本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Palo Alto Networks 新一代防火牆的來源組態
<a name="paloalto-ngfw-source-setup"></a>

## 與 Palo Alto Networks 新一代防火牆整合
<a name="paloalto-ngfw-integration"></a>

CloudWatch Pipeline 使用 PAN-OS XML API 與 Palo Alto Networks NGFW 整合，以擷取安全性、身分驗證、網路活動、程序活動、偵測問題清單和威脅活動。PAN-OS XML API 啟用結構化存取，允許擷取系統日誌、GlobalProtect、流量日誌、威脅日誌和 URL 篩選日誌。

## 使用 Palo Alto NGFW 驗證
<a name="paloalto-ngfw-authentication"></a>

若要讀取網路安全日誌，管道需要使用您的 Palo Alto Networks NGFW 登入裝置介面進行驗證。外掛程式支援基本身分驗證。
+ 透過 CLI 在 Palo Alto Networks NGFW 防火牆上建立和管理使用者
+ 使用 搭配主機名稱使用使用者管理員和您的密碼登入防火牆
+ 將此使用者名稱和密碼存放在 金鑰和 `username` AWS Secrets Manager 下的秘密中`password`。
+ 識別並記下您的 PAN-OS 主機名稱。

設定完成後，管道可以使用使用者名稱和密碼進行身分驗證，並從 PAN-OS 擷取日誌活動。

## 設定 CloudWatch 管道
<a name="paloalto-ngfw-pipeline-config"></a>

設定管道從 Palo Alto Networks NGFW 讀取日誌時，請選擇 Palo Alto Networks Next-Generation Firewalls 作為資料來源。填寫必要資訊，例如 `hostname`。建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

## 支援的開放式網路安全結構描述架構事件類別
<a name="paloalto-ngfw-ocsf-events"></a>

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至身分驗證 (3002)、網路活動 (4001)、程序活動 (1007) 和偵測調查結果 (2004) 的事件。

**身分驗證**包含下列類型和子類型：
+ GlobalProtect
  + data
  + file
  + 洪水
  + 封包
  + 掃描
  + 間諜軟體
  + url
  + 病毒
  + 漏洞
  + 萬用字元
  + 萬用字元病毒
+ 系統日誌
  + auth

**網路活動**包含下列類型和子類型：
+ 流量日誌
  + 入門
  + end
  + drop
  + 拒絕
+ 系統日誌
  + vpn
  + url 篩選
  + app-cloud-engine
  + dhcp
  + SSH
  + dnsproxy
  + dns-security
  + 萬用字元
  + wildfire-appliance
  + ntpd
  + userid

**程序活動**包含下列類型和子類型：
+ 系統日誌
  + 一般
  + 飽和
  + ras
  + sslmgr
  + hw
  + iot
  + ctd-agent
  + 路由
  + port
  + 裝置遙測

**Detection Finding** 包含下列類型和子類型：
+ 威脅日誌
  + data
  + file
  + 洪水
  + 封包
  + 掃描
  + 間諜軟體
  + url
  + ml-virus
  + 病毒
  + 漏洞
  + 萬用字元
  + 萬用字元病毒
+ URL 篩選日誌