# Palo Alto Networks 下一代防火墙的来源配置
<a name="paloalto-ngfw-source-setup"></a>

## 与 Palo Alto Networks 下一代防火墙集成
<a name="paloalto-ngfw-integration"></a>

CloudWatch 管道使用 PAN-OS XML API 与 Palo Alto Networks NGFW 集成，以检索安全、身份验证、网络活动、进程活动、检测调查发现和威胁活动。PAN-OS XML API 支持结构化访问，允许检索系统日志、GlobalProtect、流量日志、威胁日志和 URL 筛选日志。

## 使用 Palo Alto NGFW 进行身份验证
<a name="paloalto-ngfw-authentication"></a>

要读取网络安全日志，管道需要使用 Palo Alto Networks NGFW 登录设备界面进行身份验证。该插件支持基本身份验证。
+ 通过 CLI 在 Palo Alto Networks NGFW 防火墙上创建和管理用户
+ 使用用户管理员和密码以及主机名登录防火墙
+ 将此用户名和密码存储在 `username` 键和 `password` 键下 Amazon Secrets Manager 中的密钥内。
+ 找出并记下您的 PAN-OS 主机名。

配置完成后，管道可以使用用户名和密码进行身份验证，并从 PAN-OS 检索日志活动。

## 配置 CloudWatch 管道
<a name="paloalto-ngfw-pipeline-config"></a>

将管道配置为从 Palo Alto Networks NGFW 读取日志时，请选择 Palo Alto Networks 下一代防火墙作为数据来源。填写 `hostname` 等必填信息。创建管道后，数据将在选定的 CloudWatch Logs 日志组中可用。

## 支持的开放式网络安全架构框架事件类
<a name="paloalto-ngfw-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0 以及映射到“身份验证”（3002）、“网络活动”（4001）、“进程活动”（1007）和“检测调查发现”（2004）的事件。

**身份验证**包含以下类型和子类型：
+ GlobalProtect
  + 数据
  + 文件
  + flood
  + packet
  + 扫描
  + spyware
  + url
  + 病毒
  + 漏洞
  + wildfire
  + wildfire-virus
+ 系统日志
  + auth

**网络活动**包含以下类型和子类型：
+ 流量日志
  + 开启
  + 最终
  + drop
  + 拒绝
+ 系统日志
  + VPN
  + url-filtering
  + app-cloud-engine
  + dhcp
  + ssh
  + dnsproxy
  + dns-security
  + wildfire
  + wildfire-appliance
  + ntpd
  + userid

**进程活动**包含以下类型和子类型：
+ 系统日志
  + general
  + satd
  + ras
  + sslmgr
  + hw
  + iot
  + ctd-agent
  + 路由
  + 端口
  + device-telemetry

**检测调查发现**包含以下类型和子类型：
+ 威胁日志
  + 数据
  + 文件
  + flood
  + packet
  + 扫描
  + spyware
  + url
  + ml-virus
  + 病毒
  + 漏洞
  + wildfire
  + wildfire-virus
+ URL 筛选日志