Palo Alto Networks 次世代ファイアウォールのソース設定
Palo Alto Networks 次世代ファイアウォールとの統合
CloudWatch パイプラインは、PAN-OS XML API を使用して Palo Alto Networks NGFW と統合し、セキュリティ、認証、ネットワークアクティビティ、プロセスアクティビティ、検出結果、および脅威アクティビティを取得します。PAN-OS XML API を使用すると、構造化されたアクセスが可能になり、システムログ、GlobalProtect、トラフィックログ、脅威ログ、および URL フィルタリングログを取得できるようになります。
Palo Alto NGFW による認証
ネットワークセキュリティログを読み込むには、パイプラインが Palo Alto Networks NGFW ログインデバイスインターフェイスで認証される必要があります。プラグインは基本認証をサポートしています。
CLI を介して Palo Alto Networks NGFW ファイアウォールでユーザーを作成および管理します。
ユーザー管理者を使用したホスト名とパスワードでファイアウォールにログインします。
このユーザー名とパスワードを、AWS Secrets Manager のキー
usernameとpasswordの下にあるシークレットに保存します。PAN-OS ホスト名を特定して書き留めます。
設定が完了すると、パイプラインはユーザー名とパスワードを使用して認証され、PAN-OS からログアクティビティを取得できるようになります。
CloudWatch パイプラインの設定
Palo Alto Networks NGFW からログを読み込むようにパイプラインを設定するときは、データソースとして Palo Alto Networks 次世代ファイアウォールを選択します。hostname などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合では、OCSF スキーマバージョン v1.5.0 と、認証 (3002)、ネットワークアクティビティ (4001)、プロセスアクティビティ (1007)、および検出結果 (2004) にマッピングされるイベントがサポートされています。
認証には、次のタイプとサブタイプが含まれます。
GlobalProtect
data
および
フラッド
パケット
スキャン
スパイウェア
url
ウイルス
脆弱性
wildfire
wildfire-virus
システムログ
auth
ネットワークアクティビティには、次のタイプとサブタイプが含まれます。
トラフィックログ
開始
end
drop
拒否
システムログ
VPN
url-filtering
app-cloud-engine
dhcp
ssh
dnsproxy
dns-security
wildfire
wildfire-appliance
ntpd
userid
プロセスアクティビティには、次のタイプとサブタイプが含まれます。
システムログ
全般
satd
ras
sslmgr
hw
iot
ctd-agent
routing
port
device-telemetry
検出結果には、次のタイプとサブタイプが含まれます。
脅威ログ
data
および
フラッド
パケット
スキャン
スパイウェア
url
ml-virus
ウイルス
脆弱性
wildfire
wildfire-virus
URL フィルタリングログ
