Que peut faire mon pare-feu? Transférer les fichiers journaux et les rapports—

Dans certaines situations, il peut être utile d'envoyer des journaux à un produit logiciel de gestion des informations et des événements de sécurité (Siem), un produit de corrélation de log, une gestion centralisée de panorama, ou tout simplement recevoir un email Lorsqu'un certain événement se produit.

Sur le pare-feu de Palo Alto Networks, le transfert de journal peut être activé pour toutes sortes d'événements, y compris les hits de règle de sécurité ou les événements système. Les interruptions ou e-mails SNMP peuvent être envoyés lorsqu'une règle est atteinte ou qu'un événement se produit, et que les rapports peuvent également être transmis à des adresses e-mail désignées.

Pour commencer, vous devez d'abord créer un profil de serveur approprié: un serveur SNMP, un serveur Syslog ou un profil de messagerie doit être créé.

Dans le profil de serveur sylog, le format syslog et l'installation peuvent être modifiés en fonction de la configuration du serveur syslog.

Dans le profil du serveur de messagerie, le nom complet peut être défini sur un format convivial pour apparaître dans l'e-mail reçu.

Pro-Tip: dans la plupart des cas, nous recommandons de définir l'adresse de messagerie «de» à un domaine à l'intérieur de l'organisation, car les serveurs SMTP peuvent être configurés pour ne pas relayer les messages provenant de différents domaines.

Lorsque les profils de serveur appropriés ont été créés, il existe plusieurs points où ils peuvent être configurés pour démarrer le transfert.

Journal système

Pour les événements système, tel qu'il apparaît dans le journal système, un serveur peut être assigné par gravité. Cela permettra, par exemple, à tous les journaux non informationnels d'être transférés vers un serveur Syslog pour des informations historiques, des événements de gravité élevée pour envoyer une interruption SNMP à un serveur d'alertes, et des événements critiques pour envoyer un e-mail et envoyer le journal à Panorama. Il suffit de cliquer sur la gravité pour mettre en place la fenêtre de configuration, où vous pouvez définir les actions à prendre.

Journal de sécurité

Toute règle de sécurité peut avoir un profil de transfert de journal individuel qui lui est assigné. Dans la plupart des scénarios, cela signifie que la plupart, sinon tous, les journaux de sécurité sont transmis à un panorama ou syslog. Les menaces critiques peuvent générer un piège SNMP ou envoyer à l'équipe de sécurité une notification.

Tout d'Abord, créez un ou plusieurs profils pour répondre à vos besoins:

Pro-Tip: l'information de gravité de menace contiendra des journaux de filtrage d'URL, si vous aimez exporter ceux-ci.

Et ensuite, attachez le profil à une règle de sécurité en ajoutant le profil de transfert de journal dans l'onglet actions. Une nouvelle icône apparaîtra dans la vue de stratégie de sécurité pour indiquer que le transfert de journal a été activé pour cette stratégie.

Rapports

Enfin, les rapports peuvent également être envoyés sur une base quotidienne ou hebdomadaire afin qu'un administrateur puisse recevoir un état de choses commode sans avoir besoin de se connecter au pare-feu.

Tout d'abord, créez un groupe de rapports, qui combinera des États prédéfinis ou personnalisés dans un seul groupe de sortie. Tous les rapports disponibles peuvent être sélectionnés dans le volet de gauche et transférés dans le groupe dans le volet droit.

Une fois le groupe créé, configurez un planificateur de messagerie pour la création du rapport et le courrier électronique ultérieur aux administrateurs souhaités.

Une fois les rapports disponibles (certains rapports personnalisés peuvent nécessiter un certain temps pour remplir une vue d'ensemble hebdomadaire si elles viennent seulement d'être créées), elles apparaîtront dans le PDF envoyé par courriel.

Si vous avez aimé cet article, S'il vous plaît consulter toute la série à Getting Started: la série et n'hésitez pas à commenter ci-dessous!

Cordialement,

Tom