Cet article est déprécié. Toute la documentation est maintenant disponible à https://splunk.paloaltonetworks.com/

 

Aperçu

Splunk pour Palo Alto Networks est un outil de rapport de sécurité et d'analyse, et est le résultat d'une collaboration entre les réseaux de Palo Alto et Splunk. Ce document décrit comment configurer Splunk pour les réseaux Palo Alto et couvre la plupart des problèmes de configuration de Splunk pour la première fois.

Note: Téléchargez Splunk pour Palo Alto Networks directement depuis le site Splunk à l’adresse : http://apps.splunk.com/app/491/. Selon le OS serveur qui exécute Splunk, suivez les recommandations d'installation du site Web Splunk.

 

S'il y a des indexeurs et des têtes de recherche distincts, installez l'application sur chacun d'eux.

 

Étapes

Sur le serveur Splunk:

Les réseaux Palo Alto Nouvelle génération Firewall utilise udp/514 pour syslog par défaut, mais puisque ce port est souvent utilisé par d’autres syslogs, nous allons utiliser udp/5514 dans nos exemples. Choisissez n'importe quel port désiré. TCP et SSL les syslogs sont disponibles en PAN-OS 6.0 et plus tard.

 

1. Vérifiez les paramètres dans le fichier Splunk inputs.conf et vérifiez qu’aucune autre configuration n’utilise le UDP ou le port que vous avez choisi pour les TCP syslogs de la firewall . Vérifiez les entrées. conf dans les répertoires suivants:

   Note: Consultez la section « Priorité de fichier de configuration » dans le Manuel d’administration d’entreprise Splunk pour en savoir plus sur la façon dont les préséances sont vérifiées sur Splunk.

   • $SPLUNK _HOME/etc/Apps/SplunkforPaloAltoNetworks/local/
   • $SPLUNK_HOME/etc/system/local/
      
2. Dans le fichier inputs. conf, ajoutez la configuration suivante. Pour UDP les syslogs, assurez-vous d’inclure la ligne no_appending_timestamp = vrai.
   Index [udp://5514]
   = pan_logs
   sourcetype = pan_log connection_host =
   ip
   no_appending_timestamp = vrai
    
3. Réinitialisez le service Splunk sur le serveur exécutant Splunk pour Palo Alto Networks app.

 

Après avoir configuré l’entrée de données, accédez au appfichier .

 

La première fois que vous exécutez le à partir de l’interface app utilisateur Web, un écran de configuration s’affiche. Vous n’avez besoin des informations d’identification que si vous souhaitez utiliser les commandes personnalisées pantag, panblock et panupdate. Le WildFire API est requis uniquement pour WildFire les abonnés qui souhaitent que Splunk indexe WildFire les rapports d’analyse du cloud lorsqu’un échantillon de malware est analysé. Ces informations d'identification sont stockées dans Splunk en utilisant le cryptage de la même manière que les autres informations d'identification Splunk sont stockées.

 

Si vous ne souhaitez pas utiliser ces fonctions supplémentaires, ignorez l'écran de configuration en cliquant sur Enregistrer.

• Allez dans Apps > Splunk pour les réseaux de Palo Alto.
• Ajoutez les informations d’identification nom d’utilisateur/mot de passe appropriées pour les réseaux Palo Alto firewall et la WildFire API clé.
  

Note: Après vous être connecté WildFire au Portail pour WildFire les abonnés, accédez WildFire API à la clé sous le compte. Copiez et coller la clé dans la WildFire API clé (voir exemple).

 

Sur l'appareil de Palo Alto Networks:

Après avoir terminé l'installation sur le site Splunk, configurer le périphérique Palo Alto Networks pour envoyer des syslogs à Splunk.

1. Allez dans appareil > Server profils > Syslog.
2. Configurez les détails pour le serveur Splunk, y compris UDP le port (5514, pour cet exemple).
   
   Note: Ne définissez pas de format de journal personnalisé. Les journaux doivent être au format par défaut ou Splunk ne les analyseront pas.
3. Configurez un mécanisme de journalisation firewall sur le serveur syslog pour l’utiliser. Configurez par exemple une règle policy de sécurité avec un profil de forwarding journal qui utilise le serveur syslog Splunk. Ou configurez firewall les événements de config ou de système à enregistrer sur le serveur syslog Splunk. Les règles policy de sécurité sont en vertu des politiques > sécurité. D'autres événements Syslog configurables se trouvent sous Device > log Settings.

 

Tester la configuration

La meilleure façon de tester que tout fonctionne est de configurer le firewall syslog tous les événements config. Allez sur Device > log Settings > config et Commit. Faire n’importe quel changement de configuration firewall et le produit un syslog événement config. Vous n'avez pas à valider la modification pour le syslog à produire-toute modification non validée à la configuration produit un journal. Vous pouvez vérifier le journal atteint Splunk en accédant à Splunk pour Palo Alto Networks app, cliquez sur Rechercher dans la barre de navigation et entrez:

 

index=pan_logs sourcetype=pan_config

 

Si Splunk reçoit les syslogs de la firewall et les parsing correctement, alors vous verrez les syslogs événement config s’afficher ici à partir des modifications que vous avez apportées sur la firewall configuration.

 

Étapes de dépannage

1. Vérifiez que toute configuration initiale est terminée

• Vérifiez que inputs. conf est configuré selon les instructions ci-dessus
• inputs. conf doit avoir la ligne "no_appending_timestamp = true"
• Vérifiez les autres configurations inputs. conf pour les autres entrées utilisant le même port
• Vérifiez que le firewall n’utilise pas un format de journal personnalisé (doit utiliser par défaut)
• Vérifiez que le est firewall réglé pour enregistrer quelque chose comme les événements système, config événements, événements de trafic, et ainsi de suite.
• Vérifiez que les horloges sur le firewall serveur Splunk et sont les mêmes.S’ils sont différents, les journaux ne s’affichent pas correctement.
• Si vous utilisez un TCP ou un port pour les SSL syslogs, essayez UDP d’abord, puis passez à TCP ou une fois SSL UDP fonctionne

 

2. Vérifiez que les journaux sont indexés

Utilisez la méthode décrite dans Testez la configuration pour produire quelques syslogs. Vérifiez que les journaux atteignent le serveur Splunk en accédant à Splunk pour Palo Alto Networks app, cliquez sur Rechercher dans la barre de navigation, puis saisissez :

index=pan_logs

 

Si aucun journal ne s'affiche, les journaux ne sont pas correctement indexés. Utilisez ces étapes pour trouver le problème:

• Vérifiez la configuration de la section Dépannage ci-dessus.
• Commutez le délai de recherche à tous les temps. Si les journaux s'affichent, vérifiez que l'horodatage est correct sur les journaux. Si le temps est erroné, vérifiez que les horloges sur le serveur Splunk et firewall sont les mêmes.
• Utilisez tcpdump ou Wireshark sur le serveur Splunk pour vérifier que les journaux sont en train de l'atteindre. Vérifiez également que l'index pan_logs existe.

 

3. Vérifiez que les journaux sont correctement parsed

Utilisez la méthode décrite ci-dessus dans la section Testez la configuration pour produire quelques syslogs. Vérifiez que les journaux atteignent le serveur Splunk en accédant à Splunk pour Palo Alto Networks app, cliquez sur « Rechercher » dans la barre de navigation et entrez la recherche suivante :

index=pan_logs sourcetype=pan_config

 

Si les journaux se sont affichés à l’étape 2, mais qu’aucun journal ne s’affiche maintenant, essayez sourcetype=pan_logs au lieu de sourcetype=pan_config.Si les journaux commencent à s’afficher après cette modification, les journaux ne sont pas correctement parés :

• Vérifiez que vous n’utilisez pas un format de journal personnalisé dans le paramètre du serveur syslog sur le firewall .
• Vérifiez que le fichier inputs. conf est configuré avec la ligne "no_appending_timestamp = true"
• Si vous utilisez un transitaire syslog tiers entre le périphérique Palo Alto Networks et Splunk, vérifiez que le relecteur ne modifie pas les journaux.

 

4. Vérifiez l’accélération et l’indexation sommaire

Vérifiez que les tableaux de bord sont remplis de données. Le tableau de bord Overview n'utilise pas L'accélération, il devrait donc fonctionner à ce stade. Si elle ne montre pas les données, puis revenir à dépannage. Pour tous les autres tableaux de bord, après 5-8 minutes de syslogging au serveur Splunk, les tableaux de bord doivent remplir avec des données. Si les tableaux de bord sont en cours de remplissage, l'accélération et l'indexation récapitulative fonctionnent. Si ce n'est pas le cas, vérifiez ce qui suit:

 

App Version 4.0 et antérieures :

Utilise TSIDX pour l’accélération.

• Vérifiez que les recherches enregistrées pour la collection de journaux se trouvent dans le fichier savedsearches. conf. Vérifiez qu'ils n'ont pas été modifiés ou écrasés.

 

App Version 4.1 et ultérieure :

Utilise le modèle de données pour l’accélération.

• Vérifiez les paramètres d'accélération dans le modèle de données sous paramètres > modèle de données > Palo Alto Networks logs, puis modifier les paramètres d'accélération et de vérifier qu'ils sont activés pour un délai raisonnablement important.
• Cliquez sur la flèche en regard du modèle de données des journaux de Palo Alto Networks et vérifiez le pourcentage de génération de modèle de données. Il devrait être 100% ou très proche de lui.
• Si le pourcentage de build est bloqué à moins de 90%, la cause peut être des ressources limitées sur le serveur Splunk consommé par d'autres applications. Vérifiez si les applications Splunk CIM ou Splunk ES sont en cours d’exécution sur le serveur Splunk. Si elles sont, essayez de désactiver les deux applications, et voir si le pourcentage de build augmente de plus de 90%. Si c'est le cas, ouvrez un dossier avec le support Splunk pour signaler le problème de contention des ressources entre les applications et obtenir des conseils sur la façon de procéder.

 

propriétaire : ialeksov