# Palo Alto Networks 次世代ファイアウォールのソース設定
## Palo Alto Networks 次世代ファイアウォールとの統合
CloudWatch パイプラインは、PAN-OS XML API を使用して Palo Alto Networks NGFW と統合し、セキュリティ、認証、ネットワークアクティビティ、プロセスアクティビティ、検出結果、および脅威アクティビティを取得します。PAN-OS XML API を使用すると、構造化されたアクセスが可能になり、システムログ、GlobalProtect、トラフィックログ、脅威ログ、および URL フィルタリングログを取得できるようになります。
## Palo Alto NGFW による認証
ネットワークセキュリティログを読み込むには、パイプラインが Palo Alto Networks NGFW ログインデバイスインターフェイスで認証される必要があります。プラグインは基本認証をサポートしています。
+ CLI を介して Palo Alto Networks NGFW ファイアウォールでユーザーを作成および管理します。
+ ユーザー管理者を使用したホスト名とパスワードでファイアウォールにログインします。
+ このユーザー名とパスワードを、AWS Secrets Manager のキー `username` と `password` の下にあるシークレットに保存します。
+ PAN-OS ホスト名を特定して書き留めます。
設定が完了すると、パイプラインはユーザー名とパスワードを使用して認証され、PAN-OS からログアクティビティを取得できるようになります。
## CloudWatch パイプラインの設定
Palo Alto Networks NGFW からログを読み込むようにパイプラインを設定するときは、データソースとして Palo Alto Networks 次世代ファイアウォールを選択します。`hostname` などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合では、OCSF スキーマバージョン v1.5.0 と、認証 (3002)、ネットワークアクティビティ (4001)、プロセスアクティビティ (1007)、および検出結果 (2004) にマッピングされるイベントがサポートされています。
**認証**には、次のタイプとサブタイプが含まれます。
+ GlobalProtect
+ data
+ および
+ フラッド
+ パケット
+ スキャン
+ スパイウェア
+ url
+ ウイルス
+ 脆弱性
+ wildfire
+ wildfire-virus
+ システムログ
+ auth
**ネットワークアクティビティ**には、次のタイプとサブタイプが含まれます。
+ トラフィックログ
+ 開始
+ end
+ drop
+ 拒否
+ システムログ
+ VPN
+ url-filtering
+ app-cloud-engine
+ dhcp
+ ssh
+ dnsproxy
+ dns-security
+ wildfire
+ wildfire-appliance
+ ntpd
+ userid
**プロセスアクティビティ**には、次のタイプとサブタイプが含まれます。
+ システムログ
+ 全般
+ satd
+ ras
+ sslmgr
+ hw
+ iot
+ ctd-agent
+ routing
+ port
+ device-telemetry
**検出結果**には、次のタイプとサブタイプが含まれます。
+ 脅威ログ
+ data
+ および
+ フラッド
+ パケット
+ スキャン
+ スパイウェア
+ url
+ ml-virus
+ ウイルス
+ 脆弱性
+ wildfire
+ wildfire-virus
+ URL フィルタリングログ