私のファイアウォールは何ができますか?ログファイルとレポートの転送 -

状況によっては、セキュリティ情報およびイベント管理 (シェムリアップ) ソフトウェア製品、ログ相関製品、パノラマ集中管理にログを送信したり、特定のイベントが発生したときに電子メールを受信したりすると便利な場合があります。

パロアルトネットワークファイアウォールでは、セキュリティルールのヒットやシステムイベントなど、すべての種類のイベントに対してログ転送を有効にすることができます。SNMP トラップまたは電子メールは、ルールがヒットしたときやイベントが発生したときに送信され、レポートを指定のメールアドレスに転送することもできます。

開始するには、まず適切なサーバープロファイルを作成する必要があります: SNMP サーバー、Syslog サーバー、または電子メールプロファイルのいずれかを作成する必要があります。

Sylog サーバのプロファイルでは、syslog の形式と機能を syslog サーバーの設定に合わせて変更することができます。

電子メールサーバーのプロファイルでは、表示名は受信した電子メールに表示されるフレンドリ形式に設定できます。

プロのヒント: ほとんどの場合、SMTP サーバーが異なるドメインからのメッセージを中継しないように構成されているため、組織内のドメインに ' from ' メールアドレスを設定することをお勧めします。

適切なサーバープロファイルが作成されると、転送を開始するように設定できるスポットがいくつかあります。

システムログ

システムログに表示されるシステムイベントの場合、重大度ごとにサーバーを割り当てることができます。これにより、たとえば、情報以外のすべてのログが、履歴情報のために syslog サーバーに転送され、アラートサーバーに SNMP トラップを送信するための重大度の高いイベント、および電子メールを送信してログをパノラマに送信する重要なイベントが可能になります。重大度をクリックするだけで、設定ウィンドウが表示され、実行するアクションを設定できます。

セキュリティログ

セキュリティルールには、個々のログ転送プロファイルを割り当てることができます。ほとんどのシナリオでは、すべてではない場合、セキュリティログがパノラマまたは syslog に転送されることを意味します。重大な脅威は、SNMP トラップを生成したり、通知を使用してセキュリティチームに電子メールを送信したりできます。

まず、ニーズに合わせて1つまたは複数のプロファイルを作成します。

Pro-Tip: 脅威の重大度情報には、これらをエクスポートする場合の URL フィルタリングログが含まれます。

次に、[アクション] タブにログ転送プロファイルを追加して、プロファイルをセキュリティルールにアタッチします。このポリシーに対してログ転送が有効になっていることを示す新しいアイコンが [セキュリティポリシー] ビューに表示されます。

レポート

最後に、レポートは、管理者がファイアウォールにログオンすることなく、便利な状態を受け取ることができるように、毎日または週単位で送信することができます。

まず、定義済みまたはカスタムのレポートを1つの出力グループにまとめるレポートグループを作成します。使用可能なすべてのレポートは、左側のペインから選択し、右側のペインのグループに移動できます。

グループを作成した後、レポート作成用の電子メールスケジューラを構成し、その後、必要な管理者に送信します。

レポートが利用可能になった後 (一部のカスタムレポートでは、作成されたばかりの場合は、週単位の概要を設定する時間が必要になる場合があります)、電子メールで送信された PDF に表示されます。

この記事が好きなら、はじめにシリーズ全体をチェックアウトしてください: シリーズとお気軽に以下のコメントを!

敬具します。

トム