OS"
| where Activity == "THREAT"
| sort by TimeGenerated
Istruzioni di installazione fornitore
- Configurazione dell'agente Syslog Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati di tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare un computer Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, il computer può trovarsi nell'ambiente locale, In Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie i messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Inoltrare i log di Palo Alto Networks all'agente Syslog
Configurare Palo Alto Networks per inoltrare i messaggi Syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente Syslog.
Passare a configurare Palo Alto Networks NGFW per l'invio di eventi CEF.
Passare a Palo Alto CEF Configuration e Palo Alto Configure Syslog Monitoring steps 2, 3, choose your version e follow the instructions using the following guidelines:Go to Palo Alto CEF Configuration and Palo Alto Configure Syslog Monitoring steps 2, 3, choose your version, and follow the instructions using the following guidelines:
Impostare il formato del server Syslog su BSD.
Le operazioni di copia/incolla dal PDF potrebbero modificare il testo e inserire caratteri casuali. Per evitare questo problema, copiare il testo in un editor e rimuovere tutti i caratteri che potrebbero interrompere il formato del log prima di incollarlo.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.