Intégration aux pare-feux de nouvelle génération de Palo Alto Networks Authentification avec Palo Alto NGFW Configuration du CloudWatch pipeline Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Configuration source pour les pare-feux de nouvelle génération de Palo Alto Networks

Intégration aux pare-feux de nouvelle génération de Palo Alto Networks

CloudWatch Pipeline s'intègre au NGFW de Palo Alto Networks à l'aide de l'API XML PAN-OS pour récupérer la sécurité, l'authentification, l'activité réseau, l'activité des processus, les résultats de détection et les activités de menace. L'API XML PAN-OS permet un accès structuré, permettant la récupération des journaux système, des journaux de trafic GlobalProtect, des journaux des menaces et du journal de filtrage des URL.

Authentification avec Palo Alto NGFW

Pour lire les journaux de sécurité réseau, le pipeline doit s'authentifier auprès de l'interface de votre appareil de connexion Palo Alto Networks NGFW. Le plugin prend en charge l'authentification de base.

Création et gestion des utilisateurs sur un pare-feu NGFW de Palo Alto Networks via CLI
Connectez-vous au pare-feu en utilisant le nom d'hôte en utilisant l'administrateur utilisateur et votre mot de passe
Conservez ce nom d'utilisateur et ce mot de passe en secret AWS Secrets Manager sous les clés username etpassword.
Identifiez et notez votre nom d'hôte PAN-OS.

Une fois configuré, le pipeline peut s'authentifier à l'aide du nom d'utilisateur et du mot de passe et récupérer l'activité du journal depuis PAN-OS.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les journaux du NGFW de Palo Alto Networks, choisissez les pare-feux de nouvelle génération de Palo Alto Networks comme source de données. Remplissez les informations requises commehostname. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements associés à l'authentification (3002), à l'activité réseau (4001), à l'activité des processus (1007) et à la recherche de détection (2004).

L'authentification contient les types et sous-types suivants :

GlobalProtect
- data
- dans le fichier
- inonder
- paquet
- scan
- logiciels espions
- url
- virus
- vulnérabilités
- feu de forêt
- virus des feux de forêt
Journaux du système
- auth

Network Activity contient les types et sous-types suivants :

Journaux de trafic
- démarrer
- end
- drop
- deny (refuser)
Journaux du système
- vpn
- filtrage des URL
- app-cloud-engine
- dhcp
- ssh
- proxy DNS
- sécurité DNS
- feu de forêt
- appareil pour feux de forêt
- ntpd
- userid

Afficher plus

Afficher moins

Process Activity contient les types et sous-types suivants :

Journaux du système
- general
- satd
- ras
- sslmgr
- hw
- iot
- agent CTD
- routage
- port
- télémétrie des appareils

Detection Finding contient les types et sous-types suivants :

Journaux des menaces
- data
- dans le fichier
- inonder
- paquet
- scan
- logiciels espions
- url
- ml-virus
- virus
- vulnérabilités
- feu de forêt
- virus des feux de forêt
Journal de filtrage d'URL

Afficher plus

Afficher moins

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pare-feux de nouvelle génération de Palo Alto Networks

Configuration du pipeline