# Configuração de fonte para Next-Generation Firewalls da Palo Alto Networks
<a name="paloalto-ngfw-source-setup"></a>

## Integrar com Next-Generation Firewalls da Palo Alto Networks
<a name="paloalto-ngfw-integration"></a>

O CloudWatch Pipeline integra com NGFW da Palo Alto Networks usando a API XML do PAN‑OS para recuperar informações de segurança, autenticação, atividade de rede, atividade de processos, detecções e atividade de ameaças. A API XML do PAN-OS permite acesso estruturado para recuperação de logs do sistema, GlobalProtect, logs de tráfego, logs de ameaças e logs de filtragem de URL.

## Autenticar em NGFW da Palo Alto
<a name="paloalto-ngfw-authentication"></a>

Para ler os logs de segurança da rede, o pipeline precisa ser autenticado na interface do dispositivo de login de NGFW da Palo Alto Networks. O plug-in é compatível com autenticação Basic.
+ Crie e gerencie usuários em um firewall NGFW da Palo Alto Networks via CLI
+ Faça login no firewall usando o nome do host, a conta de administrador de usuário e sua senha
+ Armazene esse nome de usuário e senha em um segredo AWS Secrets Manager com as chaves `username` e `password`.
+ Identifique e anote o nome de host do PAN-OS.

Depois de configurado, o pipeline pode ser autenticado usando o nome de usuário e a senha, e recuperar as atividades de log do PAN-OS.

## Configurar o CloudWatch Pipeline
<a name="paloalto-ngfw-pipeline-config"></a>

Ao configurar o pipeline para ler os logs de NGFW da Palo Alto Networks, escolha Next-Generation Firewalls da Palo Alto Networks como a fonte de dados. Preencha as informações necessárias como `hostname`. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
<a name="paloalto-ngfw-ocsf-events"></a>

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Authentication (3002), Network Activity (4001), Process Activity (1007) e Detection Finding (2004).

**Authentication** inclui os seguintes tipos e subtipos:
+ GlobalProtect
  + dados
  + arquivo
  + flood
  + pacote
  + scan
  + spyware
  + url
  + vírus
  + Vulnerabilidade
  + wildfire
  + vírus wildfire
+ Logs do sistema
  + autenticação

**Network Activity** inclui os seguintes tipos e subtipos:
+ Logs de tráfego
  + rápido
  + end
  + drop
  + deny (negar)
+ Logs do sistema
  + VPN
  + url-filtering
  + app-cloud-engine
  + dhcp
  + ssh
  + dnsproxy
  + dns-security
  + wildfire
  + wildfire-appliance
  + ntpd
  + userid

**Process Activity** inclui os seguintes tipos e subtipos:
+ Logs do sistema
  + general
  + satd
  + ras
  + sslmgr
  + hw
  + iot
  + ctd-agent
  + roteamento
  + porta
  + device-telemetry

**Detection Finding** inclui os seguintes tipos e subtipos:
+ Logs de ameaças
  + dados
  + arquivo
  + flood
  + pacote
  + scan
  + spyware
  + url
  + ml-virus
  + vírus
  + Vulnerabilidade
  + wildfire
  + vírus wildfire
+ Log de filtragem de URL