Информация об источнике

Общая информация

Palo Alto Networks (PAN-OS) — источник событий безопасности и сетевой активности, поступающих с NGFW. Логи включают данные о сессиях, трафике, угрозах, системных событиях, аутентификации и администрировании. Используются для корреляции инцидентов, выявления атак и анализа сетевого поведения.

• Документация: https://docs.paloaltonetworks.com/ngfw

Типы собираемых событий

• Аутентификация
• Изменение конфигурации
• Информация о сетевых сессиях

Способ интеграции

• Syslog

Примеры событий

Step by step

Настройка отправки событий - Web UI

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

Рекомендуется настраивать фильтрацию сетевых событий (src, dst, port) на принимающем сервере для снижения утилизации лицензии

</aside>

Настройка производится через Web-интерфейс Palo Alto NGFW, для выполнения настроек откройте в браузере Web-консоль и войдите под учетной записью с правами администратора.

Добавление Syslog-профиля

1. Перейдите в раздел “Device” → “Server Profiles” → “Syslog”, нажмите “Add” для добавления нового профиля.

   • Screenshot

2. В окне создания профиля (Syslog Server Profile) укажите удобное имя в поле “Name” и нажмите “Add” для добавления Syslog-сервера, в параметрах сервера укажите:

   • Screenshot
   • Name - произвольное имя для индентификации Syslog-сервера;
   • Syslog Server - DNS-имя или IP-адрес принимающего Syslog-сервера;
   • Transport - выберите UDP / TCP / SSL (используется шифрование поверх TCP)
   • Port - порт принимающего Syslog-сервера;
   • Format = BSD (по умолчанию)
   • Facility = LOG_USER (по умолчанию)

   Сохраните изменения - “ОК”

Настройка отправки системных событий

1. Передите в раздел “Device” → “Log Settings”
   • Screenshot