将 Palo Alto Networks 连接到 Azure Sentinel

本文介绍了如何将 Palo Alto 网络设备连接到 Azure Sentinel。 Palo Alto Networks 数据连接器可让你轻松连接 Palo Alto 网络日志和 Azure Sentinel,查看仪表板、创建自定义警报,以及改进调查。 使用 Azure 上的 Palo Alto 网络可以更深入地了解组织的 Internet 使用情况,并增强其安全操作功能。

工作原理

需要在专用 Linux 计算机(VM 或本地)上部署代理,以支持 Palo Alto 网络与 Azure Sentinel 之间的通信。 下图说明了 Azure 中 Linux VM 的情况下的设置。

Azure 中的 CEF

或者,如果你在其他云中或本地计算机中使用 VM,则会存在此设置。

本地 CEF

安全注意事项

请确保根据组织的安全策略配置计算机的安全性。 例如,你可以将网络配置为与你的企业网络安全策略一致,并更改守护程序中的端口和协议以符合你的要求。 你可以使用以下说明来改善计算机安全配置:  Azure 中的安全 VM、网络安全的最佳做法。

若要在安全解决方案和 Syslog 计算机之间使用 TLS 通信,需要将 Syslog 守护程序(rsyslog 或 syslog-ng)配置为在 TLS 中进行通信:使用 tls Rsyslog 加密 Syslog 流量,使用 tls 加密日志消息–syslog-ng。

必备组件

请确保用作代理的 Linux 计算机运行的是以下操作系统之一:

  • 64 位

    • CentOS 6 和 7
    • Amazon Linux 2017.09
    • Oracle Linux 6 和 7
    • Red Hat Enterprise Linux Server 6 和 7
    • Debian GNU/Linux 8 和 9
    • Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
    • SUSE Linux Enterprise Server 12
  • 32 位

    • CentOS 6
    • Oracle Linux 6
    • Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 和 9
    • Ubuntu Linux 14.04 LTS 和 16.04 LTS
  • 守护程序版本

    • Syslog-ng: 2.1-3.22。1
    • Rsyslog: v8
  • 支持的 Syslog Rfc

    • Syslog RFC 3164
    • Syslog RFC 5424

请确保您的计算机还满足以下要求:

  • 权限
    • 您的计算机上必须具有提升的权限(sudo)。
  • 软件要求
    • 请确保在计算机上运行 Python

步骤1:部署代理

在此步骤中,需要选择将充当 Azure Sentinel 和安全解决方案之间代理的 Linux 计算机。 你将需要在代理计算机上运行脚本:

  • 安装 Log Analytics 代理,并根据需要对其进行配置,以便通过 TCP 侦听端口514上的 Syslog 消息,并将 CEF 消息发送到 Azure Sentinel 工作区。
  • 使用端口25226将 Syslog 守护程序配置为将 CEF 消息转发到 Log Analytics 代理。
  • 设置 Syslog 代理以收集数据并将其安全地发送到 Log Analytics,并对其进行分析和扩充。
  1. 在 Azure Sentinel 门户中,单击 "数据连接器",选择 " Palo Alto Networks ",然后单击 "连接器" 页

  2. 在 "安装并配置 Syslog 代理" 下,选择你的计算机类型(Azure、其他云或本地)。

     备注

    因为下一步中的脚本会安装 Log Analytics 代理,并将计算机连接到 Azure Sentinel 工作区,请确保此计算机未连接到任何其他工作区。

  3. 您的计算机上必须具有提升的权限(sudo)。 请确保使用以下命令在计算机上具有 Python: python –version

  4. 在代理计算机上运行以下脚本。 sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. 脚本运行时,请检查以确保没有收到任何错误或警告消息。

步骤2:将 Palo Alto Networks 日志转发到 Syslog 代理

将 Palo Alto Networks 配置为通过 Syslog 代理将 Syslog 消息以 CEF 格式转发到 Azure 工作区:

  1. 请参阅通用事件格式(CEF)配置指南,并下载适用于你的设备类型的 pdf。 按照指南中的所有说明设置 Palo Alto Networks 设备,收集 CEF 事件。

  2. 转到 "配置 Syslog 监视",然后执行步骤2和步骤3,将 CEF 事件从 Palo Alto 网络设备转发到 Azure Sentinel。

    1. 请确保将Syslog 服务器格式设置为BSD

       备注

      PDF 中的复制/粘贴操作可能会更改文本并插入随机字符。 若要避免这种情况,请将文本复制到编辑器,并在粘贴之前删除可能会破坏日志格式的任何字符,如本示例中所示。

      CEF 文本复制问题

  3. 若要在 Palo Alto Networks 事件的 Log Analytics 中使用相关架构,请搜索CommonSecurityLog

步骤3:验证连接性

  1. 打开 Log Analytics,确保使用 CommonSecurityLog 架构接收日志。
    可能需要长达20分钟的时间,日志才会开始出现在 Log Analytics 中。

  2. 在运行该脚本之前,我们建议您从安全解决方案发送消息,以确保将这些消息转发到您配置的 Syslog 代理计算机。

  3. 您的计算机上必须具有提升的权限(sudo)。 请确保使用以下命令在计算机上具有 Python: python –version

  4. 运行以下脚本,检查代理、Azure Sentinel 和安全解决方案之间的连接。 它会检查是否正确配置了守护程序转发,侦听了正确的端口,并且没有阻止守护程序与 Log Analytics 代理之间的通信。 该脚本还会发送模拟消息 "TestCommonEventFormat" 来检查端到端连接。 
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

后续步骤

本文档介绍了如何将 Palo Alto 网络设备连接到 Azure Sentinel。 要详细了解 Azure Sentinel,请参阅以下文章:

  • 了解如何了解你的数据以及潜在的威胁。
  • 开始通过 Azure Sentinel 检测威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/439020.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCIE理论-第十二篇-IPV6-NDP协议

CCIE理论-第十二篇-IPV6-NDP协议 首先我们知道 在IPV4中 A:0.0.0.1-126.255.255.255 B:128.0.0.1-191.255.255.255 C:192.0.0.0-223.255.255.255 D:224.0.0.0-239.255.255.255-组播 E 240.0.0.0-255.255.255.255 其中224.0.0.1-224.0.0.255为永久组播地址 理论上来说,去找这些…

Sentinel 连接数据源

若要载入 Azure Sentinel,首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器,提供实时集成(包括 Microsoft 威胁防护解决方案)和 Microsoft 365 源(包括 Office 365、Azure…

CCIE理论-第十三篇-IPV6-路由-静态+(EIGRP+OSPF)两种做法+IPV4-ARP代理详解(精髓篇)

CCIE理论-第十三篇-IPV6-路由-静态(EIGRPOSPF)两种做法IPV4-ARP代理详解(精髓篇) 其实呢,路由协议,静态路由 他还是ipv4那一套,只不过多了点东西 该怎么搞怎么搞,ospf还是要network,bgp一样要写邻居 只不过换了一种方式呈现出来,不过实际上也差不多,很容易看懂的静态 最大的区…

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验 首先列,还是有两种做法,还是做实验看效果啊哈 R1为bgp的as1 下面三个设备都是as100 然后r5是as2 这边方便一会做ibgp和ebgp其中,r1带一个1::1/128的环回口,然后r5带一个2::2/128的环回口其中呢,在BGP里面,IPV4和IPV6都是分单播和…

CCIE理论-第十五篇-IPV6-重分布+ACL+前缀列表

CCIE理论-第十五篇-IPV6-重分布ACL前缀列表 重分布前面讲过,这里再讲一次实操效果看看 在ipv6中重分布直连路由是需要加上include-connected的 环境 就这么简单哈,然后两边都有环回口.来做重分布. 左边1::1/64,中间1::2/64,右边10::1/64,然后10::2/64 还是用BGP来做吧,典型点…

CCIE理论-第十六篇-IPV6-GRE隧道+IPV6 OVER IPV4 隧道

CCIE理论-第十六篇-IPV6-GRE隧道IPV6 OVER IPV4 隧道 IPV6也写了好多篇章, 后面还有两篇,一个IPV6的NAT,一个综合实验,那么就结束IPV6到MPLS了,其实还挺多的哈,差不多应该有10篇章都是在讲IPV6里面的技术了,后面的MPLS,各种VPN,IPSEC呀,GRE,DMPVN,SSL-VPN,L2TP等 看着哥哥双战技…

使用 Syslog 连接外部解决方案

可以将支持 Syslog 的任何本地设备连接到 Azure Sentinel。 这是通过在设备和 Azure Sentinel 之间使用基于 Linux 计算机的代理来完成的。 如果 Linux 计算机位于 Azure 中, 则可以将设备或应用程序中的日志流式传输到在 Azure 中创建的专用工作区, 并进行连接。 如果 Linux 计…

CCIE理论-第十七篇-IPV6-NAT-PT

CCIE理论-第十七篇-IPV6-NAT-PT 这是最后一篇IPV6了,IPV6讲了好久好久了 ipv6的gre还给我上了个热榜哈哈 这一篇讲解IPV6的NAT,IPV6的NAT和IPV4的NAT还是挺多不同的 NAT对于设备的负载是非常大的,因为要记录那个NAT表 分类 这里提一下,因为这个IPV6的NAT在模拟器里面可能有…

CCIE理论-第十八篇-MPLS概念描述

CCIE理论-第十八篇-MPLS概念描述 IPV6是搞完了,就到MPLS了 首先呢有些人会喜欢叫MPLS-VPN 但是请注意 MPLS和VPN,是他吗的两个技术!!! MPLS MPLS呢,也是一种数据的交换方式,不过可能他显得高级那么一点点 VPN应该属于是个人都知道的那种了,虚拟专用网络.简单的说就是梯子 后…

CCNP-第十八篇-ISIS-理论

CCNP-第十八篇-ISIS-理论 ISIS 中间系统到中间系统(ISIS-Intermediate system to intermediate system)是一个分级的链接状态路由协议,基于DECnet PhaseV 路由算法,实际上与OSPF非常相似,它也使用Hello协议寻找毗邻节…

CCNP-第十九篇-ISIS(二)

CCNP-第十九篇-ISIS(二) 首先来个对比的通信机制 首先呢,工作环境中,他没OSPF那么复杂哈,然后 底层启了ISIS,通了就不用管它了 实验环境 注意,上图是错误示范哦! 为什么呢? 为啥呢,前面不是说过ISIS是以路由器为单位的吗? 是的没错但是 L1和L2是无法直接连接到一起去的 …

XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论+实操)

XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论实操) 首先呢 华为:框式机的堆叠技术称为CSS,盒式机称为iStack。 思科:VSS(对标istck)Flexstack(对标CSS) 锐捷:VSU H3C:不管盒式还是框式,统称为irf 这个盒式设备和框式设备咋理解呢? 华为:https://forum.…

云计算-Linux-云计算是啥.什么是Linux-小白

云计算-Linux-云计算是啥.什么是Linux-小白 20年前说到这个词,你这骗人的吧? 那就是2000年的那场IT峰会了 谁呢 深圳腾 搜索宏 杭州马 到后来,马云回到了阿里巴巴 这个云厂商的第一呢,就是亚马逊的了. 就像数通里面的思科那种感觉了 在这里呢,除了华为和百度和腾讯云用的多…

ABP入门系列(1)——通过模板创建MAP版本项目

一、从官网创建模板项目 进入官网下载模板项目 依次按下图选择: 输入验证码开始下载 下载提示: 二、启动项目 使用VS2015打开项目,还原Nuget包: 设置以Web结尾的项目,设置为启动项目: …

云计算-Linux-VMware安装Centos

云计算-Linux-VMware安装Centos 首先这个,介绍一下哈,VMware是常见的虚拟机的承载平台 对应的还有这个ESXI,vmware vsphere等 对于我们个人用户来说,都是这个VMware workstations比较多的 VM安装包百度网盘如下(永久) 链接:https://pan.baidu.com/s/1XquCdbMsX0gjJ…

ABP入门系列(2)——领域层创建实体

这一节我们主要和领域层打交道。首先我们要对ABP的体系结构以及从模板创建的解决方案进行一一对应。网上有代码生成器去简化我们这一步的任务,但是不建议初学者去使用。 一、首先来看看ABP体系结构 ABP体系结构 领域层就是业务层,是一个项目的核心&…

云计算-Linux-远程连接,Linux岗位介绍

云计算-Linux-远程连接,Linux岗位介绍 使用Xshell,CRT等工具,可以连接到linux主机里面,SSH是默认打开的, 然后就不需要这个在vm里面的那个窗口操作,可以在这个软件里面直接操作 以这个xshell为例子 直接ssh ip地址即可 这个呢机器装完了,就讲讲这个linux的岗位介绍吧 这个的…

云计算-Linux系统基本概念,命令终端字段含义介绍,命令行格式介绍

云计算-Linux系统基本概念,命令终端字段含义介绍,命令行格式介绍 Linux系统的概念 1.多用户系统,允许多个用户登录系统,使用系统的资源(跟windows不一样,比如RDP远程连接,他只能一个用户在,其他用户上来就把他挤掉了) 最高是65535,因为端口一共就这么多,不过实际上不会这样干…

三层架构与MVC的区别

我们平时总是将混为一谈,殊不知它俩并不是一个概念。下面我来为大家揭晓我所知道的一些真相。 首先,它俩根本不是一个概念。 三层架构是一个分层式的软件体系架构设计,它可适用于任何一个项目。 MVC是一个设计模式,它是根据项目的…

云计算-Linux文件类型介绍,归属关系,基本权限介绍

云计算-Linux文件类型介绍,归属关系,基本权限介绍 这个点我是真滴不困好吧,学习吧那就~ 隐藏文件 上一章没有讲,这个呢,ls -a的命令他是可以显示隐藏的文件的,那问题来了,在windows里面我们可以看到的隐藏文件是暗色的,那么Linux里面的是? 是这样的哦 在Linux里面,文件的前面…