¿Qué más puede hacer mi Firewall? ReEnviar archivos de registro e informes:

En algunas situaciones, podría ser útil enviar registros a un producto de software de información de seguridad y administración de eventos (Siem), producto de correlación de registro, gestión centralizada de panorama, o simplemente recibir un mensaje de correo electrónico cuando ocurra un evento determinado.

En el cortafuegos de Palo Alto Networks, el reenvío de logs se puede habilitar para todo tipo de eventos, incluidos los éxitos de la regla de seguridad o los eventos del sistema. Las capturas o correos electrónicos de SNMP se pueden enviar cuando se golpea una regla o se produce un evento, y los informes también se pueden reenviar a direcciones de correo electrónico designadas.

Para empezar, primero necesita crear un perfil de servidor adecuado: se debe crear un servidor SNMP, un servidor syslog o un perfil de correo electrónico.

En el perfil del servidor Sylog, el formato y la instalación de syslog se pueden cambiar para adaptarse a la configuración del servidor syslog.

En el perfil del servidor de correo electrónico, el nombre para mostrar se puede establecer en un formato descriptivo para que aparezca en el correo electrónico recibido.

Pro-Tip: en la mayoría de los casos, recomendamos establecer la dirección de correo electrónico ' de ' a un dominio dentro de la organización, ya que los servidores SMTP pueden estar configurados para no retransmitir mensajes de diferentes dominios.

Cuando se han creado los perfiles de servidor apropiados, hay varios puntos en los que se pueden establecer para iniciar el reenvío.

Registro del sistema

Para los eventos del sistema, como se ve en el registro del sistema, se puede asignar un servidor por gravedad. Esto permitirá, por ejemplo, que todos los registros no informativos se reenvíen a un servidor syslog para obtener información histórica, eventos de alta severidad para enviar una captura SNMP a un servidor de alertas y eventos críticos para enviar un correo electrónico y enviar el registro a panorama. Simplemente haciendo clic en la severidad aparece la ventana de configuración, donde se pueden establecer las acciones a tomar.

Registro de seguridad

Cualquier regla de seguridad puede tener asignado un perfil de reenvío de registro individual. En la mayoría de los escenarios, esto significa que la mayoría, si no todos, los registros de seguridad se reenvían a un panorama o syslog. Las amenazas críticas pueden generar una captura SNMP o enviar un correo electrónico al equipo de seguridad con una notificación.

En primer lugar, cree uno o más perfiles para que coincidan con sus necesidades:

Pro-Tip: la gravedad de la amenaza informativa contendrá registros de filtrado de URL, si desea exportarlos.

Y, a continuación, adjunte el perfil a una regla de seguridad agregando el perfil de reenvío de registro en la ficha acciones. Aparecerá un nuevo icono en la vista de directiva de seguridad para indicar que se ha habilitado el reenvío de registros para esta Directiva.

Informes

Por último, los informes también se pueden enviar diariamente o semanalmente para que un administrador pueda recibir un estado de cosas conveniente sin necesidad de iniciar sesión en el cortafuegos.

En primer lugar, cree un grupo de informes, que combinará informes predefinidos o personalizados en un único grupo de resultados. Todos los informes disponibles se pueden seleccionar desde el panel izquierdo y moverlos al grupo en el panel derecho.

Una vez creado el grupo, configure un programador de correo electrónico para la creación de informes y el correo electrónico posterior a los administradores deseados.

Después de que los informes estén disponibles (algunos informes personalizados pueden requerir algún tiempo para rellenar un resumen semanal si sólo se han creado), aparecerán en el archivo PDF enviado por correo electrónico.

Si te ha gustado este artículo, por favor echa un vistazo a toda la serie en la Introducción: la serie y siéntase libre de comentar a continuación!

Saludos,

Tom