Palo Alto Networks Next-Generation Firewalls의 소스 구성
Palo Alto Networks Next-Generation Firewalls와 통합
CloudWatch Pipeline은 PAN-OS XML API를 사용하여 Palo Alto Networks NGFW와 통합되어 보안, 인증, 네트워크 활동, 프로세스 활동, 탐지 결과, 위협 활동을 검색합니다. PAN-OS XML API를 사용하여 구조화된 액세스를 통해 시스템 로그, GlobalProtect, 트래픽 로그, 위협 로그, URL 필터링 로그를 검색할 수 있습니다.
Palo Alto NGFW로 인증
네트워크 보안 로그를 읽으려면 파이프라인이 Palo Alto Networks NGFW 로그인 디바이스 인터페이스로 인증해야 합니다. 플러그인은 기본 인증을 지원합니다.
CLI를 통해 Palo Alto Networks NGFW Firewall에서 사용자 생성 및 관리
호스트 이름과 함께 사용자 관리자 및 암호를 사용하여 방화벽 로그인
이 사용자 이름과 암호를
username및password라는 키로 AWS Secrets Manager에 보안 암호로 저장합니다.PAN-OS 호스트 이름을 식별하고 메모해 둡니다.
구성이 완료되면 파이프라인은 사용자 이름과 암호를 사용하여 인증한 후 PAN-OS에서 로그 활동을 검색할 수 있습니다.
CloudWatch 파이프라인 구성
Palo Alto Networks NGFW에서 로그를 읽도록 파이프라인을 구성할 경우 Palo Alto Networks 차세대 방화벽을 데이터 소스로 선택합니다. hostname 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.
지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 인증(3002), 네트워크 활동(4001), 프로세스 활동(1007), 탐지 결과(2004)에 매핑되는 이벤트를 지원합니다.
인증에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
GlobalProtect
데이터
파일
플러드
패킷
스캔
스파이웨어
url
바이러스
취약성
wildfire
wildfire-virus
시스템 로그
auth
네트워크 활동에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
트래픽 로그
시작
최종
drop
거부
시스템 로그
vpn
url-filtering
app-cloud-engine
dhcp
ssh
dnsproxy
dns-security
wildfire
wildfire-appliance
ntpd
userid
프로세스 활동에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
시스템 로그
일반
satd
ras
sslmgr
hw
iot
ctd-agent
라우팅
포트
device-telemetry
탐지 결과에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
위협 목록
데이터
파일
플러드
패킷
스캔
스파이웨어
url
ml-virus
바이러스
취약성
wildfire
wildfire-virus
URL 필터링 로그
