Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration source pour les pare-feux de nouvelle génération de Palo Alto Networks
<a name="paloalto-ngfw-source-setup"></a>

## Intégration aux pare-feux de nouvelle génération de Palo Alto Networks
<a name="paloalto-ngfw-integration"></a>

CloudWatch Pipeline s'intègre au NGFW de Palo Alto Networks à l'aide de l'API XML PAN-OS pour récupérer la sécurité, l'authentification, l'activité réseau, l'activité des processus, les résultats de détection et les activités de menace. L'API XML PAN-OS permet un accès structuré, permettant la récupération des journaux système, des journaux de trafic GlobalProtect, des journaux des menaces et du journal de filtrage des URL.

## Authentification avec Palo Alto NGFW
<a name="paloalto-ngfw-authentication"></a>

Pour lire les journaux de sécurité réseau, le pipeline doit s'authentifier auprès de l'interface de votre appareil de connexion Palo Alto Networks NGFW. Le plugin prend en charge l'authentification de base.
+ Création et gestion des utilisateurs sur un pare-feu NGFW de Palo Alto Networks via CLI
+ Connectez-vous au pare-feu en utilisant le nom d'hôte en utilisant l'administrateur utilisateur et votre mot de passe
+ Conservez ce nom d'utilisateur et ce mot de passe en secret AWS Secrets Manager sous les clés `username` et`password`.
+ Identifiez et notez votre nom d'hôte PAN-OS.

Une fois configuré, le pipeline peut s'authentifier à l'aide du nom d'utilisateur et du mot de passe et récupérer l'activité du journal depuis PAN-OS.

## Configuration du CloudWatch pipeline
<a name="paloalto-ngfw-pipeline-config"></a>

Lorsque vous configurez le pipeline pour lire les journaux du NGFW de Palo Alto Networks, choisissez les pare-feux de nouvelle génération de Palo Alto Networks comme source de données. Remplissez les informations requises comme`hostname`. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

## Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
<a name="paloalto-ngfw-ocsf-events"></a>

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements associés à l'authentification (3002), à l'activité réseau (4001), à l'activité des processus (1007) et à la recherche de détection (2004).

**L'authentification** contient les types et sous-types suivants :
+ GlobalProtect
  + data
  + dans le fichier
  + inonder
  + paquet
  + scan
  + logiciels espions
  + url
  + virus
  + vulnérabilités
  + feu de forêt
  + virus des feux de forêt
+ Journaux du système
  + auth

**Network Activity** contient les types et sous-types suivants :
+ Journaux de trafic
  + démarrer
  + end
  + drop
  + deny (refuser)
+ Journaux du système
  + vpn
  + filtrage des URL
  + app-cloud-engine
  + dhcp
  + ssh
  + proxy DNS
  + sécurité DNS
  + feu de forêt
  + appareil pour feux de forêt
  + ntpd
  + userid

**Process Activity** contient les types et sous-types suivants :
+ Journaux du système
  + general
  + satd
  + ras
  + sslmgr
  + hw
  + iot
  + agent CTD
  + routage
  + port
  + télémétrie des appareils

**Detection Finding** contient les types et sous-types suivants :
+ Journaux des menaces
  + data
  + dans le fichier
  + inonder
  + paquet
  + scan
  + logiciels espions
  + url
  + ml-virus
  + virus
  + vulnérabilités
  + feu de forêt
  + virus des feux de forêt
+ Journal de filtrage d'URL