Configurazione di origine per i firewall di nuova generazione di Palo Alto Networks - Amazon CloudWatch
Integrazione con i firewall di nuova generazione di Palo Alto NetworksAutenticazione con Palo Alto NGFWCloudWatch Configurazione della pipelineClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di origine per i firewall di nuova generazione di Palo Alto Networks

Integrazione con i firewall di nuova generazione di Palo Alto Networks

CloudWatch Pipeline si integra con Palo Alto Networks NGFW utilizzando l'API XML PAN-OS per recuperare sicurezza, autenticazione, attività di rete, attività di processo, rilevamento e attività di rilevamento e attività di minaccia. L'API XML PAN-OS consente l'accesso strutturato, che consente il recupero dei registri di sistema, dei registri del traffico, dei registri delle minacce e del registro di filtraggio degli URL. GlobalProtect

Autenticazione con Palo Alto NGFW

Per leggere i registri di sicurezza della rete, la pipeline deve autenticarsi con l'interfaccia del dispositivo di accesso NGFW di Palo Alto Networks. Il plugin supporta l'autenticazione di base.

  • Creazione e gestione degli utenti su un firewall NGFW di Palo Alto Networks tramite CLI

  • Accedi al firewall utilizzando il nome host utilizzando l'amministratore utente e la tua password

  • Memorizza questo nome utente e password in un posto segreto Gestione dei segreti AWS sotto le chiavi username epassword.

  • Identifica e annota il tuo hostname PAN-OS.

Una volta configurata, la pipeline può autenticarsi utilizzando nome utente e password e recuperare l'attività di registro da PAN-OS.

CloudWatch Configurazione della pipeline

Quando configuri la pipeline per leggere i log da Palo Alto Networks NGFW, scegli Palo Alto Networks Next-Generation Firewalls come origine dati. Inserisci hostname le informazioni richieste come. Una volta creata la pipeline, i dati saranno disponibili nel gruppo di log CloudWatch Logs selezionato.

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi mappati a Authentication (3002), Network Activity (4001), Process Activity (1007) e Detection Finding (2004).

L'autenticazione contiene i seguenti tipi e sottotipi:

  • GlobalProtect

    • data

    • file

    • alluvione

    • pacchetto

    • scan

    • spyware

    • url

    • virus

    • vulnerabilità

    • incendio

    • virus degli incendi

  • Log di sistema

    • auth

L'attività di rete contiene i seguenti tipi e sottotipi:

  • Registri del traffico

    • rapida

    • end

    • drop

    • rifiutare

  • Registri di sistema

    • vpn

    • filtraggio degli URL

    • app-cloud-engine

    • dhcp

    • ssh

    • proxy DNS

    • sicurezza dns

    • incendio

    • apparecchio antincendio

    • ntpd

    • userid

Mostra piùMostra meno

Process Activity contiene i seguenti tipi e sottotipi:

  • Registri di sistema

    • general

    • tristezza

    • razze

    • sslmgr

    • hw

    • iot

    • agente ctd

    • instradamento

    • port

    • telemetria del dispositivo

Detection Finding contiene i seguenti tipi e sottotipi:

  • Registri delle minacce

    • data

    • file

    • alluvione

    • pacchetto

    • scan

    • spyware

    • url

    • ml-virus

    • virus

    • vulnerabilità

    • incendio

    • virus degli incendi

  • Registro di filtraggio degli URL

Mostra piùMostra meno