Lecture des journaux d'Authentification
Resolution
De samba en tant que contrôleur de domaine utilisant syslog parse
Cet article est d'aider les utilisateurs de Palo Alto réseaux pare-feu utilisateurs avec l'utilisateur-ID adoption en intégrant un environnement avec Samba4 comme contrôleur de domaine.
Il ´ s pas l'objectif de cet article pour montrer comment installer Linux, Samba ou d'autres logiciels. Ici, nous allons démontrer que la façon de configurer le logiciel pour l'envoi de journaux à NGFW.
Pour cet article, J'ai utilisé les logiciels suivants et les versions:
Linux: Ubuntu 18,04 LTS
Samba: Samba version 4.7.6-Ubuntu
Firewall: PA220 avec PAN-OS 8.0.11
Etape 1: configurez samba pour écrire des enregistrements d'événements d'ouverture de session dans une seule ligne.
Ouvrir SMB. conf:
VI/etc/samba/smb.conf
- Ajoutez les lignes suivantes à la fin de la section [global]:
log Level = 3
syslog = 3
VFS Object = Full_Audit
Full_Audit: Success = connexion
Full_Audit: Failure = déconnexion
Full_Audit: préfixe =% u% I |% S
Full_Audit: installation = local5root @ srvdc01:/etc/samba # Cat SMB. conf
# Global Parameters
[global]
DNS Reverse = 8.8.8.8
NetBIOS Name = srvdc01
Realm = mydomain.
Rôle serveur local = contrôleur de domaine Active Directory =
MyDomain
idmap_ldb: utiliser RFC2307 = Yes
log Level = 3
syslog = 3
VFS Object = Full_Audit
Full_Audit: Success = connexion
f ull_audit: échec = déconnexion
Full_Audit: préfixe =% u% I |% S
Full_Audit: installation = local5
- Rechargez la configuration samba:
# smbcontrol tous recharger-config
- Vérifiez si les journaux sont enregistrés comme prévu:
# Tail-f/var/log/messages Juin 28 12:02:33 srvdc01 smbd_audit [1589]: MYDOMAIN\usuario01 192.168.70.51 | IPC_ | connexion | OK | IPC $
Maintenant, nous devons envoyer ces dossiers au pare-feu de Palo Alto Networks.
- Accédez au répertoire/etc/rsyslog.d/voir que d'autres fichiers existent déjà ici, alors créez le fichier suivant:
# VI/etc/rsyslog.d/00-samba.conf
- Insérez la ligne suivante à l'intérieur de ce fichier:
If $ProgramName = = 'smbd_audit'et $syslogseverity = = ' 5 'then @ 192.168.10.6:514
où 192.168.10.6 est l'adresse IP de Mgmt.
Maintenant, Samba enregistre les ouvertures de session d'événements dans un meilleur format; Rsyslog est la lecture de ces enregistrements, le filtrage comme convenu que 00-samba. conf et l'envoi à l'Adresse IP précédemment mis en place.
- Palo Alto ssh session: voir les paquets syslog:
admin @ PA-220-Lab > tcpdump filtre "src 192.168.70.50 et port 514"
- Ouvrez une nouvelle session SSH sur le pare-feu et consultez Mgmt. PCAP en temps réel:
admin @ PA-220-Lab > View-PCAP suivez Yes Mgmt-PCAP Mgmt. PCAP
12:09:30.927704 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longueur: 102
12:09:56.286576 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Notice, longueur: 95
12:10:06.958614 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longueur: 98
12:10:08.723756 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Notice, longueur: 99
12:10:08.724217 IP 192.168.70.50.60943 > 192.168.10.6. SYSLOG: Syslog Daemon. Notice, Longueur: 124
12:10:08.724708 IP 192.168.70.50.60943 > 192.168.10.6. syslog: Syslog Daemon. Notice, longueur: 178
12:10:08.728748 IP 192.168.70.50.60943 > 192.168.10.6. SYSLOG: syslog local5. Notice, longueur: 189
12:10:08.729317 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longueur: 189
12:10:08.729916 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Notice, longueur: 208
Étape 2: configurer le pare-feu en créant un profil d'Analyse syslog, un serveur D'Identification D'Utilisateur surveillé et vérifier les utilisateurs de syslog:
- Allez à Device > identification de l'utilisateur, modifier le Palo Alto Networks User-ID agent Setup > filtres syslog et cliquez sur Ajouter.
Nom d'Utilisateur Regex: MYDOMAIN\\\w * [-. _]? \w + Adresse Regex: \d{1} \.\d{1, 3} \.\d{1, 3} \.\d{1, 3} - Créez un objet serveur surveillé d'Identification de l'utilisateur avec l'adresse IP de l'expéditeur syslog et ajoutez le profil d'analyse syslog comme filtre.
Après cela, remplissez la configuration d'ID utilisateur sur le pare-feu pour permettre l'Adoption de l'ID utilisateur.
Lorsque la configuration du pare-feu est terminée, vous pouvez voir les événements d'ouverture de session Samba, comme suit:
Ouvrez le pare-feu SSH session:
admin @ PA-220-Lab > Show utilisateur IP-utilisateur-Mapping tous les types SYSLOG
IP VSys de L'Utilisateur IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------- -----------------------------------
192.168.70.51 VSYS1 syslog mydomain\usuario01 2696 2696
total: 1 utilisateurs
Voir mappage de groupe:
admin @ PA-220-Lab > Show utilisateur IP-utilisateur-Mapping IP 192.168.70.51
adresse IP: 192.168.70.51 (vsys1)
utilisateur: mydomain\usuario01
de: syslog
Idle timeout: 2684s
Max. TTL: 2684s
groupe (s): mydomain\usuario01 (30)
CN = Users, CN = interne, DC = MyDomain, DC = local (2147483674)
CN = Domain Users, CN = Users, DC = MyDomain, DC = local (2147483696)
Vous pouvez voir les informations SYSLOG en temps réel sur l'INTERFACE graphique.
Aller à Monitor-> log-> User-ID
Saisissez ce filtre "(DataSource EQ syslog)" et appuyez sur "Enter". Vous verrez:
Espérons que cet article permet d'augmenter l'utilisateur-ID adoption sur le réseau de Palo Alto pare-feu de prochaine génération ou NGFW.
Sentez-vous svp libre pour laisser des commentaires ou des questions ci-dessous.
Cet article a été fourni par
@fabianopereira
A propos de l'auteur
Fabiano travaille comme coordinateur des ventes post pour les PMA Soluções au Brésil et son principal objectif est la sécurité de l'Information, en utilisant des plates-formes composites, basé sur NGFW, EndPoint, Saas et Cloud technologies.