# Palo Alto Networks Next-Generation Firewalls의 소스 구성
<a name="paloalto-ngfw-source-setup"></a>

## Palo Alto Networks Next-Generation Firewalls와 통합
<a name="paloalto-ngfw-integration"></a>

CloudWatch Pipeline은 PAN-OS XML API를 사용하여 Palo Alto Networks NGFW와 통합되어 보안, 인증, 네트워크 활동, 프로세스 활동, 탐지 결과, 위협 활동을 검색합니다. PAN-OS XML API를 사용하여 구조화된 액세스를 통해 시스템 로그, GlobalProtect, 트래픽 로그, 위협 로그, URL 필터링 로그를 검색할 수 있습니다.

## Palo Alto NGFW로 인증
<a name="paloalto-ngfw-authentication"></a>

네트워크 보안 로그를 읽으려면 파이프라인이 Palo Alto Networks NGFW 로그인 디바이스 인터페이스로 인증해야 합니다. 플러그인은 기본 인증을 지원합니다.
+ CLI를 통해 Palo Alto Networks NGFW Firewall에서 사용자 생성 및 관리
+ 호스트 이름과 함께 사용자 관리자 및 암호를 사용하여 방화벽 로그인
+ 이 사용자 이름과 암호를 `username` 및 `password`라는 키로 AWS Secrets Manager에 보안 암호로 저장합니다.
+ PAN-OS 호스트 이름을 식별하고 메모해 둡니다.

구성이 완료되면 파이프라인은 사용자 이름과 암호를 사용하여 인증한 후 PAN-OS에서 로그 활동을 검색할 수 있습니다.

## CloudWatch 파이프라인 구성
<a name="paloalto-ngfw-pipeline-config"></a>

Palo Alto Networks NGFW에서 로그를 읽도록 파이프라인을 구성할 경우 Palo Alto Networks 차세대 방화벽을 데이터 소스로 선택합니다. `hostname` 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

## 지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
<a name="paloalto-ngfw-ocsf-events"></a>

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 인증(3002), 네트워크 활동(4001), 프로세스 활동(1007), 탐지 결과(2004)에 매핑되는 이벤트를 지원합니다.

**인증**에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
+ GlobalProtect
  + 데이터
  + 파일
  + 플러드
  + 패킷
  + 스캔
  + 스파이웨어
  + url
  + 바이러스
  + 취약성
  + wildfire
  + wildfire-virus
+ 시스템 로그
  + auth

**네트워크 활동**에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
+ 트래픽 로그
  + 시작
  + 최종
  + drop
  + 거부
+ 시스템 로그
  + vpn
  + url-filtering
  + app-cloud-engine
  + dhcp
  + ssh
  + dnsproxy
  + dns-security
  + wildfire
  + wildfire-appliance
  + ntpd
  + userid

**프로세스 활동**에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
+ 시스템 로그
  + 일반
  + satd
  + ras
  + sslmgr
  + hw
  + iot
  + ctd-agent
  + 라우팅
  + 포트
  + device-telemetry

**탐지 결과**에는 다음과 같은 유형 및 하위 유형이 포함됩니다.
+ 위협 목록
  + 데이터
  + 파일
  + 플러드
  + 패킷
  + 스캔
  + 스파이웨어
  + url
  + ml-virus
  + 바이러스
  + 취약성
  + wildfire
  + wildfire-virus
+ URL 필터링 로그