與 Palo Alto Networks 新一代防火牆整合使用 Palo Alto NGFW 驗證設定 CloudWatch 管道支援的開放式網路安全結構描述架構事件類別

Palo Alto Networks 新一代防火牆的來源組態

與 Palo Alto Networks 新一代防火牆整合

CloudWatch Pipeline 使用 PAN-OS XML API 與 Palo Alto Networks NGFW 整合，以擷取安全性、身分驗證、網路活動、程序活動、偵測問題清單和威脅活動。PAN-OS XML API 啟用結構化存取，允許擷取系統日誌、GlobalProtect、流量日誌、威脅日誌和 URL 篩選日誌。

使用 Palo Alto NGFW 驗證

若要讀取網路安全日誌，管道需要使用您的 Palo Alto Networks NGFW 登入裝置介面進行驗證。外掛程式支援基本身分驗證。

透過 CLI 在 Palo Alto Networks NGFW 防火牆上建立和管理使用者
使用搭配主機名稱使用使用者管理員和您的密碼登入防火牆
將此使用者名稱和密碼存放在金鑰和 username AWS Secrets Manager 下的秘密中password。
識別並記下您的 PAN-OS 主機名稱。

設定完成後，管道可以使用使用者名稱和密碼進行身分驗證，並從 PAN-OS 擷取日誌活動。

設定 CloudWatch 管道

設定管道從 Palo Alto Networks NGFW 讀取日誌時，請選擇 Palo Alto Networks Next-Generation Firewalls 作為資料來源。填寫必要資訊，例如 hostname。建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至身分驗證 (3002)、網路活動 (4001)、程序活動 (1007) 和偵測調查結果 (2004) 的事件。

身分驗證包含下列類型和子類型：

GlobalProtect
- data
- file
- 洪水
- 封包
- 掃描
- 間諜軟體
- url
- 病毒
- 漏洞
- 萬用字元
- 萬用字元病毒
系統日誌
- auth

網路活動包含下列類型和子類型：

流量日誌
- 入門
- end
- drop
- 拒絕
系統日誌
- vpn
- url 篩選
- app-cloud-engine
- dhcp
- SSH
- dnsproxy
- dns-security
- 萬用字元
- wildfire-appliance
- ntpd
- userid

顯示較多

顯示較少

程序活動包含下列類型和子類型：

系統日誌
- 一般
- 飽和
- ras
- sslmgr
- hw
- iot
- ctd-agent
- 路由
- port
- 裝置遙測

Detection Finding 包含下列類型和子類型：

威脅日誌
- data
- file
- 洪水
- 封包
- 掃描
- 間諜軟體
- url
- ml-virus
- 病毒
- 漏洞
- 萬用字元
- 萬用字元病毒
URL 篩選日誌

顯示較多

顯示較少

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Palo Alto Networks 新一代防火牆

管道組態