Quellkonfiguration für Palo Alto Networks Firewalls der nächsten Generation - Amazon CloudWatch
Integration mit Firewalls der nächsten Generation von Palo Alto NetworksAuthentifizierung mit Palo Alto NGFWKonfiguration der Pipeline CloudWatchUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Palo Alto Networks Firewalls der nächsten Generation

Integration mit Firewalls der nächsten Generation von Palo Alto Networks

CloudWatch Pipeline lässt sich in Palo Alto Networks NGFW integrieren und verwendet die PAN-OS XML API, um Sicherheits-, Authentifizierungs-, Netzwerk- und Prozessaktivitäten sowie Erkennungs- und Bedrohungsaktivitäten abzurufen. Die PAN-OS XML-API ermöglicht den strukturierten Zugriff und ermöglicht das Abrufen von Systemprotokollen, Verkehrsprotokollen, Bedrohungsprotokollen und GlobalProtect URL-Filterprotokollen.

Authentifizierung mit Palo Alto NGFW

Um Netzwerksicherheitsprotokolle zu lesen, muss sich die Pipeline mit Ihrer NGFW-Anmeldeschnittstelle von Palo Alto Networks authentifizieren. Das Plugin unterstützt die Standardauthentifizierung.

  • Benutzer auf einer Palo Alto Networks NGFW-Firewall über CLI erstellen und verwalten

  • Melden Sie sich bei der Firewall mit dem Hostnamen an, verwenden Sie den Benutzer admin und Ihr Passwort

  • Speichern Sie diesen Benutzernamen und das Passwort geheim AWS Secrets Manager unter den Schlüsseln username undpassword.

  • Identifizieren und notieren Sie sich Ihren PAN-OS-Hostnamen.

Nach der Konfiguration kann sich die Pipeline mit dem Benutzernamen und dem Passwort authentifizieren und die Protokollaktivitäten von PAN-OS abrufen.

Konfiguration der Pipeline CloudWatch

Wenn Sie die Pipeline so konfigurieren, dass sie Protokolle von Palo Alto Networks NGFW liest, wählen Sie Palo Alto Networks Next-Generation Firewalls als Datenquelle. Geben Sie die erforderlichen Informationen wie ein. hostname Sobald Sie die Pipeline erstellt haben, sind Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Ereignisse, die Authentifizierung (3002), Netzwerkaktivität (4001), Prozessaktivität (1007) und Erkennungsfindung (2004) zugeordnet sind.

Die Authentifizierung umfasst den folgenden Typ und die folgenden Untertypen:

  • GlobalProtect

    • data

    • file

    • Überschwemmung

    • Paket

    • scan

    • Spyware

    • URL

    • Virus

    • Schwachstelle

    • Lauffeuer

    • Waldbrand-Virus

  • Systemprotokolle

    • Auth

Netzwerkaktivität umfasst die folgenden Typen und Untertypen:

  • Verkehrsprotokolle

    • start

    • end

    • fallen lassen

    • Zugriffsverweigerung

  • Systemprotokolle

    • vpn

    • URL-Filterung

    • app-cloud-engine

    • dhcp

    • ssh

    • DNS-Proxy

    • DNS-Sicherheit

    • Lauffeuer

    • Gerät für Waldbrände

    • ntpd

    • userid

Mehr anzeigenWeniger anzeigen

Die Prozessaktivität umfasst den folgenden Typ und die folgenden Untertypen:

  • Systemprotokolle

    • general

    • satd

    • ras

    • sslmgr

    • wie

    • iot

    • ctd-agent

    • Routing

    • port

    • Geräte-Telemetrie

Detection Finding umfasst die folgenden Typen und Untertypen:

  • Bedrohungsprotokolle

    • data

    • file

    • Überschwemmung

    • Paket

    • scan

    • Spyware

    • URL

    • ML-Virus

    • Virus

    • Schwachstelle

    • Lauffeuer

    • Waldbrand-Virus

  • URL-Filter-Protokoll

Mehr anzeigenWeniger anzeigen