本文介紹了如何將 Palo Alto 網(wǎng)絡(luò)設(shè)備連接到 Azure Sentinel。?Palo Alto Networks 數(shù)據(jù)連接器可讓你輕松連接 Palo Alto 網(wǎng)絡(luò)日志和 Azure Sentinel，查看儀表板、創(chuàng)建自定義警報(bào)，以及改進(jìn)調(diào)查。?使用 Azure 上的 Palo Alto 網(wǎng)絡(luò)可以更深入地了解組織的 Internet 使用情況，并增強(qiáng)其安全操作功能。

工作原理

需要在專用 Linux 計(jì)算機(jī)（VM 或本地）上部署代理，以支持 Palo Alto 網(wǎng)絡(luò)與 Azure Sentinel 之間的通信。?下圖說明了 Azure 中 Linux VM 的情況下的設(shè)置。

或者，如果你在其他云中或本地計(jì)算機(jī)中使用 VM，則會(huì)存在此設(shè)置。

安全注意事項(xiàng)

請(qǐng)確保根據(jù)組織的安全策略配置計(jì)算機(jī)的安全性。?例如，你可以將網(wǎng)絡(luò)配置為與你的企業(yè)網(wǎng)絡(luò)安全策略一致，并更改守護(hù)程序中的端口和協(xié)議以符合你的要求。?你可以使用以下說明來改善計(jì)算機(jī)安全配置：??Azure 中的安全 VM、網(wǎng)絡(luò)安全的最佳做法。

若要在安全解決方案和 Syslog 計(jì)算機(jī)之間使用 TLS 通信，需要將 Syslog 守護(hù)程序（rsyslog 或 syslog-ng）配置為在 TLS 中進(jìn)行通信：使用 tls Rsyslog 加密 Syslog 流量，使用 tls 加密日志消息–syslog-ng。

必備組件

請(qǐng)確保用作代理的 Linux 計(jì)算機(jī)運(yùn)行的是以下操作系統(tǒng)之一：

• 64 位

  • CentOS 6 和 7
  • Amazon Linux 2017.09
  • Oracle Linux 6 和 7
  • Red Hat Enterprise Linux Server 6 和 7
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
  • SUSE Linux Enterprise Server 12

• 32 位

  • CentOS 6
  • Oracle Linux 6
  • Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS 和 16.04 LTS

• 守護(hù)程序版本

  • Syslog-ng： 2.1-3.22。1
  • Rsyslog： v8

• 支持的 Syslog Rfc

  • Syslog RFC 3164
  • Syslog RFC 5424

請(qǐng)確保您的計(jì)算機(jī)還滿足以下要求：

• 權(quán)限
  • 您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。
• 軟件要求
  • 請(qǐng)確保在計(jì)算機(jī)上運(yùn)行 Python

步驟1：部署代理

在此步驟中，需要選擇將充當(dāng) Azure Sentinel 和安全解決方案之間代理的 Linux 計(jì)算機(jī)。?你將需要在代理計(jì)算機(jī)上運(yùn)行腳本：

• 安裝 Log Analytics 代理，并根據(jù)需要對(duì)其進(jìn)行配置，以便通過 TCP 偵聽端口514上的 Syslog 消息，并將 CEF 消息發(fā)送到 Azure Sentinel 工作區(qū)。
• 使用端口25226將 Syslog 守護(hù)程序配置為將 CEF 消息轉(zhuǎn)發(fā)到 Log Analytics 代理。
• 設(shè)置 Syslog 代理以收集數(shù)據(jù)并將其安全地發(fā)送到 Log Analytics，并對(duì)其進(jìn)行分析和擴(kuò)充。

在 Azure Sentinel 門戶中，單擊 "數(shù)據(jù)連接器"，選擇 "?Palo Alto Networks?"，然后單擊 "連接器" 頁。

在 "安裝并配置 Syslog 代理" 下，選擇你的計(jì)算機(jī)類型（Azure、其他云或本地）。

?備注

因?yàn)橄乱徊街械哪_本會(huì)安裝 Log Analytics 代理，并將計(jì)算機(jī)連接到 Azure Sentinel 工作區(qū)，請(qǐng)確保此計(jì)算機(jī)未連接到任何其他工作區(qū)。

您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。?請(qǐng)確保使用以下命令在計(jì)算機(jī)上具有 Python：?python –version

在代理計(jì)算機(jī)上運(yùn)行以下腳本。?sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

腳本運(yùn)行時(shí)，請(qǐng)檢查以確保沒有收到任何錯(cuò)誤或警告消息。

步驟2：將 Palo Alto Networks 日志轉(zhuǎn)發(fā)到 Syslog 代理

將 Palo Alto Networks 配置為通過 Syslog 代理將 Syslog 消息以 CEF 格式轉(zhuǎn)發(fā)到 Azure 工作區(qū)：

請(qǐng)參閱通用事件格式（CEF）配置指南，并下載適用于你的設(shè)備類型的 pdf。?按照指南中的所有說明設(shè)置 Palo Alto Networks 設(shè)備，收集 CEF 事件。

轉(zhuǎn)到 "配置 Syslog 監(jiān)視"，然后執(zhí)行步驟2和步驟3，將 CEF 事件從 Palo Alto 網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)到 Azure Sentinel。

請(qǐng)確保將Syslog 服務(wù)器格式設(shè)置為BSD。

?備注

PDF 中的復(fù)制/粘貼操作可能會(huì)更改文本并插入隨機(jī)字符。?若要避免這種情況，請(qǐng)將文本復(fù)制到編輯器，并在粘貼之前刪除可能會(huì)破壞日志格式的任何字符，如本示例中所示。

若要在 Palo Alto Networks 事件的 Log Analytics 中使用相關(guān)架構(gòu)，請(qǐng)搜索CommonSecurityLog。

步驟3：驗(yàn)證連接性

打開 Log Analytics，確保使用 CommonSecurityLog 架構(gòu)接收日志。
可能需要長達(dá)20分鐘的時(shí)間，日志才會(huì)開始出現(xiàn)在 Log Analytics 中。

在運(yùn)行該腳本之前，我們建議您從安全解決方案發(fā)送消息，以確保將這些消息轉(zhuǎn)發(fā)到您配置的 Syslog 代理計(jì)算機(jī)。

您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。?請(qǐng)確保使用以下命令在計(jì)算機(jī)上具有 Python：?python –version

運(yùn)行以下腳本，檢查代理、Azure Sentinel 和安全解決方案之間的連接。?它會(huì)檢查是否正確配置了守護(hù)程序轉(zhuǎn)發(fā)，偵聽了正確的端口，并且沒有阻止守護(hù)程序與 Log Analytics 代理之間的通信。?該腳本還會(huì)發(fā)送模擬消息 "TestCommonEventFormat" 來檢查端到端連接。?
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

后續(xù)步驟

本文檔介紹了如何將 Palo Alto 網(wǎng)絡(luò)設(shè)備連接到 Azure Sentinel。?要詳細(xì)了解 Azure Sentinel，請(qǐng)參閱以下文章：

• 了解如何了解你的數(shù)據(jù)以及潛在的威脅。
• 開始通過 Azure Sentinel 檢測(cè)威脅。

總結(jié)

以上是生活随笔為你收集整理的将 Palo Alto Networks 连接到 Azure Sentinel的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。