Einstieg: Logweiterleitung
Resolution
Was kann meine Firewall noch tun? Logdateien und Berichte weiterleiten —
In manchen Situationen kann es sinnvoll sein, Protokolle an ein Software-Produkt für SicherheitsInformationen und Event Management (SIEM), Log-Korrelation-Produkt, Panorama-zentralisiertes Management zu senden oder einfach eine e-Mail zu erhalten, wenn ein bestimmtes Ereignis auftritt.
Auf der Palo Alto Networks Firewall kann die Log-WeiterLeitung für alle Arten von Veranstaltungen, einschließlich Sicherheits-Regel-Hits oder System-Events, aktiviert werden. SNMP-fallen oder e-Mails können gesendet werden, wenn eine Regel getroffen wird oder ein Ereignis auftritt, und Berichte können auch an bestimmte e-Mail-Adressen weitergeleitet werden.
Um loszulegen, müssen Sie zunächst ein entsprechendes Serverprofil erstellen: entweder muss ein SNMP-Server, ein Syslog-Server oder ein e-Mail-Profil erstellt werden.
Im sylog-Server-Profil können das syslog-Format und die Anlage an die Syslog-Server-Konfiguration angepasst werden.
Im e-Mail-Server-Profil kann der Display-Name auf ein freundliches Format gesetzt werden, um in der empfangenen e-Mail zu erscheinen.
Pro-Tip: in den meisten Fällen empfehlen wir, die "from"-e-Mail-Adresse auf eine Domain innerhalb der Organisation zu setzen, da SMTP-Server so konfiguriert werden können, dass Sie keine Nachrichten aus verschiedenen Domains weiterleiten
Wenn die entsprechenden Server Profile erstellt wurden, gibt es mehrere Stellen, an denen Sie eingestellt werden können, um die Weiterleitung zu starten.
System Log
Bei System Ereignissen, wie Sie im System Protokoll zu sehen sind, kann ein Server pro schwere zugeordnet werden. Auf diese Weise können zum Beispiel alle nicht-informativen Protokolle an einen Syslog-Server weitergeleitet werden, um historische Informationen zu erhalten, hohe schwere Ereignisse, um eine SNMP-Falle an einen Alarmserver zu senden, und kritische Ereignisse, um eine e-Mail zu versenden und das Protokoll an Panorama zu senden. Wenn Sie einfach auf die schwere klicken, wird das Konfigurationsfenster angezeigt, in dem Sie die zu ergreifenden Aktionen einstellen können.
Sicherheitsprotokoll
Jede Sicherheitsregel kann ein individuelles Logweiterleitungs Profil zugeordnet werden. In den meisten Szenarien bedeutet dies, dass die meisten, wenn nicht alle Sicherheitsprotokolle an ein Panorama oder syslog weitergeleitet werden. Kritische Bedrohungen können eine SNMP-Falle erzeugen oder das Sicherheitsteam mit einer Benachrichtigung per e-Mail versenden.
Erstellen Sie zunächst ein oder mehrere Profile, die Ihren Bedürfnissen entsprechen:
Pro-Tip: Androhung schwere Information wird URL-Filter Protokolle enthalten, wenn Sie diese exportieren möchten.
Und als nächstes befestigen Sie das Profil an einer Sicherheitsregel, indem Sie das Log-Weiterleitungs Profil in der Registerkarte Aktionen hinzufügen. EIN neues Icon wird in der sicherheitspolitischen Ansicht angezeigt, um anzuzeigen, dass die Log-Weiterleitung für diese Richtlinie aktiviert wurde.
Berichte
Schließlich können Berichte auch täglich oder wöchentlich verschickt werden, so dass ein Administrator einen bequemen Zustand erhalten kann, ohne sich in der Firewall einloggen zu müssen.
Erstellen Sie zunächst eine Berichts Gruppe, die vordefinierte oder benutzerdefinierte Berichte in einer einzigen Ausgabe Gruppe kombiniert. Alle verfügbaren Berichte können aus dem linken Fenster ausgewählt und in die Gruppe in der rechten Leiste verschoben werden.
Nachdem die Gruppe erstellt wurde, konfigurieren Sie einen e-Mail-Scheduler für die Erstellung des Berichts und die anschließende e-Mail an die gewünschten Administratoren.
Nachdem die Berichte verfügbar sind (einige benutzerdefinierte Berichte können einige Zeit benötigen, um eine wöchentliche Übersicht zu füllen, wenn Sie gerade erst erstellt wurden), werden Sie in der e-Mail-PDF-Datei erscheinen.
Wenn Ihnen dieser Artikel gefallen hat, schauen Sie sich bitte die ganze Serie an, um loszulegen: die Serie und fühlen Sie sich frei, unten zu kommentieren!
Viele Grüße,
Tom