Integración con Firewalls de nueva generación de Palo Alto Networks Autenticación con NGFW de Palo Alto Configuración de la canalización de CloudWatch Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para Firewalls de nueva generación de Palo Alto Networks

Integración con Firewalls de nueva generación de Palo Alto Networks

La canalización de CloudWatch se integra con NGFW de Palo Alto Networks mediante la API XML PAN-OS para recuperar la seguridad, la autenticación, la actividad de red, la actividad de procesos, el resultado de detecciones y la actividad de amenazas. La API XML PAN-OS permite un acceso estructurado, lo que permite recuperar registros del sistema, GlobalProtect, registros de tráfico, registros de amenazas y registros de filtrado de URL.

Autenticación con NGFW de Palo Alto

Para leer los registros de seguridad de la red, la canalización debe autenticarse con la interfaz del dispositivo de inicio de sesión de NGFW de Palo Alto Networks. El complemento es compatible con la autenticación básica.

Cree y administre usuarios en un firewall de NGFW de Palo Alto Networks mediante la CLI.
Inicie sesión en el firewall con el nombre de host con el usuario admin y su contraseña.
Almacene este nombre de usuario y contraseña en un secreto de AWS Secrets Manager con las claves username y password.
Identifique y anote el nombre de host de PAN-OS.

Una vez configurada, la canalización puede autenticarse con el nombre de usuario y la contraseña y recuperar la actividad de registro de PAN-OS.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer registros de NGFW de Palo Alto Networks, elija Firewalls de nueva generación de Palo Alto Networks como origen de datos. Rellene la información obligatoria, como hostname. Una vez que haya creado la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos que se asignan a la autenticación (3002), la actividad de red (4001), la actividad de procesos (1007) y el resultado de detecciones (2004).

La autenticación contiene los siguientes tipos y subtipos:

GlobalProtect
- data
- archivo
- inundación
- paquete
- scan
- spyware
- url
- virus
- vulnerabilidad
- wildfire
- wildfire-virus
Registros del sistema
- auth

La actividad de red contiene los siguientes tipos y subtipos:

Registros de tráfico
- iniciar
- finales
- drop
- denegar
Registros del sistema
- vpn
- url-filtering
- app-cloud-engine
- dhcp
- ssh
- dnsproxy
- dns-security
- wildfire
- wildfire-appliance
- ntpd
- userid

Mostrar menos

La actividad de procesos contiene los siguientes tipos y subtipos:

Registros del sistema
- general
- satd
- ras
- sslmgr
- hw
- iot
- ctd-agent
- enrutamiento
- puerto
- device-telemetry

El resultado de detecciones contiene los siguientes tipos y subtipos:

Registros de amenazas
- data
- archivo
- inundación
- paquete
- scan
- spyware
- url
- ml-virus
- virus
- vulnerabilidad
- wildfire
- wildfire-virus
Registros de filtrado de URL

Mostrar menos

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Firewalls de nueva generación de Palo Alto Networks

Configuración de canalización