AuthentifizierungsProtokolle lesen
Resolution
Von Samba als Domain-Controller mit syslog Parse
Dieser Artikel soll Nutzern von Palo Alto Networks Firewalls-Nutzern mit User-ID-Adoption helfen, indem Sie eine Umgebung mit Samba4 als Domain-Controller integrieren.
Es ´ nicht das Ziel dieses Artikels, zu zeigen, wie man Linux, Samba oder andere Software installieren. Hier werden wir nur zeigen, wie man Software für das Versenden von Protokollen an NGFW konfiguriert.
Für diesen Artikel habe ich folgende Software und Versionen verwendet:
Linux: Ubuntu 18,04 LTS
Samba: Samba Version 4.7.6-Ubuntu
Firewall: PA220 mit PAN-OS 8.0.11
Schritt 1: Konfigurieren Sie Samba, um LOGON-Events-Datensätze in nur einer Zeile zu schreiben.
Open SMB. conf:
VI/etc/samba/smb.conf
- Fügen Sie am Ende des [globalen] Abschnitts folgende Zeilen hinzu:
Log-Level = 3
syslog = 3
VFS-Objekt = full_audit
full_audit: Success = Connect
full_audit: Ausfall = Disconnect
full_audit: Präfix =% u% I |% S
full_audit: Facility = local5Root @ srvdc01:/etc/samba # Cat SMB. conf
# Global Parameters
[Global]
DNS Spediteur = 8.8.8.8
NetBIOS Name = srvdc01
Realm = mydomain. LOKALE
Server Rolle = aktives Verzeichnis Domain-Controller-
arbeitsGRUPPE = mydomain
idmap_ldb: Verwenden Sie RFC2307 = ja-
Log-Level = 3
syslog = 3
VFS-Objekt = full_audit
full_audit: Success = Connect
f ull_audit: Ausfall = Disconnect
full_audit: Präfix =% u% I |%
S full_audit: Facility = local5
- Samba-Konfiguration neu laden:
# smbcontrol alle Reload-config
- Prüfen Sie, ob Protokolle wie erwartet registriert werden:
# Tail-f/var/log/messages Jun 28 12:02:33 srvdc01 smbd_audit [1589]: MYDOMAIN\usuario01 192.168.70.51 | IPC_ | Connect | OK | IPC $
Jetzt müssen wir diese Datensätze an die Palo Alto Networks Firewall schicken.
- Navigieren Sie zu Directory/etc/rsyslog.d/sehen Sie, dass andere Dateien bereits hier existieren, also erstellen Sie die folgende Datei:
# VI/etc/rsyslog.d/00-Samba.conf
- Fügen Sie die folgende Zeile in diese Datei ein:
If $ProgramName = = ' smbd_audit ' und $syslogseverity = = ' 5 ' dann @ 192.168.10.6:514
wo 192.168.10.6 ist Mgmt IP-Adresse.
Jetzt nimmt Samba Event-Logons in einem besseren Format auf; Rsyslog liest diese Aufzeichnungen, filtert wie vereinbart als 00-Samba. conf und sendet an die zuvor aufgelegte IP-Adresse.
- Palo Alto SSH Session: sehen Sie syslog-Pakete:
admin @ PA-220-Lab > tcpdump-Filter "src 192.168.70.50 and Port 514"
- Öffnen Sie eine neue SSH-Session zur Firewall und sehen Sie Mgmt. pcap in Echtzeit:
admin @ PA-220-Lab > View-pcap folgen ja Mgmt-pcap Mgmt. pcap
12:09:30.927704 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 102
12:09:56.286576 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 95
12:10:06.958614 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 98
12:10:08.723756 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 99
12:10:08.724217 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog daemon. Hinweis, Länge: 124
12:10:08.724708 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog daemon. Hinweis, Länge: 178
12:10:08.728748 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 189
12:10:08.729317 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 189
12:10:08.729916 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Hinweis, Länge: 208
Schritt 2: Konfigurieren Sie die Firewall, indem Sie ein Syslog-Parse-Profil erstellen, einen Benutzer-Identifikations Server überWachen und die Benutzer von syslog überprüfen:
- Gehen Sie zum Gerät > BenutzerIdentifikation, bearbeiten Sie die Palo Alto Networks Benutzer-ID Agent Setup > syslog Filters und klicken Sie auf HinzuFügen.
Benutzername Regex: MYDOMAIN\\\w * [-. _]? \w + Adresse Regex: \d{1,3} \.\d{1,3} \.\d{1, 3} \.\d{1, 3} - Erstellen Sie ein überWachten Server-Objekt mit der IP des Syslog-Absenders und fügen Sie das syslog-Parse-Profil als Filter hinzu.
Danach wird eine komplette User-ID-Konfiguration auf der Firewall durch die BenutzerKENNUNG ermöglicht.
Wenn die Firewall-Konfiguration beendet ist, können Sie Samba-Logon-Ereignisse wie folgt sehen:
Open Firewall SSH Session:
admin @ PA-220-Lab > Benutzer-IP-User-Mapping alle Typ SYSLOG
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------- -----------------------------------
192.168.70.51 VSYS1 syslog mydomain\usuario01 2696 2696
Total: 1 User
Siehe Gruppen-Mapping:
admin @ PA-220-Lab > Benutzer-IP-User-Mapping IP 192.168.70.51
IP-Adresse: 192.168.70.51 (vsys1)
User: Mydomain\usuario01
aus: syslog
Idle Timeout: 2684s
Max. TTL: 2684s
Group (s): mydomain\usuario01 (30)
CN = User, CN = Builtin, DC = MyDomain, DC = local (2147483674)
CN = Domain-Benutzer, CN = User, DC = MyDomain, DC = local (2147483696)
Sie können SYSLOG-Informationen in Echtzeit auf der GUI sehen.
Zu Monitor gehen-> Logs-> User-ID
Geben Sie diesen Filter "(DataSource EQ syslog)" ein und drücken Sie "Enter". Du wirst sehen:
Ich hoffe, dass dieser Artikel dazu beiträgt, die Akzeptanz von User-ID auf Palo Alto Network Firewalls oder NGFW zu erhöhen.
Gerne können Sie Kommentare oder Fragen hinterlassen.
Dieser Artikel wurde von @fabianopereira
Über den Autor
Fabiano arbeitet als Post-Sales-Koordinator für LDC Soluções in Brasilien und sein Hauptaugenmerk liegt auf der InformationsSicherheit mit Composite-Plattformen, die auf NGFW, Endpunkt, SaaS und Cloud-Technologien basieren.