認証ログの読み取り
Resolution
Syslog 解析を用いたドメインコントローラとしての Samba から
この資料では、ドメインコントローラとして Samba4 と環境を統合することによってユーザー ID の採用とパロアルトのネットワークのユーザーのファイアウォールのユーザーを支援することです。
Linux、Samba、その他のソフトウェアをインストールする方法を示すのは、この記事の目的ではない´です。ここでは、NGFW にログを送信するためのソフトウェアを構成する方法のみをデモンストレーションします。
この記事のために、私は次のソフトウェアおよび版を使用した:
Linux の: Ubuntu の18.04 の
サンバ: サンババージョン 4.7.6-Ubuntu の
ファイアウォール: PA220 8.0.11
ステップ 1: Samba を構成して、ログオンイベントレコードを一行だけに書き込むようにします。
smb を開きます。
vi/etc/samba/smb.conf
- [global] セクションの最後に次の行を追加します。
ログレベル = 3
syslog = 3
vfs オブジェクト = full_audit
full_audit: 成功 = 接続
full_audit: 失敗 = 切断
full_audit: プレフィックス =% u% I |% S
full_audit: ファシリティ = local5ルート @ srvdc01:/etc/samba # cat smb
# グローバルパラメータ
[グローバル]
dns フォワーダ = 8.8.8.8
netbios 名 = srvdc01
レルム = MYDOMAIN。ローカル
サーバーの役割 = active directory ドメインコントローラの
ワークグループ = MYDOMAIN
idmap_ldb: 使用 rfc2307 = はい
ログレベル = 3
syslog = 3
vfs オブジェクト = full_audit
full_audit: 成功 = 接続
full_audit: 失敗 = 切断
full_audit: 接頭辞 =% u% I |% S
full_audit: ファシリティ = local5
- Samba の設定をリロードする:
# smbcontrol すべてのリロード-設定
- ログが正常に登録されているかどうかを確認します。
# 尾-f/var/log/messages 6月 28 12:02:33 srvdc01 smbd_audit [1598]: MYDOMAIN\usuario01 192.168.70.51 |IPC_ | 接続 | ok |IPC $
今、我々は、パロアルトネットワークファイアウォールにこれらのレコードを送信する必要があります。
- ディレクトリ/etc/rsyslog.d/に移動して、他のファイルが既に存在することを確認し、次のファイルを作成します。
# Vi/etc/rsyslog.d/00-samba.conf
- このファイル内に次の行を挿入します。
$programname = = ' smbd_audit ' と $syslogseverity = = ' 5 ' の場合、@ 192.168.10.6: 514
ここで、192.168.10.6 は管理 IP アドレスです。
今、Samba はより良い形式でイベントのログオンを記録しています。Rsyslog は、これらのレコードを読んでいる, として合意されたフィルタリング 00-samba のと IP アドレスに送信以前に設定.
- パロアルト SSH セッション: syslog パケットを見て:
管理者 @ pa-220-ラボ > tcpdump フィルタ "src 192.168.70.50 とポート 514"
- ファイアウォールへの新しい SSH セッションを開き、pcap をリアルタイムで確認します。
管理者 @ pa-220-ラボ > ビュー-pcap に従ってくださいはいマネージメント-pcap マネジメント pcap
12:09: 30.927704 ip 192.168.70.50.60943 > 192.168.10.6: syslog local5 通知、長さ: 102
12:09: 56.286576 ip 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. 通知、長さ:95
12:10: 06.958614 ip 192.168.70.50.60943 >192.168.10.6: syslog local5 通知, 長さ:98
12:10: 08.723756 ip 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. 通知、長さ:99
12:10: 08.724217 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog デーモン。通知、長さ: 124
12:10: 08.724708 ip 192.168.70.50.60943 > 192.168.10.6 syslog: syslog デーモン. 通知、長さ: 178
12:10: 08.728748 ip 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. 通知、長さ: 189
12:10: 08.729317 ip192.168.70.50.60943 > 192.168.10.6: syslog local5 通知, 長さ: 189
12:10: 08.729916 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. 通知、長さ: 208
手順 2: syslog 解析プロファイルを作成してファイアウォールを構成する, ユーザー識別監視サーバーと syslog からユーザーを確認する:
- [デバイス] > [ユーザー id] に移動して、パロアルトネットワークの [ユーザー識別エージェントのセットアップ] > [Syslog フィルタ] を編集し、[追加] をクリックします。
ユーザー名正規表現: MYDOMAIN\\\w * [-. _]? \w + アドレス正規表現: \d{1, 3} \.\d{1, 3} \.\d{1, 3} \.\d{1, 3} - syslog 送信者の IP を使用して、ユーザ識別監視対象サーバオブジェクトを作成し、syslog 解析プロファイルをフィルタとして追加します。
この後、ユーザー id の導入を可能にするために、ファイアウォール上のユーザー id 構成を完了します。
ファイアウォールの構成が完了すると、次のように Samba ログオンイベントが表示されることがあります。
オープンファイアウォールの SSH セッション:
管理者 @ pa-220-lab > ユーザーの ip を表示する-ユーザーのマッピングすべてのタイプの SYSLOG
ip Vsys ユーザー IdleTimeout (秒) から MaxTimeout
---------------------------------------------------------------------------------------------------------------------
192.168.70.51 vsys1 SYSLOG mydomain\usuario01 2696 2696
合計: 1 ユーザー
グループマッピングを参照してください。
管理者 @ pa-220-lab > ユーザーの ip を表示する-ユーザーマッピング ip 192.168.70.51
ip アドレス: 192.168.70.51 (vsys1)
ユーザー: mydomain\usuario01
から: SYSLOG
アイドルタイムアウト: 2684s
最大。TTL: 2684s
グループ (秒): mydomain\usuario01 (30)
cn = ユーザー、cn = 組み込み、dc = mydomain、dc = ローカル (2147483674)
cn = ドメインユーザー、cn = ユーザー、dc = mydomain、dc = ローカル (2147483696)
あなたは、GUI 上でリアルタイムで SYSLOG 情報を見ることができます。
モニタに移動-> ログ-> ユーザー ID
入力このフィルタ "(データソース eq の syslog)" と "enter" を押してください。見ていてください:
この記事は、パロアルトネットワーク次世代ファイアウォールまたは NGFW のユーザー ID の採用を増やすのに役立ちます願っています。
下記のコメントや質問を残すこと自由に感じなさい。
この記事は@fabianopereira
によって貢献された
著者について
ファビアーノは、ブラジルの Soluções のためのポストセールスコーディネーターとして動作し、彼の主な焦点は、NGFW、エンドポイント、SaaS とクラウドの技術に基づいて、複合プラットフォームを使用して、情報セキュリティです。