Palo Alto Networks 下一代防火墙的来源配置
与 Palo Alto Networks 下一代防火墙集成
CloudWatch 管道使用 PAN-OS XML API 与 Palo Alto Networks NGFW 集成,以检索安全、身份验证、网络活动、进程活动、检测调查发现和威胁活动。PAN-OS XML API 支持结构化访问,允许检索系统日志、GlobalProtect、流量日志、威胁日志和 URL 筛选日志。
使用 Palo Alto NGFW 进行身份验证
要读取网络安全日志,管道需要使用 Palo Alto Networks NGFW 登录设备界面进行身份验证。该插件支持基本身份验证。
通过 CLI 在 Palo Alto Networks NGFW 防火墙上创建和管理用户
使用用户管理员和密码以及主机名登录防火墙
将此用户名和密码存储在
username键和password键下 Amazon Secrets Manager 中的密钥内。找出并记下您的 PAN-OS 主机名。
配置完成后,管道可以使用用户名和密码进行身份验证,并从 PAN-OS 检索日志活动。
配置 CloudWatch 管道
将管道配置为从 Palo Alto Networks NGFW 读取日志时,请选择 Palo Alto Networks 下一代防火墙作为数据来源。填写 hostname 等必填信息。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 1.5.0 以及映射到“身份验证”(3002)、“网络活动”(4001)、“进程活动”(1007)和“检测调查发现”(2004)的事件。
身份验证包含以下类型和子类型:
GlobalProtect
数据
文件
flood
packet
扫描
spyware
url
病毒
漏洞
wildfire
wildfire-virus
系统日志
auth
网络活动包含以下类型和子类型:
流量日志
开启
最终
drop
拒绝
系统日志
VPN
url-filtering
app-cloud-engine
dhcp
ssh
dnsproxy
dns-security
wildfire
wildfire-appliance
ntpd
userid
进程活动包含以下类型和子类型:
系统日志
general
satd
ras
sslmgr
hw
iot
ctd-agent
路由
端口
device-telemetry
检测调查发现包含以下类型和子类型:
威胁日志
数据
文件
flood
packet
扫描
spyware
url
ml-virus
病毒
漏洞
wildfire
wildfire-virus
URL 筛选日志