Microsoft Sentinel 用 Palo Alto Networks (Firewall) コネクタ

  • [アーティクル]

Palo Alto Networks ファイアウォール コネクタを使うと、Microsoft Sentinel に Palo Alto Networks ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (PaloAlto)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

すべてのログ


CommonSecurityLog

| where DeviceVendor == "Palo Alto Networks"

| where DeviceProduct has "PAN-OS"

         
| sort by TimeGenerated

脅威アクティビティ


CommonSecurityLog

| where DeviceVendor == "Palo Alto Networks"

| where DeviceProduct has "PAN-OS"

         
| where Activity == "THREAT"
         
| sort by TimeGenerated

ベンダーのインストール手順

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Palo Alto Networks のログを Syslog エージェントに転送する

Syslog エージェントを介して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Palo Alto Networks を構成します。

CEF イベントを送信するために Palo Alto Networks NGFW を構成する方法に関する記事を参照してください。

Palo Alto CEF の構成に関する記事と Palo Alto の Syslog 監視の構成に関する記事の手順 2、3 を参照し、お使いのバージョンを選び、次のガイドラインを使って指示に従います。

  1. [Syslog server format] (Syslog サーバーの形式) を [BSD] に設定します。

  2. PDF からのコピー/貼り付け操作では、テキストが変更され、ランダムな文字が挿入される可能性があります。 これを回避するには、テキストをエディターにコピーし、ログの形式を崩す可能性がある文字を削除した後、貼り付けます。

詳細情報 >

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。