View a markdown version of this page

Configuração de fonte para Next-Generation Firewalls da Palo Alto Networks - Amazon CloudWatch
Integrar com Next-Generation Firewalls da Palo Alto NetworksAutenticar em NGFW da Palo AltoConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para Next-Generation Firewalls da Palo Alto Networks

Integrar com Next-Generation Firewalls da Palo Alto Networks

O CloudWatch Pipeline integra com NGFW da Palo Alto Networks usando a API XML do PAN‑OS para recuperar informações de segurança, autenticação, atividade de rede, atividade de processos, detecções e atividade de ameaças. A API XML do PAN-OS permite acesso estruturado para recuperação de logs do sistema, GlobalProtect, logs de tráfego, logs de ameaças e logs de filtragem de URL.

Autenticar em NGFW da Palo Alto

Para ler os logs de segurança da rede, o pipeline precisa ser autenticado na interface do dispositivo de login de NGFW da Palo Alto Networks. O plug-in é compatível com autenticação Basic.

  • Crie e gerencie usuários em um firewall NGFW da Palo Alto Networks via CLI

  • Faça login no firewall usando o nome do host, a conta de administrador de usuário e sua senha

  • Armazene esse nome de usuário e senha em um segredo AWS Secrets Manager com as chaves username e password.

  • Identifique e anote o nome de host do PAN-OS.

Depois de configurado, o pipeline pode ser autenticado usando o nome de usuário e a senha, e recuperar as atividades de log do PAN-OS.

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler os logs de NGFW da Palo Alto Networks, escolha Next-Generation Firewalls da Palo Alto Networks como a fonte de dados. Preencha as informações necessárias como hostname. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Authentication (3002), Network Activity (4001), Process Activity (1007) e Detection Finding (2004).

Authentication inclui os seguintes tipos e subtipos:

  • GlobalProtect

    • dados

    • arquivo

    • flood

    • pacote

    • scan

    • spyware

    • url

    • vírus

    • Vulnerabilidade

    • wildfire

    • vírus wildfire

  • Logs do sistema

    • autenticação

Network Activity inclui os seguintes tipos e subtipos:

  • Logs de tráfego

    • rápido

    • end

    • drop

    • deny (negar)

  • Logs do sistema

    • VPN

    • url-filtering

    • app-cloud-engine

    • dhcp

    • ssh

    • dnsproxy

    • dns-security

    • wildfire

    • wildfire-appliance

    • ntpd

    • userid

Mostrar maisMostrar menos

Process Activity inclui os seguintes tipos e subtipos:

  • Logs do sistema

    • general

    • satd

    • ras

    • sslmgr

    • hw

    • iot

    • ctd-agent

    • roteamento

    • porta

    • device-telemetry

Detection Finding inclui os seguintes tipos e subtipos:

  • Logs de ameaças

    • dados

    • arquivo

    • flood

    • pacote

    • scan

    • spyware

    • url

    • ml-virus

    • vírus

    • Vulnerabilidade

    • wildfire

    • vírus wildfire

  • Log de filtragem de URL

Mostrar maisMostrar menos